La autoridad de control de Baviera ha requerido a una empresa alemana que deje de usar Mailchimp, a pesar de estar aplicando Cláusulas Contractuales Tipo.
Son ya varios los ejemplos prácticos que se han derivado de la aplicación del caso Schrems II. Uno de los más recientes se encuentra en Alemania, donde la autoridad de control de Baviera ha requerido a una empresa de publicidad que deje de usar Mailchimp, la popular plataforma estadounidense de email marketing. A pesar de que la transferencia de datos a Mailchimp, y por extensión a Estados Unidos, se basaba en Cláusulas Contractuales Tipo, el tribunal ha considerado que no era legítima. Se determinó que la empresa no había llevado a cabo diligencia debida en relación a la comprobación de que los datos se encontrasen protegidos de manera adecuada de cualquier solicitud de acceso por parte de las autoridades de vigilancia de Estados Unidos.
Mientras que las transferencias de datos realizadas por la empresa alemana se basaban en las Cláusulas Contractuales Tipo, la autoridad de control de Baviera indicó que no se había aplicado la correspondiente diligencia debida.
La queja presentada contra la compañía de publicidad alemana frente a la autoridad de control de Baviera se basaba en su uso ocasional de Mailchimp para la newsletter. Las transferencias de datos a Mailchimp que efectuaba la reclamada se encontraban cubiertas por las Cláusulas Contractuales Tipo. Sin embargo, bajo la ley de vigilancia estadounidense FISA 702, Mailchimp se cataloga como un “proveedor de servicios de comunicaciones electrónicas”, lo que sitúa a las direcciones de email transferidas en riesgo de acceso por parte de los servicios de inteligencia estadounidenses. La autoridad de control de Baviera estableció que se requerían pasos adicionales en lo que respecta a la diligencia debida a fin de identificar qué medidas adicionales deberían adoptarse para asegurar que los datos transferidos a Mailchimp se encuentran protegidos de los programas de vigilancia estadounidenses.
Tras la resolución de la autoridad de control de Baviera, la compañía ha dejado de utilizar Mailchimp con efecto inmediato, a fin de evitar así posibles multas.
La empresa alegó que su uso de Mailchimp era legítimo conforme al Artículo 44 del RGPD. El considerando 102 recoge que “Los Estados miembros pueden celebrar acuerdos internacionales que impliquen la transferencia de datos personales a terceros países u organizaciones internacionales siempre que dichos acuerdos no afecten al presente Reglamento ni a ninguna otra disposición del Derecho de la Unión e incluyan un nivel adecuado de protección de los derechos fundamentales de los interesados”. En este caso, se falló que esta compañía alemana no podía proteger adecuadamente los derechos fundamentales de los sujetos afectados porque no había protegido los datos de manera suficiente frente al potencial acceso de los programas de vigilancia estadounidenses. Así por tanto, la compañía de publicidad cesó inmediatamente en su uso de Mailchimp para la newsletter, con el objetivo de evitar que la autoridad de control de Baviera le impusiese una multa.
Esta resolución de la autoridad de control de Baviera ofrece más contexto sobre la aplicación de Schrems II.
Esta resolución de la autoridad de control de Baviera arroja más luz para aquellas empresas que estén transfiriendo datos con las Cláusulas Contractuales Tipo como mecanismo de protección, pues en ocasiones estas no serán suficientes. Se deberá aplicar diligencia debida para las transferencias de datos fuera de Europa o de Reino Unido. Debido a las leyes de vigilancia de terceros países, que podrían no ser compatibles con aquellas de Europa o de Reino Unido, podrían necesitarse medidas suplementarias para proteger de forma adecuada los datos que se transfieren a proveedores que se encuentren en dichos terceros países.