La Bavarian DPA, Autorità Garante dei dati personali della Bavaria, lo scorso 15 marzo si è pronunciata contro Mailchimp, nota azienda statunitense di email marketing, per non aver rispettato le indicazioni contenute nella sentenza Schrems II in merito al trasferimento di dati personali negli USA (ne abbiamo parlato in questo articolo).
La pronuncia crea un precedente importante poiché trattasi della prima decisione formale adottata da un’autorità garante in seguito alla Schrems II e rappresenta al tempo stesso un monito per tutti coloro che intendano utilizzare provider con sede negli Stati Uniti.
Il procedimento nasce dall’iniziativa di un interessato che lamentava l’inserimento da parte di una società del proprio indirizzo email in una lista di destinatari di newsletter inoltrate tramite Mailchimp come non fosse conforme a quanto previsto agli artt. 44 e ss. del Regolamento Europeo 679/2016 (c.d. “GDPR”).
L’Autorità bavarese, pur non comminando sanzioni, ha confermato che la prestazione di un servizio da parte di un fornitore statunitense non può ritenersi conforme al GDPR laddove non siano adottate le misure ulteriori indicate in seguito alla decisione Schrems II.
Come noto, la Corte di Giustizia Europea, con la sentenza del 16 luglio 2020 (C-311/18) meglio nota come Schrems II, ha invalidato la decisione della Commissione Europea con cui si stabiliva l’adeguatezza del c.d. Privacy Shield per il trasferimento di dati personali negli Stati Uniti. In seguito a tale pronuncia, l’EDPB, Comitato europeo per la protezione dei dati, con le Recommendations 1 del 2020 aveva dichiarato che, pur in presenza di specifiche Clausole contrattuali Standard (c.d. SCC) – quali quelle utilizzate nel caso in esame da Mailchimp – laddove venga utilizzato un provider soggetto alla normativa statunitense, è in ogni caso necessario adottare attente valutazioni al fine di garantire un livello di protezione sostanzialmente pari a quello garantito dal GDPR.
Nonostante la difesa della società avesse rilevato come le citate Recommendations 01/2020 – contenenti le indicazioni su come interpretare tali “misure ulteriori” – non siano ancora disponibili nella loro versione definitiva, l’Autorità ha considerato la condotta omissiva della società, colpevole di non aver valutato la necessità di misure aggiuntive per garantire la protezione dei dati personali secondo i principi delineati nella Schrems II.
Inoltre, secondo la Bavarian DPA, Mailchimp può essere qualificato “fornitore di servizi di comunicazione elettronica” ai sensi del Foreign Intelligence Surveillance Act statunitense e, in quanto tale, il governo degli Stati Uniti ha la facoltà di chiedere ed ottenere in ogni momento la comunicazione dei dati dei suoi utenti.
In considerazione di ciò, il Garante Privacy bavarese ha ritenuto che il livello di protezione dei dati trasferiti negli Stati Uniti tramite Mailchimp non fosse quantomeno pari a quello garantito dal GDPR e quindi, a fronte della mancata valutazione sulla necessità di misure aggiuntive, ha dichiarato illecito il relativo trattamento.