O comissário de proteção de dados da Baviera se manifestou contra Mailchimp e o julgamento Schremps II sobre a transferência de dados para os EUA.

isso não é pênalti, nem uma punição, mas um precedente legal que poderá gerar, no futuro, inúmeras alavancas para novos movimentos no contexto europeu. Mas do que se trata, exatamente? E por que essa decisão pode ser tão importante?

Estamos falando de Mailchimp, uma das ferramentas de e-mail em massa mais famosas do mercado, e de envio de dados pessoais para fora do território europeuespecificamente nos Estados Unidos da América. Um procedimento ilegítimo ainda que baseado em determinadas cláusulas contratuais - especialmente se as mesmas não forem acompanhadas de medidas adicionais. E são justamente essas "medidas adicionais", nunca realmente especificadas, que estão causando discussão.

Julgamento Schrems II: o que aconteceu?

La BayLDA, ou o DPA da Baviera, o garante da privacidade da Baviera, decidiu recentemente contra a Mailchimp devido ao descumprimento das indicações encontradas no julgamento Schrems II sobre a transferência de dados para os Estados Unidos da América.

A decisão estabelece um precedente muito importante no campo do direito digital. Embora não houvesse penalidades monetárias ou de prisão, este é o primeiro caso pós-Schrems II sujeito a uma decisão formal das autoridades. Mas vamos em ordem.

O que é Schrems II, a decisão que invalida o escudo de privacidade?

O TJEU (Tribunal de Justiça da UE) enviou um pedido de esclarecimento sobre proteção de dados através do advogado ativista Schrems, em 2015. O objetivo era pedir ao supervisor irlandês de proteção de dados que obrigasse o Facebook a transferir dados da UE para os EUA, com base no Cláusulas contratuais padrão.

Estamos falando do período anterior ao lançamento do GDPR e de todas as cláusulas sobre processamento de dados. A decisão veio em 16 de julho de 2020 e Schrems II invalidou o Privacy Shield como um mecanismo para transferências de dados da UE para os EUA, fornecendo orientação importante para empresas dos EUA em relação aos dados dos EUA.

Em suma, para conceder a transferência para os EUA, era necessário garantir um nível adequado de proteção de dados. Como vai? Grandes empresas, como Google e Microsoft, possuem data centers estrategicamente localizados em todo o mundo. No entanto, as leis sobre dados pessoais nos EUA são diferentes das da UE. Em outras palavras: a agência de segurança NSA pode acessá-lo a qualquer momento.

É para isso que servem as exceções ao GDPR: elas são sobre cláusulas aprovadas pela Comissão Europeia e pela Autoridade de Supervisão que são aprovadas a pedido da sociedade, e possuem valor específico apenas para a atividade descrita na portaria. Entre as diversas máquinas de proteção de dados está também a das CEC, ou Cláusulas Contratuais Padrão. Na prática, tanto a empresa localizada na Europa quanto a estrangeira devem concordar em usar um contrato específico que deve primeiro ser aprovado pela UE. O SCC precisará então ser assinado para que a troca de dados entre em vigor.

No entanto, a decisão de Schrems II de alguma forma reduziu os procedimentos padrão normalmente usados, impondo “medidas adicionais”. A imprecisão desse assunto levou muitas empresas a evitar o nó, simplesmente contornando-o para ignorá-lo. No entanto, as autoridades têm que fazer alguma coisa e talvez, com a decisão do BayLDA, um novo passo para o acordo possa ser alcançado.

O que aconteceu na Baviera? E quanto às "medidas adicionais"?

Um cidadão bávaro, tendo recebido uma lista de mala direta em nome de uma revista local via Mailchimp, decidiu registrar uma reclamação junto à autoridade competente. Esta autoridade avançou dizendo que o envio de dados da UE para os EUA nem sempre é ilegítimo, mas é se os ditames do GDPR interpretados pelo Tribunal de Justiça Europeu não forem respeitados. Resumindo: o Mailchimp fez isso, mas não está dito que a transferência de dados para os EUA foi fraudulenta. Primeiro você precisa demonstrá-lo, aprofundando os métodos de transferência usados.

A Mailchimp, empresa americana, trouxe seu próprio interpretação de “medidas adicionais” sobre o qual falamos anteriormente. Dos quais, no entanto, de Schrems II, uma versão final ainda não foi publicada.

Embora a autoridade supervisora ​​tenha, de alguma forma, endossado a moção do Mailchimp, a empresa deveria ao menos ter resolvido o problema do envio de dados para o território norte-americano, realizando pelo menos um DPIA para avaliar o grau de risco da operação. Escusado será dizer que esta avaliação nunca foi feita.

É precisamente em virtude da não publicação integral destas “medidas adicionais” que a Autoridade decidiu não sancionar o Mailchimp. E nem é o controlador de dados.

Por que essa é uma decisão tão importante?

A decisão do Mailchimp é fundamental porque, se à primeira vista pode parecer o precursor de uma tonelada de ações fraudulentas, é um primeiro passo para a aplicação da sentença Schrems II, que permaneceu acumulando poeira até agora.

Que tipo de multa foi aplicada?

Como dissemos, o Mailchimp não recebeu nenhum tipo de multa. No entanto, a Autoridade constatou que, embora os dados tenham sido cedidos por meios inadmissíveis, a pessoa autorizada – ou seja, o cidadão livre – não tinha poderes para requerer a sanção.

Em suma, um particular não pode mover instância em um caso como Mailchimp. Afinal, este caso não diz respeito aos direitos e liberdades do interessado, mas tem como objetivo fazer valer o interesse público na aplicação da lei.

Quais são os possíveis cenários futuros dessa decisão?

É difícil dizer quais serão as reais consequências dessa sentença, que só pode, por enquanto, ser considerada um precedente válido. De fato, pode acontecer que outras autoridades se inclinem para decisões de ilegitimidade não acompanhadas de sanções monetárias. Ou pode ocorrer o tão esperado desenvolvimento dessas “medidas adicionais”.

A única certeza é que, independentemente da multa, o Mailchimp causou uma má impressão diante de seus clientes, perdendo sua imagem.