Trasferimento dati in America: il servizio di Mailchimp viene dichiarato illecito. Quali conseguenze?

Trasferimento dati in America: il servizio di Mailchimp viene dichiarato illecito. Quali conseguenze?
Il presente contributo si propone di illustrare brevemente i fatti e le possibili conseguenze, nel campo della data protection e del trasferimento dei dati verso gli Stati Uniti, che discendono dalla recente decisione dell’Autorità di controllo privacy bavarese nei confronti di una società tedesca che utilizzava il servizio statunitense Mailchimp per inviare le proprie newsletter.

Dalla sentenza “Schrems II” in poi – a causa della dichiarazione di invalidità del Privacy Shield  tra EU e USA –  il trasferimento dei dati verso gli Stati Uniti è stato reso più complesso, poichè deve ora essere sottoposto ad un vaglio di legittimità più severo e meticoloso.

Dunque, da quel momento in avanti, la Corte ha stabilito che il trasferimento dei dati oltreoceano dovesse basarsi su differenti strumenti di protezione, affermando inoltre che le Clausole Standard di Trasferimento (SCC) della Commissione Europea non fossero sempre ed automaticamente sufficienti a garantire un livello di protezione adeguata, ma che fosse necessario implementare il trasferimento con misure ulteriori di sicurezza ritagliate ad hoc sul caso concreto.

Queste misure ulteriori menzionate dalla Corte, sono state meglio illustrate in due documenti pubblicati dall’ European Data Protection Board (https://edpb.europa.eu/sites/edpb/files/consultation/edpb_recommendations_202001_supplementarymeasurestransferstools_it.pdf e https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_recommendations_202002_europeanessentialguaranteessurveillance_en.pdf), i quali però si trovano ancora in fase di approvazione nella loro versione definitiva dopo la consultazione pubblica.

La decisione del Garante bavarese

La vicenda nasce dal reclamo di un cittadino tedesco alla DPA bavarese riguardo all'utilizzo della piattaforma americana di automazione del marketing Mailchimp da parte del convenuto, una società tedesca editrice di una rivista. Egli sosteneva che il trasferimento degli indirizzi e-mail degli abbonati alla newsletter del convenuto a Mailchimp era da considerarsi illegale ai sensi dell'articolo 44 e seguenti del GDPR.

Il convenuto asseriva di aver utilizzato come base giuridica del trasferimento le Clausole Standard di Trasferimento (SCC), e per questa ragione riteneva che il trattamento dei dati in questione fosse lecito.

L’Autorità tedesca, dopo aver specificato che il trasferimento dei dati in USA non è sempre illegittimo, ma ripetendo che è costantemente necessaria una valutazione concreta dei singoli trasferimenti, ha stabilito che il trattamento dei dati in esame era illegale ai sensi della normativa sulla protezione dei dati. Questo perché il convenuto non aveva esaminato se – oltre alle Clausole Standard dell'UE sulla protezione dei dati (le quali erano state debitamente applicate) – ci fosse la necessità di mettere in atto "misure aggiuntive" ai sensi della decisione "Schrems II".

Nel caso in questione, l’Autorità ha infatti ritenuto che sussistesse perlomeno il pericolo concreto che Mailchimp – in quanto qualificata come fornitore di servizi di comunicazione elettronica ai sensi della normativa statunitense – potesse essere soggetta all'accesso ai suoi dati da parte dei servizi segreti americani sulla base di ciò che è stabilito nella sezione 702 della Foreign Intelligence Surveillance Act (FISA).

E’ significativo evidenziare però che l’ Autorità non ha ritenuto necessario comminare alcuna sanzione per la violazione in esame, ed ha anzi risposto al soggetto reclamante affermando che egli non ha alcun diritto legale all'imposizione di una multa in caso di violazione della protezione dei dati:  il potere di imporre una sanzione ai sensi dell’ art. 83 GDPR infatti non mira a salvaguardare i diritti e le libertà di un interessato, bensì a tutelare  l'interesse pubblico e a far rispettare la legge.

Conseguenze e scenari futuri

Questa decisione dell’Autorità bavarese potrebbe rivestire un ruolo di grande rilievo nell’ambito della data protection poiché questa è la prima volta che una DPA europea si trova a dover condannare una violazione del GDPR riguardo il trasferimento dei dati verso gli Stati Uniti, violazione causata dalla mancata valutazione circa l’applicazione di misure supplementari di sicurezza e nonostante l’utilizzo delle Standard Contractual Clauses (SCC).

La decisione in esame potrebbe costituire dunque un importante precedente e fungere da monito per le aziende circa le conseguenze effettive della dichiarazione di inefficacia del Privacy Shield.

Infine, è interessante evidenziare che, quasi contestualmente alla decisione in oggetto, il commissario Ue alla Giustizia Didier Reynders, e il segretario al Commercio degli Stati Uniti, Gina Raimond, hanno rilasciato una dichiarazione ufficiale nella quale affermano di voler intensificare i negoziati per l’attuazione di un novello Privacy Shield rafforzato, il quale possa così conformarsi alla sentenza “Schrems II” della Corte di Giustizia Europea.

Nel frattempo però, chi volesse trasferire dati verso gli Stati Uniti in conformità al GDPR dovrà ancora richiamarsi alle disposizioni derivate dalla sentenza “Schrems II” e alle raccomandazioni dell’EDPB sopramenzionate, tenendo in considerazione che – dopo la recente decisione dell’Autorità bavarese – le Supervisory Authority europee potrebbero operare nel solco stabilito dai loro colleghi tedeschi. 

Avv. Vincenzo Colarocco e Dott. Marcello Ferraresi

Newsletter

Iscriviti per ricevere i nostri aggiornamenti

* campi obbligatori