La pronuncia del Garante tedesco contro Mailchimp e le conseguenze per i trasferimenti di dati extra UE
Il 15 marzo 2021 l’autorità Garante dei dati personali bavarese si è pronunciata nell’ambito di in un procedimento instaurato da un soggetto che aveva denunciato la non conformità alle disposizioni di cui agli articoli 44 e ss. del GDPR dell’inserimento e utilizzo del proprio account email in una lista di destinatari di una newsletter inviata tramite il fornitore americano Mailchimp, un software di proprietà della società statunitense Rocket Science Group LLC per la creazione e gestione delle campagne di email marketing.
Il provvedimento, emanato nei confronti della FOGS Magazin, non era sanzionatorio né correttivo dal momento che la società dismetteva immediatamente il servizio, ma costituisce senza dubbio un importante precedente per tutti gli operatori, anche nazionali, che utilizzano servizi di fornitori con sede o comunque localizzazione dei dati personali negli Stati Uniti o altro Paese anche se firmatari del “Privacy Shiels”, che da questo momento rischiano pesanti sanzioni.
La ragione della pronuncia del Garante Privacy bavarese contro Mailchimp risiede nel mancato rispetto delle indicazioni rinvenibili nella sentenza Schrems II, pronuncia con la quale il 16 luglio 2020 la Corte di Giustizia Europea invalidava la decisione della Commissione Europea sull’adeguatezza del c.d. Privacy Shield (strumento fino a quel momento ritenuto idoneo a garantire la sicurezza dei trasferimenti), e stabiliva che il trasferimento dei dati dall’Unione Europea agli USA, seppure basato su Clausole Contrattuali Standard, è illegittimo se non accompagnato da misure ulteriori.
Vediamo quali sono, nel concreto, le conseguenze per gli operatori.
Posto che l’obbiettivo dell’Autorità bavarese è di garantire un livello di protezione dei dati personali trasferiti equivalente a quello vigente nello Spazio Economico Europeo (SEE), nel rispetto del GDPR e della Sentenza Schrems II, la decisione in esame ha stabilito con certezza che l’invio dei dati verso gli Stati Uniti, pur se basato sulle clausole contrattuali tipo approvate dalla Commissione europea, è divenuto illegittimo se non accompagnato da garanzie supplementari.
Nel tentativo di aiutare gli esportatori (siano essi titolari del trattamento o responsabili del trattamento, enti privati o organismi pubblici) a districarsi in questa giungla di informazioni, è di recente intervenuto il Comitato europeo per la protezione dei dati (EDPB), il quale ha adottato delle raccomandazioni, tuttora in attesa di pubblicazione nella loro versione definitiva, che forniscono agli esportatori delle linee guida da seguire, potenziali fonti di informazione e alcuni esempi di misure supplementari che potrebbero essere messe in atto.
Nella pratica l’EDPB consiglia di effettuare, caso per caso se necessario in collaborazione con l’importatore nel paese terzo, una scrupolosa valutazione d’impatto tesa a verificare le garanzie del paese di destinazione e l’opportunità di ricorrere a misure ulteriori .
Nello specifico si consiglia di mappare e registrare tutti i trasferimenti di dati personali, verificando la destinazione degli stessi e gli eventuali trasferimenti successivi e di utilizzare, scegliendolo tra quelli elencati al capo V del GDPR, lo strumento idoneo ed efficace su cui fondare il trasferimento .
Occorre poi esaminare la legislazione e la prassi del paese terzo al fine di valutare se vi sia qualcosa in grado di incidere sull’efficacia delle garanzie adeguate degli strumenti di trasferimento utilizzati, individuando eventuali misure supplementari e procedure formali eventualmente richieste e necessarie al fine di garantire un livello di protezione equivalente a quello dell’UE.
Accade, tuttavia, che l’operatore non si ritenga in grado di effettuare una valutazione d’impatto di tale complessità o che all’esito della stessa, pur con l’utilizzo di misure suppletive, non sia in grado di garantire un livello di protezione adeguato.
In questi casi l’unico modo per essere certi di non incorrere in sanzioni comminate dalle autorità di controllo, le quali continuano a monitorare su una corretta applicazione della legislazione dell’UE in materia di protezione dei dati, è sospendere o addirittura interrompere immediatamente il rapporto e quindi il trasferimento di dati personali verso il paese terzo, sostituendo eventualmente l’attuale fornitore con uno che abbia sede nell’Unione Europea.