Mailchimp y las transferencias de datos en Europa

Si eres un cliente de Mailchimp ubicado en el Espacio Económico Europeo (EEE), el Reino Unido o Suiza (a los que nos referiremos colectivamente como “Europa”), o utilizas nuestra plataforma para procesar datos sobre tus contactos en Europa, nuestro Anexo](/legal/data-processing-addendum/) de procesamiento de [datos (DPA) se ha redactado para permitirte transferir datos personales europeos a Mailchimp en los Estados Unidos y permitir que Mailchimp procese legalmente esos datos en tu nombre.

El DPA se incorpora directamente a nuestras Condiciones de uso y no requiere firma. Al usar Mailchimp o al abrir una cuenta en la plataforma, aceptas estas Condiciones. En virtud de las Condiciones de uso estándar de Mailchimp y del Anexo de procesamiento de datos, cada usuario promete que su uso cumplirá con todas las leyes aplicables.

Cumplimiento de la normativa europea en materia de exportación de datos de Mailchimp

El Rocket Science Group LLC, con nombre comercial Mailchimp, es una entidad cubierta por el programa Marco de privacidad de datos de Intuit y ha certificado su cumplimiento tanto con la normativa Marco de privacidad de datos, la extensión del Reino Unido a la UE-EE. UU. Marco de privacidad de datos y la Marco de privacidad de datos. Puedes ver nuestro listado buscando “Intuit” aquí y leer la página de certificación del Marco de privacidad de datos de Intuit aquí.

Además, en caso de que se invalide el Marco de privacidad de datos, Mailchimp se compromete contractualmente a transferir y procesar todos los datos europeos de sus clientes de conformidad con las Cláusulas contractuales tipo (las “CCT”), que siguen dando a nuestros clientes la posibilidad de transferir legalmente datos que están sujetos a las leyes de protección de datos aplicables (incluido el RGPD) fuera de Europa a Mailchimp en los Estados Unidos. Las CCT se aplican automáticamente de acuerdo con el Anexo de procesamiento de datos de Mailchimp.

Más información acerca de las transferencias de datos

Sabemos que nuestros clientes pueden tener preguntas sobre el cumplimiento de las transferencias de datos, incluido el impacto de la resolución del TJUE de 2020 sobre las transferencias de datos y la adopción de las nuevas CCT por parte de la Comisión Europea el 4 de junio de 2021. En esta sección, proporcionaremos algunas preguntas y respuestas frecuentes.

¿Transfiere Mailchimp datos fuera de Europa? Si es así, ¿a qué países?

Sí. La sede de Mailchimp está en Estados Unidos y nuestros servidores también están ubicados en Estados Unidos. Esto significa que los datos que procesamos pueden ser transferidos, almacenados o procesados en los Estados Unidos. Además, nos apoyamos en proveedores externos que procesan datos personales en nuestro nombre, para proporcionar servicios a Mailchimp, y sus servidores pueden estar ubicados fuera de Europa.

Puedes ver la lista completa de subencargados del tratamiento que utilizamos para tratar los datos de nuestros clientes, junto con los detalles de su ubicación. Tomamos medidas para asegurarnos de que nuestros proveedores ofrecen las garantías adecuadas para proteger los datos personales que procesan en nuestro nombre y requerimos contractualmente que dichos datos se procesen en cumplimiento de las leyes de protección de datos aplicables.

¿Qué medidas ha implementado Mailchimp para proteger los datos de los clientes europeos procesados fuera de Europa?

Mailchimp ha puesto en marcha una serie de medidas para garantizar que los datos europeos sigan estando protegidos cuando se transfieren fuera de Europa.

Compromisos contractuales
Además de certificar nuestro cumplimiento con la normativa de la UE-EE. UU. Marco de privacidad de datos, la extensión del Reino Unido a la UE-EE. UU. Marco de privacidad de datos y el marco suizo-EE. UU. Marco de privacidad de datos, las CCT se incorporan directamente a nuestro Anexo de tratamiento de datos. También especificamos nuestros compromisos con la seguridad, la confidencialidad del tratamiento, las limitaciones en las transferencias internacionales de datos personales, la cooperación con los derechos de los interesados, la notificación de incidentes de seguridad y mucho más.

Lo más importante es que Mailchimp no vende, alquila ni comercializa datos de usuarios.

Medidas de seguridad
Mailchimp da la máxima importancia a la privacidad y la seguridad de los datos de nuestros usuarios. Nuestro programa de seguridad y privacidad se describe en detalle en nuestra página de seguridad.

Aquí tienes un resumen de algunas de las medidas técnicas y organizativas que hemos implementado (y continuaremos implementando) para protegernos contra el acceso no autorizado a los datos de usuarios:

(1) Cifrado
En la medida de lo técnicamente viable, Mailchimp ha implementado tecnologías de cifrado en toda su infraestructura para ayudar a proteger los datos de los usuarios del acceso no autorizado cuando son procesados internamente por Mailchimp. Por ejemplo, todas las páginas de producción de Mailchimp utilizan la seguridad de la capa de transporte (TLS, en inglés), un protocolo de cifrado seguro, y la red wifi interna de Mailchimp utiliza el cifrado WPA2 128bit. Además, el correo electrónico de Mailchimp (256 bits), todas las conexiones VPN (256 bits) y la aplicación de chat interna (256 bits) también están cifradas. Las páginas de inicio de sesión utilizan TLS y protección frente a ataques de fuerza bruta. Todo esto también se aplica a las aplicaciones móviles y la API de Mailchimp.

(2) Controles de acceso
Mailchimp restringe el acceso de terceros a sus herramientas internas y su infraestructura. Nuestro equipo jurídico evalúa todas las solicitudes de acceso, se asegura de que la solicitud sea apropiada para el trabajo a realizar y verifica que el tercero siga todas las disposiciones de seguridad y privacidad descritas en su contrato. Una vez aprobado, Mailchimp solo concede acceso a través de cuentas controladas a partes claramente definidas del sistema.

Mailchimp se compromete a mantener los niveles más altos de privacidad y seguridad para nuestros usuarios. Si tienes preguntas sobre nuestro programa de seguridad y privacidad, envíalas aquí.

Acuerdos de proveedores
Tomamos todas las medidas necesarias para garantizar que nuestros acuerdos con nuestros proveedores internacionales externos (incluidos los subprocesadores) contengan los compromisos adecuados de dichos terceros en relación con la transferencia y el tratamiento de datos europeos fuera de Europa, y que implementemos un mecanismo de transferencia de datos adecuado y legal (como las cláusulas contractuales tipo) y las salvaguardas adicionales necesarias. Están disponibles los detalles actualizados de los subprocesadores que utilizamos para procesar los datos de nuestros miembros.

Marco de privacidad de datos
The Rocket Science Group LLC, que opera comercialmente como Mailchimp, cumple con la legislación de la UE-EE. UU. Marco de privacidad de datos (UE-EE. UU. DPF), la extensión del Reino Unido a la UE-EE. UU. el DPF y el DPF Suiza-EE. UU. Marco de privacidad de datos (Suiza-EE. UU. DPF) según lo establecido por el Departamento de Comercio de EE. UU. en relación con la recopilación, el uso y la retención de información personal transferida desde la Unión Europea (UE), el Reino Unido (y Gibraltar)(Reino Unido) y Suiza a los Estados Unidos.

¿Cómo responde Mailchimp a las solicitudes de información?

Consideramos cuidadosamente todas las solicitudes de información y, como norma, no facilitamos a terceros la información de una cuenta que no sea suya, a menos que estemos legalmente obligados a hacerlo. Esto significa que únicamente respondemos ante una sentencia, citación, orden de registro u otro proceso legal propiamente dicho mediante el que se solicite la información e historial de una cuenta de Mailchimp. Mailchimp utiliza ciertas pautas para responder a las solicitudes de información, tanto de una entidad gubernamental como de una no gubernamental:

• Nos esforzamos por mantener la privacidad y la confidencialidad del usuario.
• Siempre que es posible, instamos al solicitante a que pida la información directamente a los titulares de las cuentas pertinentes en lugar de a Mailchimp.
• Le solicitamos que nos proporcione la mayor cantidad de información posible para poder identificar correctamente la cuenta de usuario adecuada. No responderemos a una solicitud a menos que primero tengamos información adecuada y específica, como una dirección de correo electrónico, encabezados de correo electrónico, dominio de Internet, nombre de usuario, dirección IP u otra información similar que nos permita identificar y localizar la cuenta correcta.
• A falta de una excepción legal en el ámbito de la legislación de EE. UU., solo respondemos a las solicitudes que se han hecho a través de proceso legal válido de EE. UU. Esto significa que el proceso legal (como citaciones, requerimiento de pruebas, órdenes de registro o sentencias) debe estar debidamente ratificado por un tribunal de los Estados Unidos con jurisdicción competente y emitido de acuerdo con las normas de procedimiento federales o estatales aplicables para que Mailchimp responda.
• Mailchimp no acepta directamente solicitudes de entidades gubernamentales fuera de los Estados Unidos. Solo respondemos a las solicitudes gubernamentales extranjeras realizadas a través de un tratado de asistencia jurídica mutua u otro medio diplomático o legal para obtener información de Mailchimp.

De acuerdo con nuestro Anexo sobre procesamiento de datos, Mailchimp proporcionará a los usuarios europeos una notificación por escrito de las solicitudes obligatorias de acceso a sus datos, a menos que la ley nos lo prohíba.

¿Publica Mailchimp informes de transparencia sobre las solicitudes de información?

Para demostrar nuestro compromiso con la privacidad y nuestros esfuerzos por ser lo más transparentes posible, Mailchimp publica ahora informes anuales de transparencia para documentar el número y el tipo de solicitudes legales que recibimos. Si bien existen restricciones en cuanto al nivel de detalle que podemos proporcionar, haremos todo lo que esté en nuestras manos para ser lo más transparentes posible, desde el punto de vista jurídico, en todos esos informes.

¿Recibe Mailchimp solicitudes de información del gobierno de Estados Unidos?

El argumento principal de la reciente sentencia del TJUE (y una de las principales razones por las que el Escudo de la privacidad ha sido invalidado) es una preocupación manifiesta por los programas nacionales de inteligencia y vigilancia de EE. UU., en el marco de la Sección 702, también conocida como la Ley de Enmiendas de FISA y bajo la Orden Ejecutiva 12333. Como práctica general, Mailchimp no proporciona voluntariamente a las agencias gubernamentales o autoridades (incluidas las fuerzas del orden), acceso o información sobre las cuentas de Mailchimp.

Sin embargo, como plataforma de marketing por correo electrónico B2B y, por lo tanto, como un "servicio de comunicación electrónica", Mailchimp es, como casi todos los proveedores de servicios en la nube de EE. UU., el tipo de entidad a la que el gobierno de EE. UU. está técnicamente autorizado para emitir directivas FISA en el marco de la Sección 702, o llevar a cabo la recopilación de inteligencia bajo la Orden Ejecutiva 12333. Esto significa que Mailchimp puede recibir técnicamente este tipo de solicitudes de información obligatorias.

Nuestros informes de transparencia anuales documentan el número limitado y los tipos específicos de solicitudes legales que hemos recibido en Mailchimp. Además, como se explicó anteriormente, también contamos con políticas y procesos estrictos establecidos para responder a las solicitudes de información de la ley aplicable.

¿Puedo poner en práctica las cláusulas contractuales tipo de la UE con Mailchimp?

Las Cláusulas contractuales tipo (“CCT”) se incorporan directamente a nuestro Anexo](/legal/data-processing-addendum/) de tratamiento de [datos (DPA), que forma parte de nuestras Condiciones de uso estándar (nuestro contrato con usted) y se aplica a los datos de clientes protegidos por las leyes europeas de protección de datos (incluido el RGPD).