Agències de Màrqueting i LOPD
No són poques les agències de màrqueting i professionals del sector, que s’han portat les mans al capdavant després de l’anul·lació de l’acord Safe Harbor, que el TJUE va resoldre a l’octubre del passat 2015.
El cas és que l’esmentat acord permetia, entre altres coses, l’ús de plataformes àmpliament utilitzades per les agències de màrqueting, com MailChimp, que la usaven per allotjar les bases de dades dels seus clients per a la realització i gestió de les seves campanyes.
Després de la citada Sentència, la transferència de les dades a MailChimp, no està emparada per l’acord de Safe Harbor, la qual cosa implica que ens trobem amb una transferència internacional de dades que requereix l’autorització de l’AEPD, amb caràcter previ al fet que la mateixa es dugui a terme.
Si això no fos prou greu, aquesta autorització ha de ser teòricament sol·licitada pel propietari de la base de dades, és a dir, el client de les agències de màrqueting.
Possible solució: Resolució AEPD TU/126/2012.
En aquesta resolució, que al nostre judici pren major rellevància amb l’anul·lació de l’acord de Safe Harbor, l’AEPD va permetre que un encarregat del tractament (per exemple les agències de màrqueting) que tracten dades per compte dels seus clients (responsables del fitxer) i que utilitzen un proveïdor de serveis fora de la UE (per exemple MailChimp), sol·licités una sola autorització a l’AEPD. Aquest procediment d’autorització, que ha d’iniciar-se a sol·licitud de l’encarregat del tractament, ha de complir dos següents requisits bàsics:
- Que les agències signin un acord amb el proveïdor de serveis fora de la UE. Aquest acord té un clausulat tancat i està inclòs en la resolució de l’AEPD a l’efecte de facilitar el treball, però malgrat les “facilitats” no evita que la signatura de MailChimp sigui necessària i que qui signatura per part d’aquest proveïdor, acrediti poders suficients davant l’AEPD (tasca gens fàcil).
El propi MailChimp ha elaborat un formulari per signar contractes amb els seus clients, però aquest serviria al meu judici, perquè el signin els titulars de les bases de dades (els clients) però no les agències de màrqueting amb MailChimp.
- Que les agències de màrqueting signin un contracte amb cada client, on se’ls informi de la subcontractació del servei a MailChimp.
En cas de complir aquests requisits, no serà necessari que cada vegada que les agències de màrqueting incorporin les bases de dades dels seus client a MailChimp, obtinguin una nova autorització de l’AEPD, sinó que si aquesta autorització s’entendrà atorgada per l’autorització inicial.
Com poden beneficiar-se d’aquesta resolució les Agències de Màrqueting?
Sota el meu parer, aquesta resolució permet a les agències de màrqueting seguir fent ús de MailChimp sense necessitat de canviar a altres proveïdors (europeus) i seguir complint amb l’AEPD. Tot això, òbviament, si es duu a terme el procés d’autoritzacions descrit anteriorment. No és un procés senzill, però la resolució comentada és prou detallista per dur-ho a terme amb garanties d’èxit.
A més, en el cas que una vegada iniciat el procediment, l’AEPD no es manifesti en un termini de tres mesos, l’autorització s’entendrà atorgada, amb el que no és necessària una manifestació expressa de l’AEPD.