• 28 junio, 2019

Los problemas de usar Mailchimp desde la perspectiva de protección de datos personales

Aunque la plataforma de envío de comunicaciones masivas de correo electrónico actualizó sus condiciones de servicio recientemente con un énfasis singular en las nuevas cláusulas de privacidad, la mejora de sus condiciones contractuales no fue completa.

Siempre es recomendable leer atentamente las cláusulas de cualquier contrato y cuando de servicios basados en la nube se trata, más aún, ya que hay que extremar la revisión respecto a sus implicaciones de protección de datos personales.

Ciertamente, es conocido que las condiciones de servicio de los programas de software y los servicios en la nube nunca se leen. Es algo tan asentado que ha hecho cuerpo el acrónimo TL;DR ( Too long; didn’t read) que viene a expresar que las condiciones contractuales que son largas de leer nunca se leen.

Sin embargo, en el ámbito del compliance de privacidad, hemos de examinar los términos con detenimiento para poder determinar si un proveedor podrá ser válido como encargado de tratamiento. Si el proveedor resulta validado, podrá ser contratado, pero si no supera el examen, deberá contratarse a otro.

Recordemos que la contratación de proveedores que, para prestar el servicio, traten datos por cuenta del responsable del tratamiento, esto es, el cliente, exige la previa suscripción de un contrato de tratamiento de datos (También conocido como Encargado de Tratamiento) cuyo contenido esencial está regulado en el artículo 28 del Reglamento Europeo de Protección de Datos.

Dicha regulación es taxativa a la hora de establecer los requerimientos que deben cumplirse por parte de proveedores cuando tratan datos personales.

En el caso que nos ocupa, estamos en presencia de un servicio de Internet que es dominante en su nicho y que, sin embargo, parece no otorgar garantías suficientes sobre su compromiso a la hora de cumplir con la normativa de privacidad.

Mailchimp reconoce explícitamente su auto exclusión de la normativa de protección de datos personales en múltiples casos

Efectivamente, en primer lugar, la cláusula 2.3 de las estipulaciones de tratamiento por cuenta de tercero, a actual fecha, regulan claramente que, respecto a los datos de tipo sensible no se aplicará el contrato de encargado de tratamiento (También conocido en el ámbito internacional como Adenda de Procesador de Datos cuando figura como anexo de la relación contractual de la que deviene), al declararlos incluso como datos prohibidos de procesar por el responsable del tratamiento. Así es, regula dicha estipulación que:

son datos prohibidos y el Cliente no proporcionará (ni hará que se proporcione) ningún dato confidencial a Mailchimp para su procesamiento en virtud del Acuerdo, y Mailchimp no tendrá responsabilidad alguna por los datos confidenciales, ya sea en relación con un incidente de seguridad o de otro tipo. Para evitar dudas, este DPA no se aplicará a los datos sensibles.

Lo que deba entenderse por datos sensibles figura definido en su glosario. A este efecto, indica que por tales se entenderán:

  • El número de seguro social, el número de pasaporte, el número de licencia de conducir o identificador similar (o cualquier parte del mismo);
  • El número de tarjeta de crédito o débito que no sea el truncado (los últimos cuatro dígitos) de una tarjeta de crédito o débito;
  • La información laboral, financiera, genética, biométrica o de salud;
  • La afiliación racial, étnica, política o religiosa, afiliación sindical, o información sobre la vida sexual o la orientación sexual;
  • Las contraseñas de cuenta;
  • Cualquier otra información que entre dentro de la definición de “categorías especiales de datos” según el GDPR o cualquier otra ley de protección de datos aplicable.

Respecto a esta última referencia, efectivamente, el artículo 9 del Reglamento de Protección de Datos Personales establece como tales los datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física, por lo que la remisión está íntegramente contemplada en la propia prohibición contractual.

Como puede observarse, además de los datos de especial protección, Mailchimp declara inaplicables las obligaciones de tratamiento de datos del contrato a otros datos tan llamativos como las contraseñas de cuenta o las tarjetas de crédito y los NIF, es decir, datos que normalmente no deberían computar si no son de personas físicas, pero vemos que se cura en salud y los declara excluidos si en algún caso se pudieran calificar como datos personales.

Mailchimp declara inaplicables las obligaciones de tratamiento de datos del contrato a otros datos tan llamativos como las contraseñas de cuenta o las tarjetas de crédito y los NIF

No hay texto alternativo para esta imagen

Mailchimp reconoce ser inaplicable para el envío de comunicaciones electrónicas que implique tratamientos de datos personales relacionados con los “Datos de Servicio”

Por su parte, la cláusula décima, apartado quinto, establece otra excepción al ámbito de aplicación del contrato de tratamiento de datos personales por cuenta de terceros:

A pesar de cualquier disposición en contrario en el Contrato (incluyendo este DPA), Mailchimp tendrá derecho a recopilar, utilizar y divulgar datos relacionados con el uso, soporte y/o operación del Servicio (“Datos del Servicio”) para sus propósitos comerciales legítimos, tales como facturación, administración de cuentas, soporte técnico y desarrollo de productos. En la medida en que dichos Datos de Servicio sean considerados datos personales bajo las Leyes de Protección de Datos, Mailchimp será responsable y procesará dichos datos de acuerdo con la Política de Privacidad y las Leyes de Protección de Datos de Mailchimp. Para evitar dudas, la presente DPA no se aplicará a los Datos de Servicio.

Como se puede apreciar, se trata de un supuesto amplio e indeterminado, casi sin matices, una especie de cláusula abierta.

Estos “datos de servicio”, no aparecen definidos en el glosario del DPA, por lo que no sabemos qué alcance se le pretende dar. Por datos relacionados con el uso, soporte y/o operación del Servicio (“Datos del Servicio”), cabría entenderse los metadatos de los terceros destinatarios de las comunicaciones empleadas en el servicio precisamente, tales como ubicaciones, sistemas operativos empleados, horas de apertura, números IP… y todo ello para para sus propósitos comerciales legítimos, tales como facturación, administración de cuentas, soporte técnico y desarrollo de productos.

Es decir, la cláusula parecería establecer un cheque en blanco puesto que abarca cualquier utilización y cualquier divulgación, lo que es abiertamente contrario a la normativa de privacidad.

Además, la referencia a propósitos comerciales “legítimos” parece operar como una patente de corso. Sin embargo, hemos de recordar que el interés legítimo como base jurídica legitimadora del tratamiento de los datos no es un cajón desastre para poder justificar cualquier tratamiento del responsable o del encargado por razón del servicio prestado. Antes bien, dicha causa legitimadora debe quedar perfectamente explicada para que se pueda valorar si efectivamente constituye una justificación suficiente que ampare el tratamiento al que pretende dar cobertura y verificar si es proporcionado.

 

Conclusiones sobre la problemática de tratamiento de datos personales por parte de Mailchimp

Como corolario de todo lo expuesto, podemos sintetizar que Mailchimp:

  • Se excluye a sí mismo en un buen número de ámbitos de tratamiento de datos personales de categorías especiales, por lo que no podrá emplearse en dichos tipos tanto por no infringir sus condiciones de servicio como por no vulnerar la Ley.
  • El clausulado contiene una estipulación excesivamente abierta e imprecisa que, en la práctica, podría constituir una patente de corso para inaplicar el acuerdo de procesamiento de datos en casi cualquier caso y que lo podría vaciar de contenido.

En consecuencia, en estos términos, Mailchimp no puede ser considerado un proveedor confiable en términos de cumplimiento normativo en materia de protección de datos personales ya que no ofrecería garantías suficientes, tal y como exige el artículo 28 del Reglamento Europeo de Protección de Datos.

Recordemos que dicho precepto exige al contratante del proveedor (nosotros como cliente y responsables del tratamiento) que este elegirá únicamente un encargado que ofrezca garantías suficientes para aplicar medidas técnicas y organizativas apropiados, de manera que el tratamiento sea conforme con los requisitos del presente Reglamento y garantice la protección de los derechos del interesado.

Por lo tanto, el servicio de mail márketing más usado del mundo no ofrecería garantías suficientes de respeto por los requisitos del Reglamento de Protección de Datos y, en términos jurídicos, no puede aconsejarse más que buscar un proveedor alternativo que preste un servicio análogo funcional y legalmente ya que afirmar que se cumplirá con la normativa de protección de datos en todo momento y seguidamente declarar que no podrá oponerse ninguna disposición normativa contraria a poder divulgar y utilizar los datos de servicio como Mailchimp considere, nos parece cuando menos un riesgo suficiente para no tomar en serio su compromiso. Más aún sin saber qué entiende MC por “datos de servicio” ya que debe tenerse en cuenta que algunos datos que parecen solamente técnicos pueden ser personales, tales como las famosas IP o los de ubicación.

Mailchimp no puede ser considerado un proveedor confiable en términos de cumplimiento normativo en materia de protección de datos personales ya que no ofrecería garantías suficientes

De hecho, se puede apreciar la oscuridad de la cláusula en este aserto: Mailchimp será responsable y procesará dichos datos de acuerdo con la Política de Privacidad y las Leyes de Protección de Datos de Mailchimp. Para evitar dudas, la presente DPA no se aplicará a los Datos de Servicio.

La única manera de salvar todo ello parece que pasaría por pedirle consentimiento expreso, previo y acreditable a cada titular de los datos personales en orden a su cesión y transferencia, lo cual se antoja absolutamente improbable en cuanto el conjunto de datos sea mínimamente grande, si bien no es descartable lógicamente. En todo caso, aún así sería casi imposible dicha solución puesto que Maichimp declara unas finalidades abiertas y muy genéricas y ni nuestra Autoridad de Control nacional ni nuestros Tribunales darían por buenos, probablemente, algo tan genérico como propósitos comerciales legítimos de un tercero, ya que el consentimiento también ha de ser consciente y sin información concreta sobre el alcance de tal supuesto es casi imposible adoptar dicha decisión.

Dada la tendencia de la Autoridad Nacional a hacer interpretaciones estrictas, la interpretación más aconsejable puede tener que ser conservadora si no se quieren correr riesgos de más.

Como puede verse, contratar un servicio web es algo que requiere un análisis minucioso y que dista de hacerse rápido. Al proceso de verificación de cumplimiento normativo de los proveedores, en Ucelay Abogados lo denominamos validación u homologación legal de proveedores y es un proceso que debe llevarse a cabo con todos los servicios con tratamiento de datos en general, con especial énfasis de los servicios en la nube, en especial.

Este procedimiento de verificación no queda limitado al mero análisis de los términos legales de los proveedores, sino que, a menudo requiere intercambiar opiniones e informaciones con el proveedor afectado se encuentre donde se encuentre. Por eso recomendamos un análisis personalizado siempre.

Consulte

91 445 03 07