Agencias de Marketing y LOPD
No son pocas las agencias de marketing y profesionales del sector, que se han llevado las manos a la cabeza después de la anulación del acuerdo Safe Harbor, que el TJUE resolvió en octubre del pasado 2015.
El caso es que dicho acuerdo permitía, entre otras cosas, el uso de plataformas ampliamente utilizadas por las agencias de marketing, como MailChimp, que la usaban para alojar las bases de datos de sus clientes para la realización y gestión de las sus campañas.
Tras la citada sentencia, la transferencia de los datos a MailChimp no está amparada por el acuerdo de Safe Harbor, lo que implica que nos encontramos con una transferencia internacional de datos que requiere la autorización de la AEPD, con carácter previo a que la misma se lleve a cabo.
Si esto no fuera suficientemente grave, esta autorización, debe ser teóricamente solicitada por el propietario de la base de datos, es decir, el cliente de las agencias de marketing.
Posible solución: Resolución AEPD TU/126/2012.
En esta resolución, que a nuestro juicio toma mayor relevancia con la anulación del acuerdo de Safe Harbor, la AEPD permitió que un encargado del tratamiento (por ejemplo las agencias de marketing) que tratan datos por cuenta de sus clientes (responsables del fichero) y que utilizan un proveedor de servicios fuera de la UE (por ejemplo MailChimp), solicitara una sola autorización a la AEPD. Este procedimiento de autorización, que debe iniciarse a solicitud del encargado del tratamiento, debe cumplir dos siguientes requisitos básicos:
- Que las agencias firmen un acuerdo con el proveedor de servicios fuera de la UE. Este acuerdo tiene un clausulado cerrado y está incluido en la resolución de la AEPD a efectos de facilitar el trabajo, pero a pesar de las «facilidades» no evita que la firma de MailChimp sea necesaria y que quien firma por parte de este proveedor , acredite poderes suficientes ante la AEPD (tarea nada fácil).
El propio MailChimp ha elaborado un formulario para firmar contratos con sus clientes, pero este serviría a mi juicio, para que lo firmen los titulares de las bases de datos (los clientes) pero no las agencias de marketing con MailChimp.
- Que las agencias de marketing firmen un contrato con cada cliente, donde se les informe de la subcontratación del servicio a MailChimp.
En caso de cumplir estos requisitos, no será necesario que cada vez que las agencias de marketing incorporen las bases de datos de sus cliente a MailChimp, obtengan una nueva autorización de la AEPD, sino que si esta autorización se entenderá otorgada por el autorización inicial.
Como pueden beneficiarse de esta resolución las Agencias de Marketing?
Bajo mi opinión, esta resolución permite a las agencias de marketing seguir haciendo uso de MailChimp sin necesidad de cambiar a otros proveedores (europeos) y seguir cumpliendo con la AEPD. Todo ello, obviamente, si se lleva a cabo el proceso de autorizaciones descrito anteriormente. No es un proceso sencillo, pero la resolución comentada es bastante detallista para llevarlo a cabo con garantías de éxito.
Además, en el caso de que una vez iniciado el procedimiento, la AEPD no se manifieste en un plazo de tres meses, la autorización se entenderá otorgada, con lo que no es necesaria una manifestación expresa de la AEPD.
Si tienes dudas sobre este tema o cualquier otro tema, ¡no dudes en contactarnos!
Información sobre protección de datos
Denominación social
LEGAL IT GLOBAL 2017, SLP
Finalidad
Prestar el servicio.
Envío del Boletín informativo.
Legitimización
Cumplimiento de la prestación del servicio.
Consentimiento.
Destinatarios
Tus datos no serán compartidos con ningún tercero, salvo aquellos proveedores de servicios con los que disponemos de un contrato de servicios vigente.
Derechos
Puedes acceder, rectificar o suprimir los datos, así como ejercer los derechos que se mencionan en nuestra Política de Privacidad.
Más información
Consulta la Política de Privacidad.