En julio de 2020, el Tribunal de Justicia de la Unión Europea declaró inadecuada la protección de datos personales que ofrece el Escudo de Privacidad UE-EE.UU debido a que no se encuentra en conformidad a GDPR. Muchas empresas estadounidenses que procesan datos de usuarios europeos (como Mailchimp, Active Campaign, Campaign Monitor y otros productos de software líder de email marketing) han basado su actividad en el Escudo de privacidad, que previò la elaboración de una especie de autocertificación en la que se declaraba la adopción de medidas de protección adecuadas para la protección de datos. Con la abolición de este acuerdo entre EE. UU. y la UE, la única forma de que las empresas estadounidenses continúen operando aquí parece ser trasladando su sede a Europa. A la luz de estos hechos, es posible que deba encontrar alternativas europeas a Mailchimp, que garanticen la protección de sus datos personales de acuerdo con el GDPR.
Normas de privacidad de la UE para empresas no europeas
Según los informes, el Tribunal de Justicia de la Unión Europea se ha pronunciado en contra del escudo UE-EE. UU., debido a que las regulaciones internas de EE. UU no brindan garantías suficientes en términos de protección de datos. Sin embargo las cláusulas contractuales de protección de datos, se consideraron válidas, siempre que se garantice un nivel de protección igual al GDPR en los contratos.
En cualquier caso, quienes utilicen Mailchimp u otros sistemas de EE. UU. para enviar sus correos electrónicos deben asegurarse de que el destinatario haya otorgado su consentimiento explícito a la transferencia de datos fuera de la UE, después de ser informado sobre los posibles riesgos.
En esencia, el nivel de protección de datos (es decir, todas las garantías adecuadas, derechos exigibles y recursos efectivos) requerido en el contexto de la transferencia de datos de la UE a otros países debe ser equivalente al garantizado por la Unión Europea. Por este motivo (ya que es posible que no exista una equivalencia real debido a los diferentes ordenamientos jurídicos, la distancia y los diferentes idiomas), a pesar de la vigencia de las cláusulas contractuales, es posible que muchas empresas europeas no se sientan cómodas confiando sus datos a un servicio de email marketing estadounidense.
La transferencia de datos se lleva a cabo, de hecho, en servidores de EE. UU. Y su procesamiento se encuentra en cualquier caso sujeto a la normativa interna estadounidense, por ello es difícil garantizar los mismos estándares de protección de datos de una empresa europea con sede en Europa y por lo tanto (todo lo necesario) alineado con el RGPD. Los sistemas legales vigentes en los estados europeos, de hecho, son muy diferentes a los vigentes en los Estados Unidos y, también en términos de privacidad, la ley nacional siempre está destinada a prevalecer.