¿Usas Mailchimp para mandar un boletín por correo electrónico (newsletter) dentro de la Unión Europea? Si es así, es posible que te estés exponiendo a una sanción.

La agencia alemana de protección de datos ha dictaminado esta pasada semana que es ilegal usar Mailchimp para mandar correos electrónicos por el riego que existe de los datos sean transferidos a las autoridades de de Estados Unidos. Esto entraría en contradicción con el artículo 44 del Reglamento General de Protección de Datos (RGPD).

¿Por qué no se puede usar Mailchimp?

La razón detrás de esta decisión es que Mailchimp es considerado bajo la ley  de EEUU como un  «proveedor de servicios de comunicación electrónica», algo que permitiría que el gobierno norteamericano solicitar acceder a sus bases de datos.

La autoridad alemana se apoya también en el hecho de que Mailchimp no ha informado de ninguna medida adicional puesta en marcha para evitar el acceso del gobierno de EEUU. Algo a lo que estaría obligada según la doctrina derivada del caso «Schrems II».

Mailchimp estaba basando la transferencia de datos entre EEUU y la UE en claúsulas contractuales, algo que no es suficiente para la agencia alemana.

El origen del caso

El caso parte de una denuncia a la revista FOGS que envió dos boletines usando Mailchimp. Después de conocer la resolución, la revisat ha anunciado que dejará de usar los servicios de Mailchimp para enviar sus boletines.

«Según nuestra investigación, el uso de Mailchimp por parte de la revista FOGS en dos ocasiones es inadmisible desde el punto de vista de la legislación en materia de protección de datos, ya que FOGS no comprobó si se eran necesarias medidas adicionales para la transmisión de datos a Mailchimp dentro del marco legal derivado de la decisión del Tribunal de Justicia de la Unión Europea en el caso Schrems II (julio de 2020)».

¿Qué dice el artículo 44 del RGPD y la sentencia del Caso Schrems II?

El artículo 44 del RGPD dice que: «Solo se realizarán transferencias de datos personales que sean objeto de tratamiento o vayan a serlo tras su transferencia a un tercer país u organización internacional si, a reserva de las demás disposiciones del presente Reglamento, el responsable y el encargado del tratamiento cumplen las condiciones establecidas en el presente capítulo, incluidas las relativas a las transferencias ulteriores de datos personales desde el tercer país u organización internacional a otro tercer país u otra organización internacional. Todas las disposiciones del presente capítulo se aplicarán a fin de asegurar que el nivel de protección de las personas físicas garantizado por el presente Reglamento no se vea menoscabado.»

En cuanto a la sentencia del caso Schrems II, esta supuso la abolición del acuerdo de Escudo de Privacidad que, hasta entonces, daba una base legal para los intercambios de datos entre la UE y EEUU. Este acuerdo fue abolido porque el tribunal consideró que no proporcionaba el mismo nivel de seguridad que el RGPD dado el gran poder que dejaba en manos de varias agencias gubernamentales como la NSA o el FBI.

Hora de buscar una alternativa a Mailchimp

Este caso demuestra que el uso de proveedores radicados en EEUU para el tratamiento de datos personales de ciudadanos europeos constituye un riesgo para las empresas y organizaciones.

La mejor manera de minimizar este riesgo es priorizar el uso de proveedores radicados en la UE. Y si no existe una alternativa al uso de un servicio que tenga sus servidores en EEUU, se deben buscar medidas adicionales de seguridad que garanticen que los datos no acaban en manos de las agencias de vigilancia norteamericanas.