Hace unos días el Comité Europeo
de Protección de Datos (más conocido por sus siglas en inglés como EDPB)
publicó en su sitio web de manera muy destacada información relativa a la
conclusión de un expediente por la autoridad bávara de protección de datos
personales (“Bavarian DPA (BayLDA) calls for German company to cease the use of
'Mailchimp' tool”). El asunto, que va referido al empleo de un servicio ofrecido por un prestador estadounidense pero muy popular en la Unión Europea, se enmarca en el contexto de las
exigencias derivadas de la conocida STJUE Facebook
Ireland y Schrems, C-311/18, EU:C:2020:559. Ciertamente hace ya casi nueve
meses que el Tribunal de Justicia no solo declaró la invalidez de la Decisión
(UE) 2016/1250 de la Comisión sobre la adecuación de la protección conferida
por el Escudo de la Privacidad UE-EEUU, sino que además constató que cuando se
emplean cláusulas contractuales tipo para la transferencia de datos personales a
terceros países debe asegurarse que las personas cuyos datos personales son
objeto de transferencia gozan respecto de los datos transferidos de un nivel de
protección sustancialmente equivalente al garantizado dentro de la Unión (apdo.
96 de la sentencia, a la que me referí en su momento aquí y posteriormente aquí al hilo de las Recomendaciones del
EDPB sobre medidas que complementan los instrumentos de transferencia para
garantizar el cumplimiento del nivel de protección de los datos personales de
la UE y del Borrador de Decisión de la Borrador de Decisión sobre cláusulas
contractuales tipo para la transferencia de datos personales a terceros países
en virtud del RGPD).
La noticia reseñada de la autoridad bávara en materia de protección de datos termina destacando que la actuación sobre la que informa constituye un paradigma de su actividad de control de cumplimiento de las exigencias recogidas por el Tribunal de Justicia en esa sentencia. La autoridad de control pone de relieve que a su parecer su actuación en este caso resulta ilustrativa de la intensidad con la que esa actividad de supervisión se lleva a cabo de manera callada y efectiva pese a la críticas recurrentes en la opinión pública por la insuficiente actividad de control.
En síntesis, de lo que da cuenta
la noticia es de que en virtud del expediente abierto tras la reclamación
presentada por un interesado, la autoridad de control ha constatado la ilicitud
de las transferencias de datos consustanciales al uso de ese popular servicio para el envío de mensajes de correo electrónico
(newsletters), en ausencia de medidas complementarias. La reclamación iba dirigida contra una empresa alemana que era usuaria del servicio de mensajería ofrecido por el prestador
estadounidense, en relación con el cual se produce el envío de la dirección de
correo electrónico del interesado reclamante al prestador del servicio, que implica su
transferencia a EEUU. La autoridad de control constata que ese envío resulta
ilegal al vulnerar el RGPD a la luz de la sentencia Facebook Ireland y Schrems y de las exigencias que impone respecto
de las transferencias a EEUU basadas en cláusulas contractuales tipo, destacando que resulta cuestionable que las medidas adicionales requeridas puedan adoptarse en relación con el servicio en cuestión. Además,
la autoridad bávara destaca que fruto de su intervención la empresa objeto de
la reclamación se compromete a no enviar más mensajes utilizando los servicios
del prestador en cuestión.
Pese al indudable interés de la
noticia y a que en el caso concreto la no imposición de una sanción a la empresa
alemana pueda considerarse apropiada, resulta paradójico que esta actuación –que todo lo
que consigue es que una empresa que ha utilizado el servicio en cuestión dos
veces deje de hacerlo en el futuro- se presente como un gran logro y reflejo de
la eficaz aplicación del RGPD. Lo cierto es que la reclamación en cuestión iba
referida al uso de los servicios de un prestador muy popular en la UE para el envío de newsletters y comunicaciones similares
y que una actuación por la autoridad de control como la reseñada difícilmente producirá un impacto significativo en el
empleo muy extendido en el seno de la Unión Europea de ese concreto servicio, pese a que el mismo implique la
realización de transferencias internacionales cuya ilicitud en situaciones como la analizada parece resultar
manifiesta a la autoridad de control bávara. Conviene, además, tener presente que esta
situación no solo tiene repercusión sobre el eventual menoscabo del derecho a
la protección de datos personales de los afectados sino también sobre la
posición de eventuales competidores, especialmente situados en la UE, del
prestador de servicio establecido en EEUU al que se transfieren los datos.
