il caso

Schrems II, Mailchimp e i fornitori Extra UE. Il caso Bavarese e il GDPR

di |

Il Garante Privacy della Bavaria si è pronunciato, lo scorso 15 marzo, in un procedimento aperto su iniziativa di un interessato che lamentava come l’inserimento e l’utilizzo del proprio account email in una lista di destinatari di una newsletter non fosse conforme alle disposizioni del GDPR.

La rubrica “Digital & Law” è curata da D&L Net e offre una lettura delle materie dell’innovazione digitale da una prospettiva che sia in grado di offrire piena padronanza degli strumenti e dei diritti digitali, anche ai non addetti ai lavori. Per consultare tutti gli articoli clicca qui.

L’autorità Garante dei dati personali della Bavaria si è pronunciata, lo scorso 15 marzo, in un procedimento aperto su iniziativa di un interessato che lamentava come l’inserimento e l’utilizzo del proprio account email in una lista di destinatari di una newsletter inviata tramite il fornitore americano Mailchimp non fosse conforme alle disposizioni di cui agli articoli 44 e ss. del GDPR.

Schrems II

L’Autorità bavarese, pur non comminando sanzioni, ha confermato che l’utilizzo di un servizio prestato da un fornitore statunitense, se non supportato dalle misure addizionali prescritte successivamente alla decisione nota come Schrems II, non può essere ritenuto conforme al quadro normativo e alle tutele apprestate dal Regolamento Europeo 679/2016.

È noto che la Corte di Giustizia Europea, con la sentenza del 16 luglio 2020 (C-311/18), ha dichiarato invalida la decisione della Commissione Europea con cui si stabiliva l’adeguatezza del c.d. Privacy Shield per i trasferimenti dei dati personali dall’Unione Europea agli Stati Uniti d’America.

Successivamente alla decisione in commento il Board europeo dei Garanti aveva evidenziato, tra altri importanti aspetti, che anche in presenza di apposite SCCs, quali quelle nel caso specifico utilizzate dal fornitore Mailchimp, di proprietà della società The Rocket Science Group LLC, con sede negli Stati Uniti, sono necessarie attente valutazioni da parte degli operatori perché sia garantito, da parte di chi utilizzi un fornitore soggetto alle normative statunitensi che consentono un controllo da parte delle Autorità (il riferimento è alla nota legge sulla sorveglianza degli Stati Uniti, FISA 702 – 50 U.S.C. § 1881), un livello di protezione sostanzialmente equivalente a quello europeo.

Non solo, perché con le Recommendations 1 e 2 del 2020 (ancora non in versione definitiva, circostanza di cui l’autorità bavarese ha tenuto conto), l’EDPB ha anche imposto una precisa procedura da seguire per individuare e mettere in pratica “adeguate misure supplementari, ove queste siano necessarie, per garantire ai dati trasferiti verso paesi terzi, un livello di protezione sostanzialmente equivalente” a quello garantito dal GDPR.

Un ulteriore sguardo

Sicché, nei fatti, è necessaria una attenta valutazione che, in molti, ormai definiscono “una” delle valutazioni di impatto previste dal GDPR e, in particolare, T.I.A. (Transfer Impact Assessment, sul modello della L.I.A. per l’interesse legittimo e del P.I.A. o D.P.I.A. di cui all’art. 35).

La Società tedesca “imputata” di aver utilizzato il provider americano per la gestione e l’invio della newsletter si è difesa precisando come l’invio fosse sporadico e occasionale.

L’Autorità, anche sulla base di tali indicazioni e, come anticipato, del rilievo che le citate Recommendations dell’EDPB non sono ancora state pubblicate nella versione definitiva, non ha irrogato sanzioni, ma ha confermato la non adeguatezza della modalità utilizzata.

La decisione è interessante, anche perché tra le prime a prendere direttamente in considerazione le notevoli, importanti e gravose, per le imprese, conseguenze della decisione della Corte di Giustizia del luglio dell’anno scorso.

È noto che una rilevantissima quota di servizi delle imprese europee è fornita mediante i grandi provider statunitensi: per copertura del mercato, disponibilità di servizi e funzionalità, potenze di elaborazione e calcolo, esperienza e “anzianità” di servizio nel campo, essi sono indubbiamente big players difficilmente, o solo molto costosamente, sostituibili.

Nel frattempo il progetto di Cloud europeo si muove, ma con lentezza.

Conclusioni

A modesto avviso di chi scrive si tratta anche di una “partita” politica: chissà che, tra i nuovi progetti, l’amministrazione americana da non molto incaricata, non voglia anche intavolare una discussione con l’Europa che porti qualche semplificazione, non solo alle grandi imprese, ma anche alle piccole, i cui costi di adeguamento alla c.d. “Schrems II”, ancora poco affrontabili.

Articolo di Andrea Broglia, Avvocato, si occupa di diritto commerciale e componente del D&L NET

Leggi le altre notizie sull’home page di Key4biz