El comisionado de protección de datos de Baviera se ha pronunciado en contra de Mailchimp y la sentencia Schremps II sobre la transferencia de datos a los EE. UU.

esto no es penalti, ni un castigo, sino un precedente legal que podría provocar, en el futuro, numerosas palancas para nuevas mociones en el contexto europeo. Pero, ¿de qué se trata exactamente? ¿Y por qué podría ser tan importante esta decisión?

Estamos hablando de MailChimp, una de las herramientas de correo masivo más famosas del mercado, e de envío de datos personales fuera del territorio europeoespecíficamente en los Estados Unidos de América. Un procedimiento ilegítimo incluso si se basa en ciertas cláusulas contractuales, especialmente si las mismas no se siguen con medidas adicionales. Y son precisamente estas "medidas adicionales", nunca realmente especificadas, las que están causando discusión.

Sentencia Schrems II: ¿qué pasó?

La BahíaLDA, o Bavarian DPA, el garante de privacidad bávaro, ha fallado recientemente contra Mailchimp por incumplimiento de las indicaciones encontradas en la sentencia Schrems II en relación con la transferencia de datos a los Estados Unidos de América.

La decision sienta un precedente muy importante en el campo del derecho digital. Si bien no hubo sanciones monetarias o de prisión, este es el primer caso posterior a Schrems II sujeto a una decisión formal por parte de las autoridades. Pero vamos en orden.

¿Qué es Schrems II, la sentencia que invalida el escudo de privacidad?

El TJUE (Tribunal de Justicia de la UE) envió una solicitud de aclaración sobre protección de datos a través del abogado activista Schrems, en 2015. El objetivo era pedir al supervisor de protección de datos irlandés que obligara a Facebook a transferir datos de la UE a EE. Cláusulas contractuales tipo.

Estamos hablando del período anterior a la publicación del RGPD y todas las cláusulas sobre el procesamiento de datos. El fallo se produjo el 16 de julio de 2020 y Schrems II invalidó el Escudo de privacidad como mecanismo para las transferencias de datos de la UE a los EE. UU., proporcionando una guía importante para las empresas estadounidenses con respecto a los datos de EE. UU. 'Europa.

En definitiva, para conceder la transferencia a USA era necesario garantizar un nivel adecuado de protección de datos. ¿Cómo estás? Las grandes empresas, como Google y Microsoft, tienen centros de datos ubicados estratégicamente en todo el mundo. Sin embargo, las leyes sobre datos personales en los EE. UU. son diferentes de las de la UE. En otras palabras: la agencia de seguridad de la NSA puede acceder a él en cualquier momento.

Para eso están las excepciones al RGPD: se trata de cláusulas aprobadas por la Comisión Europea y por la Autoridad de Supervisión que se aprueban a petición de la empresa, y tienen valor específico sólo para la actividad descrita en la ordenanza. Entre las diversas máquinas para la protección de datos también se encuentra la de las SCC, o las Cláusulas Contractuales Tipo. En la práctica, tanto la empresa ubicada en Europa como la extranjera deben acordar utilizar un contrato específico que debe ser aprobado previamente por la UE. A continuación, será necesario firmar el SCC para que el intercambio de datos surta efecto.

Sin embargo, la sentencia Schrems II de alguna manera ha redujo los procedimientos estándar utilizados normalmente, imponiendo “medidas adicionales”. La vaguedad de este asunto ha llevado a muchas empresas a evitar el nudo, simplemente saltándolo para ignorarlo. Sin embargo, las autoridades tienen que hacer algo y quizás, con la sentencia BayLDA, se pueda dar un nuevo paso hacia el acuerdo.

¿Qué pasó en Baviera? ¿Qué pasa con las "medidas adicionales"?

Un ciudadano bávaro, que recibió una lista de correo en nombre de una revista local a través de Mailchimp, decidió presentar una denuncia ante la autoridad competente. Esta autoridad se ha adelantado diciendo que enviar datos de la UE a los EE. UU. no siempre es ilegítimo, sin embargo, lo es si no se respetan los dictados del RGPD según lo interpretado por el Tribunal de Justicia de la Unión Europea. En resumen: Mailchimp hizo esto, pero no se dice que la transferencia de datos a los EE. UU. fuera fraudulenta. Primero debe demostrarlo, profundizando en los métodos de transferencia utilizados.

Mailchimp, una empresa estadounidense, ha traído su propia interpretación de “medidas adicionales” del que hablábamos antes. De los cuales, sin embargo, de Schrems II, aún no se ha publicado una versión final.

Si bien la autoridad de control ha avalado de alguna manera la moción de Mailchimp, la empresa al menos debería haber abordado el problema del envío de datos a territorio estadounidense, realizando al menos una DPIA para evaluar el grado de riesgo de la operación. Huelga decir que esta evaluación nunca se ha hecho.

Es precisamente en virtud de la falta de publicación de estas "medidas adicionales" en su totalidad que la Autoridad ha decidido no sancionar a Mailchimp. Y el responsable del tratamiento tampoco.

¿Por qué es esta una decisión tan importante?

La decisión de Mailchimp es fundamental porque, si a primera vista puede parecer el precursor de un montón de acciones fraudulentas, es más bien un primer paso hacia la aplicación de la sentencia Schrems II, que ha estado acumulando polvo hasta ahora.

¿Qué tipo de multa se aplicó?

Como decíamos, Mailchimp no ha recibido ningún tipo de multa. Sin embargo, la Autoridad constató que, si bien los datos fueron transferidos utilizando métodos inadmisibles, la persona autorizada -es decir, el ciudadano libre- no tenía facultades para solicitar la sanción.

En resumen, un particular no puede mover la instancia en un caso como Mailchimp. Después de todo, este caso no atañe a los derechos y libertades de la parte interesada, sino que tiene como objetivo hacer valer el interés público en la aplicación de la ley.

¿Cuáles son los posibles escenarios futuros de esta decisión?

Es difícil decir cuáles serán las consecuencias reales de esta sentencia, que sólo puede, por el momento, considerarse un precedente válido. De hecho, podría suceder que otras autoridades se inclinen por decisiones de ilegitimidad no acompañadas de sanciones monetarias. O podría darse el tan esperado desarrollo de estas “medidas adicionales”.

Lo único seguro es que, independientemente de la multa, Mailchimp ha causado una mala impresión frente a sus clientes, perdiendo su imagen.