En julio de 2020, el Tribunal de Justicia de la Unión Europea declaró inadecuada la protección de datos personales que ofrece el Escudo de Privacidad UE-EE.UU debido a que no se encuentra en conformidad a GDPR. Muchas empresas estadounidenses que procesan datos de usuarios europeos (como Mailchimp, Active Campaign, Campaign Monitor y otros productos de software líder de email marketing, Sendgrid, Smtp.com, Mailgun y otros servicios SMTP profesionales) han basado su actividad en el Escudo de privacidad, que previò la elaboración de una especie de autocertificación en la que se declaraba la adopción de medidas de protección adecuadas para la protección de datos. Con la abolición de este acuerdo entre EE. UU. y la UE, la única forma de que las empresas estadounidenses continúen operando aquí parece ser trasladando su sede a Europa. A la luz de estos hechos, es posible que deba encontrar alternativas europeas a Mailchimp, que garanticen la protección de sus datos personales de acuerdo con el GDPR.
Normas de privacidad de la UE para empresas no europeas
Según los informes, el Tribunal de Justicia de la Unión Europea se ha pronunciado en contra del escudo UE-EE. UU., debido a que las regulaciones internas de EE. UU no brindan garantías suficientes en términos de protección de datos. Sin embargo las cláusulas contractuales de protección de datos, se consideraron válidas, siempre que se garantice un nivel de protección igual al GDPR en los contratos.
En cualquier caso, quienes utilicen Mailchimp u otros sistemas de EE. UU. para enviar sus correos electrónicos deben asegurarse de que el destinatario haya otorgado su consentimiento explícito a la transferencia de datos fuera de la UE, después de ser informado sobre los posibles riesgos.
En esencia, el nivel de protección de datos (es decir, todas las garantías adecuadas, derechos exigibles y recursos efectivos) requerido en el contexto de la transferencia de datos de la UE a otros países debe ser equivalente al garantizado por la Unión Europea. Por este motivo (ya que es posible que no exista una equivalencia real debido a los diferentes ordenamientos jurídicos, la distancia y los diferentes idiomas), a pesar de la vigencia de las cláusulas contractuales, es posible que muchas empresas europeas no se sientan cómodas confiando sus datos a un servicio de email marketing estadounidense.
GDPR y marketing por correo electrónico después de la cancelación del Escudo de privacidad
En el caso de una plataforma de email marketing, la transferencia de datos se realiza en servidores de Estados Unidos y su tratamiento se encuentra sujeto a la normativa interna americana, por lo que es difícil para una empresa americana garantizar los mismos estándares de protección de datos que una Empresa europea alineada con el RGPD. Los sistemas legales vigentes en los estados europeos son de hecho muy diferentes de los vigentes en los Estados Unidos y, también en términos de protección de la privacidad, siempre prevalece la ley nacional.
La decisión del Tribunal de Justicia de la Unión Europea parece venir finalmente al rescate de las empresas europeas, que siempre han sido eclipsadas por las estadounidenses. Mientras que empresas estadounidenses como Mailchimp operan con tranquilidad en el territorio sin tener que cumplir con la normativa fiscal.
Conclusiones
Recientemente, la Autoridad de Protección de Datos de Baviera se pronunció en contra de Mailchimp, por considerar insuficientes las garantías ofrecidas para la transferencia de datos a Estados Unidos. No se impuso ninguna sanción económica a la empresa estadounidense, sino una simple advertencia que, sin embargo, constituye un precedente. La transferencia de datos a países no pertenecientes a la UE, de hecho, debe considerarse ilegítima si las cláusulas contractuales no van acompañadas de medidas adicionales que permitan el pleno cumplimiento del RGPD.