A Autoridade de Proteção de Dados da Baviera determinou que qualquer editor alemão não possa transferir endereços de e-mail para MailChimp nos EUA para envio de boletins informativos. Essa decisão ilustra claramente os obstáculos enfrentados pelos comerciantes estrangeiros sob o GDPR. Uma das principais preocupações é que os dados possam ser acessados por agências de inteligência dos EUA.
Uma parte ofendida protestou à autoridade (o BDPA) sobre a transferência de dados, o que resultou em um inquérito oficial e um veredicto. O nome da empresa alemã que levou o caso ao BDPA não foi divulgado, mas confirma-se que usou o MailChimp com pouca frequência e desde então parou. Também não há relatos de qualquer ação legal ou multa contra a empresa.
O BDPA disse em 15 de março:
“Estamos nos referindo à sua reclamação de proteção de dados contra …. sobre o uso do ” Mailchimp “. Como resultado de nossa intervenção, a empresa nos informou que havia usado o Mailchimp duas vezes para enviar newsletters. Como resultado de nossa intervenção, a empresa nos informou agora que não usará mais o Mailchimp com efeito imediato.
A empresa também nos informou que só havia transmitido endereços de e-mail ao Mailchimp no contexto do uso mencionado acima. Mencionou também que as recomendações do Conselho Europeu de Proteção de Dados sobre as chamadas Medidas Complementares para transferências de dados pessoais para países terceiros ainda não estão disponíveis em versão final, mas ainda estão sujeitas a consulta pública; isso está correto.
De acordo com nossa avaliação, o uso do Mailchimp por …. nos dois casos mencionados – e, portanto, também a transferência do seu endereço de e-mail para o Mailchimp, que é o objeto da sua reclamação – foi ilegal sob a lei de proteção de dados, porque …. não examinou se, além das cláusulas padrão de proteção de dados da UE (que foram usadas), “medidas adicionais" na acepção da decisão do TJCE “Schrems II” (TJE, acórdão de 16.7.2020, C-311/18) eram necessários para tornar a transferência compatível com os requisitos de proteção de dados e, no presente caso, havia pelo menos indicações de que o Mailchimp pode, em princípio, estar sujeito ao acesso de dados pela inteligência dos EUAserviços com base na disposição legal dos EUA FISA 702 (50 USC § 1881) como um possível chamado Provedor de Serviços de Comunicações Eletrônicas e, portanto, a transferência só poderia ser legal se tais medidas adicionais (se possível e suficiente para remediar o problema) fossem tomadas”
A autoridade concluiu que a transferência, que foi realizada sob as cláusulas contratuais padrão da UE (SCCs), quebrou os acordos alcançados no julgamento anterior de privacidade Schrems II na UE.
“Esse tipo de interpretação do Schrems II é justamente o resultado que muitas empresas multinacionais temiam quando o Schrems II defendia o uso de SCCs, mas lançava suspeitas sobre a eficácia dos SCCs como ferramenta de transporte de dados para os Estados Unidos “, comenta Lexology.
O veredicto afirma ainda: “Houve sinais de que o MailChimp foi reconhecido como um provedor de comunicações trabalhando sob a jurisdição de vigilância dos EUA. Portanto, um perigo na forma de agências de inteligência dos EUA acessando esses endereços de e-mail paira indefinidamente. MailChimp também não fez comentários sobre o veredicto. Embora o nome da empresa alemã nunca tenha sido revelado, há rumores de que é uma revista de moda.
De acordo com a Lexology, as empresas que utilizam processadores de dados localizados fora da UE devem considerar as localizações desses processadores e as diferentes jurisdições que lhes são aplicadas. Isso é necessário para garantir que dados e informações pessoais não estejam disponíveis ou acessíveis por qualquer entidade governamental.