MailChimp e trasferimento dei dati negli USA è illegittimo? Il Garante tedesco si è pronunciato

06 aprile 2021Ultimo aggiornamento 09 aprile 2021
  • Home
  • Blog
  • News
  • MailChimp e trasferimento dei dati negli USA è illegittimo? Il Garante tedesco si è pronunciato
Tempo di lettura stimato: 3'
Il Garante Privacy bavarese si è pronunciato contro MailChimp, il servizio di e-mail marketing americano che, secondo l’Autorità tedesca, non ha rispettato le indicazioni della sentenza Schrems II sul trasferimento dei dati in USA. 

Il caso: un cittadino bavarese riceve una mailing list per conto di un magazine locale che usa MailChimp e fa una segnalazione all’Autorità competente. 

La pronuncia del Garante tedesco: nessuna sanzione monetaria, ma una decisione simbolica e un’importante svolta sia per le aziende europee che usano strumenti americani, sia per le compagnie con base in USA che vogliono operare in Europa.
Vediamo perché. Ma prima facciamo un ripassino.

Sentenza Schrems II: un breve riepilogo per chi si fosse perso la novità

Non sai cos’è la sentenza Schrems II? Male, molto male – anzi, malissimo! - se sei un DPO o un Consulente privacy. Male anche se sei un titolare del trattamento, perché ci scommetto che anche tu, molto probabilmente, usi almeno un servizio fornito da un’azienda che ha sede negli USA
Te la faccio breve. Il 16 luglio 2020 – non proprio ieri… - la Corte di giustizia europea, con la sentenza Schrems II, ha invalidato la decisione di adeguatezza del Privacy Shield, che fino a quel momento era ritenuto uno strumento idoneo a garantire che il trasferimento di dati dall’Europa agli USA venisse considerato sicuro e adeguato. 
Quindi da diversi mesi ormai non è più possibile servirsi del Privacy Shield per utilizzare dati personali con strumenti siti in America o in Europa (ma sotto il controllo di Aziende Americane) e le uniche possibilità rimaste sono quelle indicate nell’Art.49 che in realtà sono molto restrittive o addirittura difficilmente applicabili (ad esempio potrei trasferire dati in USA, ma solo quelli per cui mi hanno dato un consenso per poterlo fare).

Hai presente? 
Bene. 

Questo vuol dire che non si potranno più trasferire dati personali in USA? 
No. Si può fare:

1. Se si rispettano le Standard Security Clauses  (Clausole Contrattuali Standard).
2. Con l’obbligo per chi esporta dati al di fuori dello spazio economico europeo di verificare che il livello di protezione richiesto dal GDPR venga rispettato dal paese terzo.

Ma c’è un però, ed è qui che la pronuncia del Garante Privacy bavarese segna il punto di svolta: l’invio dei dati verso gli Stati Uniti, anche se basato su Clausole Contrattuali Standard, è illegittimo se non seguito da misure ulteriori.

Garante tedesco VS MailChimp: una decisione simbolica

Niente multa né al titolare né a MailChimp – stavolta – ma un monito per tutti. La pronuncia del Garante tedesco ha un valore simbolico, perché crea un precedente. È la prima decisione formale di un’Autorità dopo la sentenza Schrems II.

Te la sintetizzo con uno dei miei soliti botta e risposta:

Garante tedesco: “Di fronte al caso bavarese mi pronuncio dicendo che:
Primo - L’invio di dati in USA non è sempre illegittimo.
Secondo – L’invio di dati in USA è illegittimo solo se non si rispetta il GDPR così come interpretato dalla Corte di giustizia europea.
Terzo – Quindi il servizio MailChimp non può essere sanzionato a priori solo perché alcuni dati finiscono negli Stati Uniti, ma bisogna approfondire in che modo e quali meccanismi vengono usati per rendere legittimo il trasferimento.”

“Va bene, ho capito.” risponde MailChimp “Però guarda che le Recommendations 01/2020 - che contengono le indicazioni su come interpretare il concetto di “misure ulteriori” previste dalla Schrems II - non sono ancora state pubblicate nella versione definitiva.”

E il Garante tedesco “Hai ragione. Ma la decisione Schrems II prevede comunque l’utilizzo di misure ulteriori. Quindi ti saresti dovuto almeno mettere il problema e avresti dovuto valutare il rischio facendo una DPIA. L’hai fatta?”

MailChimp: “No, non l’ho fatta…”

Garante tedesco: “Eh, se non l’hai fatta, il trattamento è illegittimo. Comunque, ho deciso di non fare la multa né a te, MailChimp, né al titolare del trattamento che usava il tuo servizio per mandare le newsletter, anche perché la versione definitiva delle Raccomandazioni, come mi ricordi, non è stata ancora pubblicata. Però all’Azienda tedesca dico: sospendi il trattamento.”

Cosa succede adesso?  

Adesso cosa succede? Vuol dire che chi ha cambiato strumento - e quindi fornitore - perché ha ritenuto che MailChimp non fosse compliant ha speso soldi inutilmente per adeguarsi?
No. Il Garante tedesco l’ha detto: “l’invio dei dati negli Stati Uniti, anche se basato su Clausole Contrattuali Standard, deve ritenersi illegittimo in mancanza di misure ulteriori.”
Quindi aspettiamoci che in futuro ci saranno altre pronunce di questo tipo.
E se io fossi il DPO di un’azienda che usa un servizio illegittimo, direi al mio cliente di mettersi a posto e di corsa…
RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.

Biografia dell'autore

Andrea Chiozzi è nato a Reggio Emilia il 4 Agosto del 1969, reggiano “testaquadra” DOC come il lambrusco, ed è sposato con Luisa che lo sopporta da più di vent’anni.
Imprenditore e consulente, da più di 12 anni è l’Evangelist del GDPR.

Attività professionali:
Andrea Chiozzi è socio fondatore e CEO di PRIVACYLAB SRL, azienda che si occupa della produzione di PRIVACYLAB GDPR per la gestione avanzata delle attività legate alla compliance per il Regolamento Europeo 679/2016.
Esperto di GDPR e protezione dei dati personali (soprattutto nelle aree più problematiche quali il marketing digitale e i social network, il digital advertising, l’Internet of Things, i Big Data, il cloud computing),
Andrea presta consulenza per la media e la grande industria italiana e si occupa di organizzare e condurre i consulenti aziendali ad un approccio ottimizzato alla gestione della Compliance GDPR.
È ideatore del sistema Privacylab e della metodologia applicata ai consulenti certificati GDPR. 
Nel 2003 dà vita alla figura di “Privacy Evangelist” e comincia a girare l’Italia come relatore in vari convegni e corsi in tema di protezione dei dati personali arrivando a evangelizzare più di 10.000 persone.

È commissario d’esame per:

UNICERT per lo schema DSC_12/30 per Consulenti Certificati GDPR
TÜV dello schema CDP_ 201 Privacy Officer, Bureau Veritas
CEPAS Bureau Veritas DATA PROTECTION OFFICER per lo schema SCH73 norma Uni 11697:2017 (Accredia) 
ACS ITALIA DATA PROTECTION OFFICER per lo schema SCH01 norma Uni 11697:2017 (Accredia)
UNIVERSAL Gmbh DAKKS per lo schema ISO/IEC 17024:2012 "DATA PROTECTION OFFICER"

E' certificato con:
Unicert come "Consulente Certificato GDPR" n. 18203RE22
TÜV come “Privacy Officer e Consulente Privacy” n. CDP_196.
Cepas Bureau Veritas "Data protection Officer" n. DPO0206
UNICERT DAKKS " Data Protection Officer" n. DPO 0818 010012

Fa parte del Comitato Scientifico Privacy di Torino Wireless, GDPR Academy e di Agile DPO .

Le categorie

Gli argomenti dei nostri articoli

La guida di PrivacyLab

Per orientarti tra i nostri articoli

Resta informato su quello che succede.

Lasciaci la tua email e riceverai le nostre comunicazioni informative e commerciali

informativa sulla privacy