L' autorità bavarese per la protezione dei dati ha ordinato che nessun editore tedesco non possa trasferire indirizzi e-mail a MailChimp negli Stati Uniti per l'invio di newsletter. Questa sentenza illustra chiaramente gli ostacoli che devono affrontare i marketer stranieri ai sensi del GDPR. Una delle preoccupazioni principali è che i dati siano accessibili alle agenzie di intelligence statunitensi.
Una parte offesa ha protestato presso l'autorità (BDPA) in merito al trasferimento dei dati, che ha portato a un'indagine ufficiale e a un verdetto. Il nome della società tedesca che ha portato il caso al BDPA non è stato reso noto ma si conferma che aveva utilizzato MailChimp raramente e da allora ha smesso. Non ci sono nemmeno segnalazioni di azioni legali o sanzioni contro la società.
Il BDPA ha dichiarato il 15 marzo:
“Ci riferiamo al tuo reclamo sulla protezione dei dati contro …. sull'uso di ” Mailchimp ". A seguito del nostro intervento, l'azienda ci ha informato di aver utilizzato Mailchimp due volte per inviare newsletter. A seguito del nostro intervento, l'azienda ci ha ora informato che non utilizzerà più Mailchimp con effetto immediato.
La società ci ha inoltre informato di aver trasmesso indirizzi e-mail a Mailchimp solo nel contesto dell'utilizzo di cui sopra. Ha inoltre ricordato che le raccomandazioni del Comitato europeo per la protezione dei dati sulle cosiddette misure supplementari per il trasferimento di dati personali verso paesi terzi non sono ancora disponibili in una versione definitiva, ma sono ancora oggetto di consultazione pubblica; questo è corretto.
Secondo la nostra valutazione, l'uso di Mailchimp da parte di …. nei due casi citati – e quindi anche il trasferimento del tuo indirizzo email a Mailchimp, oggetto del tuo reclamo – era illecito ai sensi della normativa sulla protezione dei dati, perché …. non aveva esaminato se, oltre alle clausole standard dell'UE sulla protezione dei dati (che sono state utilizzate), "misure aggiuntive" ai sensi della decisione della CGUE "Schrems II" (CGUE, sentenza del 16.7. 2020, C-311/18) erano necessari per rendere il trasferimento conforme ai requisiti di protezione dei dati, e nel caso di specie c'erano almeno indicazioni che Mailchimp potesse in linea di principio essere soggetto all'accesso ai dati da parte dell'intelligence statunitenseservizi basati sulla disposizione legale statunitense FISA 702 (50 USC § 1881) come possibile cosiddetto Electronic Communications Service Provider e quindi il trasferimento potrebbe essere lecito solo se tali misure aggiuntive (se possibile e sufficienti per porre rimedio al problema) fossero adottate”
L'autorità ha concluso che il trasferimento, che è stato effettuato in base alle clausole contrattuali standard dell'UE (SCC), ha infranto gli accordi raggiunti nella precedente sentenza Schrems II sulla privacy nell'UE.
"Questo tipo di interpretazione di Schrems II è precisamente il risultato che molte multinazionali temevano quando Schrems II ha sostenuto l'uso di SCC, ma ha lanciato sospetti sull'efficacia degli SCC come strumento per trasportare dati negli Stati Uniti ", commenta Lexology.
Il verdetto afferma inoltre: “C'erano segni che MailChimp fosse riconosciuto come fornitore di comunicazioni che lavorava sotto la giurisdizione di sorveglianza degli Stati Uniti. Pertanto, un pericolo sotto forma di agenzie di intelligence statunitensi che accedono a quegli indirizzi e-mail incombe a tempo indeterminato. MailChimp inoltre non ha fornito alcun commento sul verdetto. Sebbene il nome dell'azienda tedesca non sia mai stato rivelato, si vocifera che si tratti di una rivista di moda.
Secondo Lexology, le società che utilizzano processori di dati situati al di fuori dell'UE dovrebbero considerare l' ubicazione di questi processori e le diverse giurisdizioni ad essi applicate. Ciò è necessario per garantire che i dati e le informazioni personali non siano disponibili o accessibili da alcun ente governativo.