Conformidad con el RGPD y protección de datos de la UE

Te ofrecemos más información sobre cómo se aplica el RGPD a tu uso de Mailgun y qué hemos hecho para asegurar la conformidad con esta norma y darte más control sobre tus datos.Última actualización el 28/08/2020

Introducción al RGPD

En Mailgun somos firmes defensores de la privacidad y nos preocupamos por los derechos de nuestros usuarios. Con vistas a la implementación del RGPD (la nueva norma de privacidad de la UE desde el 25 de mayo de 2018), hemos trabajado duro creando numerosas funciones que dan al cliente más control sobre los datos que se almacenan en nuestra plataforma. Hemos diseñado y habilitado estas funciones para todos nuestros clientes, con independencia de si el RGPD les afecta específicamente o no.

Hemos elaborado este documento para explicarte cómo se aplicará el RGPD al uso que hagas de Mailgun y qué hemos hecho para garantizar el cumplimiento por nuestra parte de las nuevas normas.

Te recomendamos que leas este documento atentamente y se lo traslades a tu equipo de privacidad.

Nota: las leyes de protección de datos de la UE, como el propio RGPD, son complejas. Esta guía no debe considerarse como asesoramiento jurídico. Para informarte de los pormenores de cómo afecta el RGPD a tu empresa, consulta a un profesional de derecho.

¿Qué es el Reglamento General de Protección de Datos (RGPD)?

El RGPD es una norma diseñada para armonizar la legislación de privacidad de los datos en toda la Unión Europea (UE). Este nuevo reglamento ofrece a las personas que estén en la UE una mayor transparencia y control sobre cómo se usan sus datos personales y hace a las empresas que manejan datos personales responsables de sus decisiones. Incluso las empresas que no estén radicadas en la UE deben cumplir con el RGPD si recopilan y tratan datos personales de personas ubicadas en la UE.

¿Mailgun es responsable o encargado de tratamiento?

Si tus actividades de tratamiento de datos entran en el ámbito cubierto por el RGPD, una de las primeras preguntas que deberías hacerte es “¿yo soy responsable del tratamiento o encargado?”. La respuesta a esta pregunta ayuda a determinar cuáles son tus obligaciones para cumplir el RGPD. El responsable del tratamiento es la entidad que determina la finalidad y los medios de tratamiento. Como cliente de Mailgun, funcionas como responsable cuando utilizas nuestros productos y servicios. Tienes la responsabilidad de asegurar que los datos personales que recopilas se traten de forma lícita y de que tus encargados de tratamiento proporcionen garantías suficientes para cumplir los requisitos clave del RGPD, como Mailgun.

Mailgun se considera encargado del tratamiento. Actuamos siguiendo instrucciones del responsable (tú), que nos llegan en forma de solicitudes SMTP o a la API. No obstante, los encargados tenemos que cumplir el RGPD igual que los responsables.

¿Con qué fundamento jurídico podéis recopilar y tratar datos personales?

Como encargados del tratamiento de datos, contamos con que nuestros clientes garantizan que los datos se obtengan sobre la base de alguno de los motivos legítimos de tratamiento conforme al RGPD. Tú, como responsable del tratamiento, puedes recopilar datos personales sobre la base de alguno de los siguientes fundamentos jurídicos: (i) consentimiento; (ii) cuando el tratamiento sea necesario para la ejecución de un contrato en el que el interesado sea parte; (iii) cuando el tratamiento sea necesario para cumplir una obligación legal; (iv) cuando el tratamiento sea necesario para proteger intereses vitales del interesado o de otra persona; (v) cuando el tratamiento sea necesario a efectos de los intereses legítimos por los que veláis tú (o un tercero), a menos que sobre dichos intereses prevalezcan los intereses, derechos y libertades del interesado.

¿Qué datos personales recopila Mailgun y cómo los utiliza?

Tenemos el compromiso de ser transparentes con cómo manejamos y tratamos los datos personales. Como uno de nuestros clientes, debes ser consciente de cómo manejamos los datos personales en tu nombre.

Conservamos los datos únicamente durante el tiempo necesario para prestar nuestros servicios. Cuando es posible, empleamos mecanismos que nos permiten eliminar automáticamente los datos una vez que ya no son necesarios para dar servicio.

Cuerpos de los mensajes

Mailgun almacena los cuerpos de los mensajes durante un máximo de siete días, tanto de los mensajes entrantes como de los salientes. En el caso de los salientes, el almacenamiento temporal permite que nuestros sistemas intenten volver a entregar los mensajes que no pudieron ser entregados en el primer intento. Los clientes que utilizan nuestras funciones de análisis de correo entrante utilizan este almacenamiento para poder extraer los mensajes que han recibido.

Para algunos clientes, el plazo de retención de mensajes puede ajustarse selectivamente conforme a instrucciones escritas entre el cliente y Mailgun. Además, ofrecemos funciones que impiden la extracción de los mensajes mediante programación o que permiten eliminar los mensajes de forma segura después de su entrega.

Por último, nuestro personal puede acceder a los cuerpos de los mensajes para ayudar a los clientes a diagnosticar problemas de entrega o en respuesta a una posible violación de la PUA. El acceso por parte de los empleados se audita de forma rutinaria y todos aquellos empleados o personal en contacto con datos personales están sujetos a nuestras disposiciones de confidencialidad.

Metadatos de los mensajes

Los metadatos de un mensaje, que incluye el remitente, el/los destinatario(s), la línea de asunto, la dirección IP de origen y otros datos de enrutamiento se indexan y se mantienen durante 30 días.

Como los mensajes los procesa Mailgun, generamos eventos individuales en cada servicio que trate procesamiento de mensajes. Estos datos resultan muy útiles a la hora de diagnosticar problemas de procesamiento y entrega que puedan surgir. Estos datos están disponibles en su totalidad a través de nuestros logs y nuestra API de eventos.

Por último, nuestro personal puede utilizar estos datos de eventos para atender solicitudes de asistencia de los clientes o en respuesta a una posible infracción de la PUA.

Supresiones

Las supresiones son direcciones de email que se almacenan permanentemente y que entran en esta categoría tras un rebote definitivo, una queja o una cancelación de la suscripción. Almacenamos las supresiones mientras no las elimines o borres tu cuenta.

Cuando se eliminan las supresiones, se borran de forma permanente del sistema. No obstante, pueden quedar almacenadas hasta 30 días tras la eliminación en un sistema de copia de seguridad a efectos de recuperación tras desastres.

Datos de los destinatarios

Mailgun almacena la actividad de las direcciones de correo electrónico de los destinatarios en formato hash (pseudonimizado). Estos datos nos dan una mayor precisión a la hora de verificar las direcciones antes de hacer los envíos, detectar remitentes potencialmente peligrosos que pueden dañar la reputación de la dirección IP y ayudar a los clientes a optimizar sus procesos de entrega.

Estos datos de los destinatarios solo se usan dentro de la prestación de los servicios de Mailgun.

¿Cómo nos comprometemos al cumplimiento del RGPD?

Como responsables del tratamiento, tenemos obligaciones específicas conforme al RGPD. En esta sección, nos examinamos cómo manejamos los datos personales y qué iniciativas tomamos para garantizar que tú, como cliente nuestro, puedas confiar en nosotros.

Entre nuestras acciones para cumplir el RGPD, hemos realizado un análisis de riesgos detallado de todas las aplicaciones que pueden procesar datos personales de personas ubicadas en la UE. Tomando como base los resultados de este análisis, hemos aplicado medidas adecuadas que nos permiten dar cumplimiento a los nuevos requisitos.

En primer lugar, hemos reunido un equipo dedicado de especialistas en seguridad y protección de datos que se encarga de revisar el tratamiento que hace Mailgun de datos personales y asegurar que siempre tengamos presente la privacidad.

Gracias a este equipo, hemos tomado gran cantidad de medidas proactivas con vistas a la conformidad con el RGPD:

Hemos implementado o estamos trabajando en nuevas políticas y procedimientos para poder detectar las infracciones de seguridad de datos personales y notificar a nuestros clientes sin demora indebida para asegurar que cumplan los requisitos de notificación del RGPD en este tipo de casos. Hemos desarrollado procedimientos para poder atender las solicitudes que recibimos de los interesados e informarte de tales solicitudes. Hemos revisado y actualizado las políticas y controles de seguridad que tenemos en vigor, y que sometemos a continuas pruebas y evolución en línea con los cambios en la normativa y los requisitos de gobernanza. Hemos nombrado un delegado de protección de datos, que será responsable del cumplimiento del RGPD en toda la empresa. Impartimos con regularidad formación sobre protección de datos a nuestros empleados y personal. Hemos creado y mantenemos un registro de actividades de procesamiento de datos. Estas son solo algunas de las medidas que hemos tomado a efectos de dar cumplimiento al RGPD, que constituye una actividad continua de la que estamos constantemente pendientes. Dispones de más información sobre el RGPD con Mailjet.

¿Qué pasa con los subencargados de Mailgun?

Los encargados del tratamiento pueden recurrir a terceros a la hora de tratar los datos personales. Tales entidades se denominan “subencargados”. En Mailgun utilizamos proveedores de infraestructura en la nube como Amazon Web Services, Rackspace, Softlayer o Google Cloud Platform para alojar Mailgun. Tal y como requiere el RGPD, hemos implementado medidas adecuadas con nuestros subencargados que nos permiten proteger los datos personales que tratamos en tu nombre. Si eres cliente nuestro, te proporcionaremos una lista exhaustiva de los subencargados que colaboran con nosotros.

¿Cómo te respaldamos a la hora de tratar con los derechos de los interesados?

En el marco del RGPD, los interesados de la UE pueden acceder a sus datos personales, rectificarlos, eliminarlos o exportarlos. También tienen derecho a limitar el tratamiento de sus datos personales.

Hemos diseñado nuestra plataforma con varias funciones de autoservicio que nuestros clientes pueden aprovechar como ayuda a la hora de revisar los datos personales almacenados en nuestra plataforma para responder a solicitudes sobre los datos.

En particular, estas funciones están diseñadas para respaldar el derecho a la portabilidad de los datos, el derecho de acceso y el derecho al olvido.

Cuando nosotros, como encargados del tratamiento, recibamos directamente una solicitud de un interesado, la trasladamos al cliente respectivo dentro de un plazo de siete días para que responda a la solicitud del interesado (salvo si la legislación requiere algo distinto).

¿Qué es un Acuerdo de Tratamiento de Datos y por qué lo necesitamos?

Si eres un responsable del tratamiento de datos, el RGPD exige que formalices un contrato con tus encargados del tratamiento. Este contrato se denomina “Acuerdo de Tratamiento de Datos” (ATD) y en él se establece cómo cumplen el responsable y el encargado del tratamiento los requisitos del RGPD.

Para facilitarte la vida, hemos preparado un modelo de ATD que nuestros clientes pueden firmar. Nuestro ATD está diseñado para dar cumplimiento a las disposiciones del Artículo 28 del RGPD y en él se incluyen las obligaciones respectivas de Mailgun, como responsable del tratamiento, y del cliente, como encargado del tratamiento.

Ver el ATD de Mailgun

¿Cómo garantizamos que los datos personales se transfieran a fuera del EEE de forma legal?

El RGPD no exige que las actividades de tratamiento de datos se vean limitadas a la UE, pero sí regula la transferencia de datos personales a fuera del Espacio Económico Europeo (EEE). Para ello, el RGPD prevé diferentes mecanismos de transferencia.

Mailgun garantiza la protección de los datos de nuestros clientes de principio a fin mediante la implementación de medidas técnicas y organizativas sólidas, incluyendo nuestros periodos de retención de datos, almacenamiento y transferencias de datos, y protocolos de cifrado. Todos ellos están públicamente disponibles bajo los principios de responsabilidad y transparencia que priorizamos en Mailgun. También hemos establecido cláusulas contractuales Modelo para la UE en nuestra Cláusula Adicional al Tratamiento de Datos, y con todos nuestros proveedores para garantizar que cualquier transferencia de datos se realice de forma adecuada y segura.