Mailchimp es un proveedor de servicios digitales que según la FISA está obligado a enviar datos personales internacionales por razones de seguridad.
Fuente: Canal de YouTube Actualidad IP & IT
El caso Schrems II sigue trayendo consecuencias en la aplicación práctica de la protección de datos. Esta vez, se trata de una decisión de la Autoridad de Protección de Datos de Baviera que ha considerado que el uso de Mailchimp por parte de una empresa alemana vulneraba el RGPD.
Mailchimp es una empresa estadounidense dedicada a implementar campañas de email marketing y fue utilizada en un par de ocasiones por la citada empresa alemana (de la que no se conoce su nombre comercial) para enviar correos electrónicos a sus clientes. Y para ello, compartió con Mailchimp las direcciones de correo de sus clientes europeos.
Dado que las transferencias internacionales de datos originadas dentro del espacio económico europeo y dirigidas a EEUU actualmente están solo limitadas a la protección contractual, se ha generando cierta incertidumbre acerca de su validez. Es por esto por lo que resoluciones como ésta de la autoridad bávara, arrojan un poco más de luz ante esta situación.
Mailchimp y la FISA
Así, en la resolución de la entidad alemana, se ha considerado que existen indicios de que Mailchimp es un proveedor de servicios de comunicaciones electrónicas. Esto, de acuerdo a la sección 702 de la Foreign Intelligence Survaillance Act (FISA), obliga a Mailchimp a entregar información extranjera para actividades de inteligencia, siempre que el gobierno estadounidense lo solicite.
En este caso concreto, el gobierno de EEUU estaría habilitado para solicitarle a Mailchimp información y datos personales contenidos en e-mails de ciudadanos alemanes. Es por esto, y en el marco de la resolución de Schrems II, por lo que la autoridad de protección de datos ha considerado ilegal el tenerlo como proveedor.
Fuente: Photo by Charles Deluvio on Unsplash
Ausencia de análisis
Cabe destacar que no es ilegal per se tener un proveedor estadounidense, sino el no haber realizado un análisis para determinar si se deben implementar medidas de protección adicionales a las Cláusulas Contractuales Tipo. La Autoridad de protección de datos de Baviera ha considerado que el responsable del tratamiento no desarrolló un análisis exhaustivo para determinar la necesidad o no de estas medidas adicionales, por lo que no previó garantías adicionales para la transferencia más allá de las Cláusulas Contractuales Tipo establecidas por la Comisión Europea.
Por ello, esta resolución destaca la importacia que tiene realizar este análisis exhaustivo, ya que sin él no podemos afirmar realmente que la transferencia que estamos realizando como responsables del tratamiento sea segura al no haber considerado si es necesario aplicar medidas de protección adicionales.
Este caso refleja la situación en la que se encuentran actualmente multitud de responsables del tratamiento ante la incertidumbre a la hora de realizar transferencias de datos internacionales a EEUU. Aunque estas transferencias pueden ser prácticamente inocuas, hacen falta herramientas para que los responsables del tratamiento puedan analizar estas transferencias. Así como para implementar, cuando sea el caso, medidas adicionales.
Recomendaciones del Comité Europeo
Las Recomendaciones 1/2020 del Comité Europeo de Protección de Datos pueden ayudar a los responsables a tomar las decisiones correctas en estos casos. En ellas se puede encontrar precisamente información sobre estas medidas adicionales a implementar para garantizar la adecuación de la transferencia.
Recordemos también que la UE y EEUU están negociando un nuevo acuerdo para la transferencia de datos internacionales entre ambos territorios, por lo que hasta que salga dicho acuerdo, estas recomendaciones tendrán un carácter fundamental a la hora de llevar a cabo transferencias internacionales de datos a EEUU y otros posibles destinos no seguros.
Autor del vídeo referenciado:
