La Autoridad de Datos de Baviera prohíbe a los editores usar Mailchimp en los EE. UU.
La Autoridad de Protección de Datos de Baviera ha ordenado que ningún editor alemán pueda transferir direcciones de correo electrónico a MailChimp en los EE. UU. para enviar boletines. Este fallo ilustra claramente los obstáculos que enfrentan los comerciantes extranjeros bajo el RGPD. Una de las principales preocupaciones es que las agencias de inteligencia estadounidenses puedan acceder a los datos .
Una parte agraviada protestó ante la autoridad (la BDPA) por la transferencia de datos, lo que resultó en una investigación oficial y un veredicto. No se ha revelado el nombre de la empresa alemana que llevó el caso a la BDPA, pero se confirma que había usado MailChimp con poca frecuencia y desde entonces dejó de hacerlo. Tampoco hay informes de ninguna acción legal o multa en contra de la empresa.
La BDPA dijo el 15 de marzo:
“Nos referimos a su reclamación de protección de datos contra…. sobre el uso de ” Mailchimp “. Como resultado de nuestra intervención, la empresa nos ha informado que había utilizado Mailchimp dos veces para enviar boletines. Como resultado de nuestra intervención, la empresa nos ha informado que dejará de utilizar Mailchimp con efecto inmediato.
La empresa también nos informó que solo había transmitido direcciones de correo electrónico a Mailchimp en el contexto del uso mencionado anteriormente. También mencionó que las recomendaciones del Consejo Europeo de Protección de Datos sobre las denominadas Medidas Complementarias para transferencias de datos personales a terceros países aún no están disponibles en una versión final, pero aún están sujetas a consulta pública; esto es correcto
Según nuestra valoración, el uso de Mailchimp por…. en los dos casos mencionados, y por lo tanto también la transferencia de su dirección de correo electrónico a Mailchimp, que es objeto de su queja, fue ilegal según la ley de protección de datos, porque …. no había examinado si, además de las cláusulas estándar de protección de datos de la UE (que se utilizaron), "medidas adicionales" en el sentido de la decisión del TJCE "Schrems II" (TJCE, sentencia de 16.7.2020, C-311/18) eran necesarios para que la transferencia cumpliera con los requisitos de protección de datos, y en el presente caso había al menos indicios de que Mailchimp puede, en principio, estar sujeto al acceso de datos por parte de la inteligencia de EE. UU.servicios basados en la disposición legal de los EE. UU . FISA 702 (50 USC § 1881) como un posible proveedor de servicios de comunicaciones electrónicas y, por lo tanto, la transferencia solo podría ser legal si se tomaran tales medidas adicionales (si es posible y suficiente para remediar el problema)"
La autoridad concluyó que la transferencia, que se llevó a cabo bajo las cláusulas contractuales estándar (SCC) de la UE, infringió los acuerdos que se alcanzaron en la sentencia de privacidad Schrems II anterior en la UE.
“Este tipo de interpretación de Schrems II es precisamente el resultado que muchas empresas multinacionales temían cuando Schrems II defendió el uso de SCC pero arrojó sospechas sobre la efectividad de SCC como herramienta para llevar datos a los Estados Unidos “, comenta Lexology.
El veredicto afirma además: “Hubo indicios de que MailChimp fue reconocido como un proveedor de comunicaciones que trabaja bajo la jurisdicción de vigilancia de los EE. UU. Por lo tanto, se avecina indefinidamente un peligro en la forma de que las agencias de inteligencia estadounidenses accedan a esas direcciones de correo electrónico. MailChimp tampoco ofreció ningún comentario sobre el veredicto. Aunque nunca se reveló el nombre de la empresa alemana, se rumorea que se trata de una revista de moda.
Según Lexology, las empresas que utilizan procesadores de datos ubicados fuera de la UE deben considerar las ubicaciones de estos procesadores y las diferentes jurisdicciones que se les aplican. Esto es necesario para garantizar que los datos personales y la información no estén disponibles o accesibles para ninguna entidad gubernamental.