Tempo di lettura stimato: 3'
Il Garante Privacy bavarese si è pronunciato contro MailChimp, il servizio di e-mail marketing americano che, secondo l’Autorità tedesca, non ha rispettato le indicazioni della sentenza Schrems II sul trasferimento dei dati in USA.
Il caso: un cittadino bavarese riceve una mailing list per conto di un magazine locale che usa MailChimp e fa una segnalazione all’Autorità competente.
La pronuncia del Garante tedesco: nessuna sanzione monetaria, ma una decisione simbolica e un’importante svolta sia per le aziende europee che usano strumenti americani, sia per le compagnie con base in USA che vogliono operare in Europa.
Vediamo perché. Ma prima facciamo un ripassino.
Sentenza Schrems II: un breve riepilogo per chi si fosse perso la novità
Non sai cos’è la sentenza Schrems II? Male, molto male – anzi, malissimo! - se sei un DPO o un Consulente privacy. Male anche se sei un titolare del trattamento, perché ci scommetto che anche tu, molto probabilmente, usi almeno un servizio fornito da un’azienda che ha sede negli USA.
Te la faccio breve. Il 16 luglio 2020 – non proprio ieri… - la Corte di giustizia europea, con la sentenza Schrems II, ha invalidato la decisione di adeguatezza del Privacy Shield, che fino a quel momento era ritenuto uno strumento idoneo a garantire che il trasferimento di dati dall’Europa agli USA venisse considerato sicuro e adeguato.
Quindi da diversi mesi ormai non è più possibile servirsi del Privacy Shield per utilizzare dati personali con strumenti siti in America o in Europa (ma sotto il controllo di Aziende Americane) e le uniche possibilità rimaste sono quelle indicate nell’Art.49 che in realtà sono molto restrittive o addirittura difficilmente applicabili (ad esempio potrei trasferire dati in USA, ma solo quelli per cui mi hanno dato un consenso per poterlo fare).
Hai presente?
Bene.
Questo vuol dire che non si potranno più trasferire dati personali in USA?
No. Si può fare:
1. Se si rispettano le Standard Security Clauses (Clausole Contrattuali Standard).
2. Con l’obbligo per chi esporta dati al di fuori dello spazio economico europeo di verificare che il livello di protezione richiesto dal GDPR venga rispettato dal paese terzo.
Ma c’è un però, ed è qui che la pronuncia del Garante Privacy bavarese segna il punto di svolta: l’invio dei dati verso gli Stati Uniti, anche se basato su Clausole Contrattuali Standard, è illegittimo se non seguito da misure ulteriori.
Garante tedesco VS MailChimp: una decisione simbolica
Niente multa né al titolare né a MailChimp – stavolta – ma un monito per tutti. La pronuncia del Garante tedesco ha un valore simbolico, perché crea un precedente. È la prima decisione formale di un’Autorità dopo la sentenza Schrems II.
Te la sintetizzo con uno dei miei soliti botta e risposta:
Garante tedesco: “Di fronte al caso bavarese mi pronuncio dicendo che:
Primo - L’invio di dati in USA non è sempre illegittimo.
Secondo – L’invio di dati in USA è illegittimo solo se non si rispetta il GDPR così come interpretato dalla Corte di giustizia europea.
Terzo – Quindi il servizio MailChimp non può essere sanzionato a priori solo perché alcuni dati finiscono negli Stati Uniti, ma bisogna approfondire in che modo e quali meccanismi vengono usati per rendere legittimo il trasferimento.”
“Va bene, ho capito.” risponde MailChimp “Però guarda che le Recommendations 01/2020 - che contengono le indicazioni su come interpretare il concetto di “misure ulteriori” previste dalla Schrems II - non sono ancora state pubblicate nella versione definitiva.”
E il Garante tedesco “Hai ragione. Ma la decisione Schrems II prevede comunque l’utilizzo di misure ulteriori. Quindi ti saresti dovuto almeno mettere il problema e avresti dovuto valutare il rischio facendo una DPIA. L’hai fatta?”
MailChimp: “No, non l’ho fatta…”
Garante tedesco: “Eh, se non l’hai fatta, il trattamento è illegittimo. Comunque, ho deciso di non fare la multa né a te, MailChimp, né al titolare del trattamento che usava il tuo servizio per mandare le newsletter, anche perché la versione definitiva delle Raccomandazioni, come mi ricordi, non è stata ancora pubblicata. Però all’Azienda tedesca dico: sospendi il trattamento.”
Cosa succede adesso?
Adesso cosa succede? Vuol dire che chi ha cambiato strumento - e quindi fornitore - perché ha ritenuto che MailChimp non fosse compliant ha speso soldi inutilmente per adeguarsi?
No. Il Garante tedesco l’ha detto: “l’invio dei dati negli Stati Uniti, anche se basato su Clausole Contrattuali Standard, deve ritenersi illegittimo in mancanza di misure ulteriori.”
Quindi aspettiamoci che in futuro ci saranno altre pronunce di questo tipo.
E se io fossi il DPO di un’azienda che usa un servizio illegittimo, direi al mio cliente di mettersi a posto e di corsa…
RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.
