Ya disponible mi libro sobre las leyes en los deportes electrónicos

blog

reflexiones e investigación jurídica

MailChimp y las obligaciones de la ‘ley de cookies’

Collage de imágenes: Logotipo de MailChimp y fragmento del .html de un correo con su tracking.

Fecha del post: 12 de febrero de 2019
 
Quien me siga desde hace tiempo sabrá que tengo especial debilidad por todo lo relacionado con los aspectos legales de las cookies informáticas. De hecho, son muchos los posts que he dedicado a este asunto tanto en mi blog (por ejemplo, Matomo (Piwik), ¿una vía para evitar los avisos de cookies?) como fuera de este (uno de los más interesantes, El futuro de la ley de cookies en Europa).
 
Por ello, y rompiendo un poco mi cronología de posts relacionados con los deportes electrónicos, hoy quiero volver a centrarme en esta materia de derecho digital y hablaros de la curiosa Sentencia de la Audiencia Nacional núm. 4700/2018 de 30 de noviembre de 2018.
 
Resumidamente, esta sentencia se centra en analizar la legalidad de la Resolución R/00596/2017 de 22 de marzo de 2017 por la cual la Agencia Española de Protección de Datos (AEPD) sancionaba a una asociación por irregularidades legales en el envío de newsletters a través de la plataforma MailChimp. En concreto, por la comisión de una doble infracción: por un lado, la comisión de infracción grave prevista en los artículos 33 y 44.4.d) de la antigua LOPD que se sancionaba con 45.000 euros por y por otro lado la infracción del artículo 22 LSSI por infracción leve tipificada en el artículo 38.4.g) LSSI que multaban con 5.000 euros.
 
Ante esta situación, la condenada decidió recurrir a la Audiencia Nacional y solicitar la anulación de las sanciones, interponer una cuestión prejudicial al TJUE y, subsidiariamente a los dos puntos anteriores, reducir la gravedad y cuantía de la sanciones (literalmente, para que no suponga un impacto económico para la asociación que la obligaría a cerrar”). Sin embargo, en sus sentencia, la Audiencia Nacional no ha terminado apreciando tales peticiones. Vamos a ver el porqué.
 

Irregularidades en la transferencia internacional de datos

Por un lado, y en relación con la normativa de protección de datos, la Audiencia Nacional concluye que la asociación habría efectuado una transferencia internacional de datos sin cumplir con las previsiones previstas en la legislación de protección de datos (que en aquel momento eran la LO 15/1999 y el RD 1720/2007) al haber enviado datos personales (especialmente, el correo electrónico) a un territorio que no era considerado como un “lugar de protección adecuada” en aquel momento.
 
Así, según resulta probado en la sentencia, entre el mes de octubre de 2015 y el mes de marzo de 2016, la asociación habría efectuado varias campañas de mailing entre sus socios a través de la plataforma MailChimp. Una conducta que debía considerarse como una transferencia internacional de datos personales puesto que MailChimp es una plataforma propiedad de The Rocket Science Group LLC con sede en Atlanta (Estados Unidos de América). Y que la misma habría se habría realizado de forma irregular puesto que no se había obtenido el consentimiento explícito y previo por parte de los usuarios de la asociación para realizar esta transferencia ni el país contaba con la etiqueta de “nivel de protección equiparable” exigido por la normativa que legitimase el tratamiento.
 
Todo ello se producía porque el envío de los mails se habría efectuado en un período de tiempo en el cual el acuerdo Safe Harbor había quedado sin efectos (derivado de la Sentencia del Tribunal de Justicia de la Unión Europea de 6 de octubre de 2015 en el Asunto C‑362/14) y sin haber entrado en vigor el llamado EU–US Privacy Shield (lo hizo el 1 de agosto de 2016). Por todo ello, se había realizado una transferencia internacional de datos sin cumplir con lo dispuesto en la normativa y, a opinión de la AEPD y la Audiencia Nacional, tal incumplimiento podía ser considerado muy grave.
 

El uso de “web beacon” sin cumplir con los requisitos legales

Por otro lado, y más focalizado en lo que aquí nos interesa, la AEPD también había sancionado por el artículo 38.4.g) de la Ley de Servicios de la Sociedad de la Información (recordad que os resumí el funcionamiento de las resoluciones de cookies en mi post Las obligaciones legales de las cookies: el artículo 22.2 LSSI) por no cumplir con el deber de información y consentimiento del artículo 22.2 de la LSSI.
 
Como estoy seguro que sabéis, MailChimp es una plataforma de mailing cuyo mayor atractivo es poder estudiar y analizar los mails enviados incluyendo quién ha accedido al mail, que ha clicado, cuánto tiempo ha estado en él, etc. Tal y como explica MailChimp en su página web, para poder ofrecer este servicio la empresa estadunidense necesita incorporar un pequeño pixel invisible dentro del código HTML del mail para captar y registrar todas las acciones del usuario con el correo. Una tecnologia conocida como Web beacon al que, según sentencia la Audiencia Nacional, le sería de aplicación el artículo 22.2 LSSI puesto que se trataría de un dispositivo almacenamiento y recuperación de datos en equipos terminales de los destinatarios. Así pues, y dado que no se había informado en la Política de Privacidad de la asociación sobre estos sistema y mucho menos se había pedido el consentimiento para su instalación, era correcta la sanción (y la cuantía) impuestas por la AEPD.
 

Las conclusiones que podemos extraer de la sentencia

Llegados a este punto estoy seguro que tienes una pregunta rondándote la cabeza: ¿y todo esto a mí para qué me va a servir?
 
Muchas veces olvidamos que el artículo 22.2 LSSI no es una “ley de cookies” sino una normativa que busca garantizar los derechos y libertades de las personas físicas en lo que respecta al tratamiento de los datos personales y su derecho a la intimidad. Por eso el artículo (con la redacción dada por la posteriormente por la Directiva 2009/136/CE) emplea la locución de “dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios y no simplemente “cookies”. Porque quiere ser un texto neutral y generalista que pueda proteger idóneamente de cualquier tecnología que pueda afectar a la intimidad de los usuarios vía instalación de “algo” y uso de este para recuperar información.
 
Por este motivo, el uso de aplicaciones como Mail Chimp, aunque a priori podamos pensar que están exentas de cumplir con esta normativa, deben aplicar las previsiones del artículo 22.2 LSSI. Y de igual forma otras plataformas que se basan en ideas similares (algo que incluye desde mail trackers hasta empresas de firma electrónica). Así pues, más allá de la infracción por protección de datos que me parece muy específica de este supuesto en concreto (aunque el período de prescripción en este caso es de 3 años desde la comisión de la irregularidad…), creo que hay dos cosas a remarcar con esta SAN 4700/2018: 1) que el artículo 22.2 LSSI va de algo más que las cookies y 2) que si utilizas MailChimp o cualquier tracker de correos electrónicos debes cumplir con lo dispuesto en el artículo 22.2 LSSI.
 
 
Y hasta aquí el post sobre esta interesante sentencia de la Audiencia Nacional. Espero que os haya gustado la cuestión y que no se haya hecho demasiado pesado. En todo caso, si quieres darme feedback sobre el tema te animo a que me contactes por correo electrónico o por alguna red social. Y, si no quieres perderte ninguno de mis futuros posts, deberías suscribirte a mi Newsletter.