A Mailchimp sale la “scimmia”

mailchimp illegale? Il Garante Privacy bavarese si è pronunciato contro l’uso di Mailchimp facendo il punto sulla sentenza Schrems II.

Come molti ricorderanno tale sentenza effettua una revoca dell’adeguatezza del Privacy Shield, in vigore precedentemente ed adottato da buona parte delle aziende come “tutela” per il trasferimento dati negli Stati Uniti.

Secondo l’Autorità teutonica infatti una società tedesca, utilizzando il servizio di newsletter, avrebbe violato il GDPR esponendo i titolari dei dati a tutele inferiori a quelle previste nella UE.

La società, usando tale servizio trasferiva a Mailchimp gli indirizzi mail senza avvertire od ottenere il consenso, in netto contrasto con l’art 44 del GDPR, che dice che è necessario informare gli interessati ed ottenere il loro consenso qualora non sussistano sufficienti garanzie.

Da quanto sappiamo a seguito della decisione Schrems II non è più possibile servirsi del Privacy Shield per l’invio di dati in USA, non costituendo più una tutela “pari a quella del GDPR” scatta la segnalazione, per ora senza sanzione.

NON SOLO: anche qualora ci si volesse avvalere delle clausole di Tutela maggiore (che a livello contrattuale è possibile) bisogna comunque adottare misure di tutela almeno pari al GDPR, inficiando così la possibilità di avvalersi “per transizione” delle clausole prevista da Mailchimp stessa.

Alla luce di quanto sopra quindi la maggior parte delle aziende europee, avvalendosi di servizi di newsletter, ma anche di repository come Dropbox, Google (che avevamo già citato in questo nostro intervento) non appaiono adeguatamente osservanti sotto questo punto di vista.

Un precedente, quindi, molto pericoloso.

Sebbene questa decisione abbia più valore simbolico che effettivo, si tratta del primo caso susseguente alla sentenza Schrems II oggetto di una decisione da parte di una Autorità.

Le aziende però possono (e devono per essere in regola) dimostrare di aver adottato misure aggiuntive per assicurare la tutela dei dati, quindi non è sempre illegittimo: lo è solo se non si rispetta il GDPR.

 

CARENZE BUROCRATICHE

C’è da dire che le Recommendations 01/2020, contenenti indicazioni sulle “misure ulteriori”, non sono ancora state pubblicate nella loro versione definitiva. Non è una sufficiente giustificazione, bisogna per lo meno porsi il problema, valutando il grado di rischio ed effettuando una DPIA e adottando altre misure di mitigazione.
Osservando quindi il GDPR correttamente non si rischia di incorrere in illegittimi e si può concludere l’operazione correttamente.

Probabilmente la mancata pubblicazione delle versioni definitive delle Raccomandazioni dell’EDPB ha permesso a Mailchimp di non essere sanzionata (né  tantomeno lo è stata l’azienda che effettuava il trattamento per l’invio di newsletter).

DOPPIA LETTURA

A questo punto: è corretto non sanzionare (facendo passare il concetto che mancando le regole si può farla franca) o è corretto agire sul rispetto a prescindere anche in mancanza delle indicazioni?

Trattandosi di indicazioni, ma esistendo una legge, la priorità la si dovrebbe dare alla legge: non pesa infatti tanto il sapere cosa fare, quanto il non fare e rendersi di fatto comunque colpevoli.

LA SANZIONE

La sentenza ha anche sottolineato un altro aspetto: il reclamante insisteva sul fatto di comminare una sanzione pecuniaria e da qui l’Autorità ha ribadito ulteriormente il concetto che non spetta al singolo interessato il potere di chiedere la sanzione.

In pratica: non è una guerra privata e soprattutto non spettano a noi i soldi della sanzione.

La sanzione non vale come punizione o come risarcimento dei danni subiti dal singolo ma solo come ristoro di un interesse pubblico più ampio, deciso sempre dall’Autorità.

 

CONCLUDENDO


Abbiamo a questo punto evidenziata una certezza: l’invio dei dati verso gli Stati Uniti, anche se basato su Clausole Contrattuali Standard è illegittimo se non seguito da misure ulteriori.

Quindi se le Aziende stessero ancora pensando di continuare ad utilizzare sistemi non compliant, devono considerare di attuare una strategia parallela per la mitigazione, l’introduzione della DPIA e il rispetto degli obblighi di “informazione e consenso”, e sebbene non siano ancora “definitive”, adottando le misure ulteriori previste da EDPB nella raccomandazione 01/2020.