Mailchimp, Schrems II: che cosa è accaduto in Germania

Il garante della privacy della Baviera si è espresso contro Mailchimp e a proposito della sentenza Schremps II, in merito al trasferimento dei dati negli USA.

Non si tratta di una sanzione, né di una punizione, ma un precedente legale che potrebbe causare, in futuro, numerose leve per ulteriori mozioni in ambito europeo. Ma di che si tratta, esattamente? E perché questa sentenza potrebbe essere così importante?

Stiamo parlando di Mailchimp, uno dei tools di invio massivo di email più famoso sul mercato, e dell’invio di dati personali al di fuori del territorio europeo, per la precisione negli Stati Uniti d’America. Una procedura illegittima anche se basata su certe clausole contrattuali – specie se non si fa seguito alle stesse con ulteriori misure. E sono proprio queste “ulteriori misure”, mai veramente specificate, a far discutere.

Sentenza Schrems II: che cosa è successo?

La BayLDA, ovvero la Bavarian DPA, garante della privacy bavarese, si è pronunciata in questi giorni contro Mailchimp a causa del mancato rispetto delle indicazioni rinvenibili nella sentenza Schrems II in merito al trasferimento dei dati negli Stati Uniti d’America.

La decisione crea un precedente importantissimo in materia di diritto digitale. Sebbene non ci siano state sanzioni monetarie o detentive, questo è il primo caso post Schrems II oggetto di una decisione formale da parte delle autorità. Andiamo però con ordine.

Che cos’è la Schrems II, la sentenza che invalida il privacy shield?

La CGUE (Corte di Giustizia dell’UE) ha inviato una richiesta di chiarimenti sulla protezione dei dati attraverso l’avvocato attivista Schrems, nel 2015. L’obiettivo era domandare al garante della protezione dei dati irlandese di imporre a Facebook il trasferimento dei dati dall’UE agli USA, basate sulle Clausole Contrattuali Standard.

Stiamo parlando del periodo prima dell’uscita del GDPR e di tutte le clausole sul trattamento dei dati. La sentenza è arrivata il 16 luglio 2020, e la Schrems II ha invalidato il Privacy Shield in qualità di meccanismo per il trasferimento dei dati dall’UE verso gli Stati Uniti, fornendo delle importanti linee guida per le società USA in materia di dati provenienti dall’Europa.

Insomma per poter concedere il trasferimento negli USA era necessario garantire un livello adeguato di protezione ai dati. E come si fa? Le grandi aziende, come per esempio Google e Microsoft, hanno a disposizione dei centri di raccolta dati collocati strategicamente in tutto il mondo. Le normative in materia dei dati personali in USA sono però diverse da quelle UE. In altre parole: l’agenzia per la sicurezza NSA può accedervi in qualsiasi momento.

Le eccezioni al GDPR servono proprio a questo: si tratta di clausole approvate dalla Commissione Europea e dall’Autorità di Vigilanza che vengono approvate su richiesta dell’azienda, e hanno valore specifico solo per l’attività descritta nell’ordinanza. Tra le varie macchine per la protezione dei dati c’è anche quella della SCC, ovvero delle Clausole contrattuali Standard. In pratica sia la società sita in Europa che quella estera devono accettare di utilizzare un contratto specifico che deve però prima essere approvato dall’UE. L’SCC dovrà poi essere firmato affinché lo scambio di dati possa entrare in vigore.

Eppure la sentenza Schrems II ha in qualche modo ridimensionato le procedure standard normalmente utilizzato, imponendo “misure ulteriori”. La vaghezza di questa faccenda ha portato molte aziende a evitare il nodo, semplicemente scavalcandolo per fare finta di niente. Tuttavia, le autorità devono fare qualcosa e forse, con la sentenza della BayLDA, si potrà raggiungere un nuovo step verso l’accordo.

Che cosa è successo in Baviera? E le “ulteriori misure”?

Un cittadino bavarese, vedendosi recapitare una mailing list per conto di un magazine locale tramite Mailchimp, ha deciso di sporgere reclamo all’autorità competente. Questa autorità ha messo le mani avanti dicendo che l’invio di dati UE in USA non è sempre illegittimo, tuttavia lo è se non si rispettano i dettami del GDPR interpretati dalla Corte di Giustizia Europea. Insomma: Mailchimp ha fatto questa cosa, ma non è detto che il trasferimento dei dati in USA sia stato fraudolento. Prima bisogna dimostrarlo, approfondendo le modalità di trasferimento adoperate.

Mailchimp, società americana, ha portato la sua interpretazione delle “misure ulteriori” di cui abbiamo parlato in precedenza. Di cui però, dalla Schrems II, non è ancora stata pubblicata una versione definitiva.

Sebbene l’autorità di controllo abbia in qualche modo avvallato la mozione di Mailchimp, l’azienda avrebbe perlomeno dovuto porsi il problema dell’invio dei dati in territorio statunitense, effettuando almeno un DPIA per valutare il grado di rischio dell’operazione. Nemmeno a dirlo, questa valutazione non è mai stata fatta.

È proprio in virtù della mancata pubblicazione integrale di queste “misure ulteriori” che l’Autorità ha deciso di non sanzionare Mailchimp. E neanche il titolare del trattamento.

Perché è una decisione così importante?

La decisione di Mailchimp risulta fondamentale perché, se a una prima lettura, può sembrare l’apripista per una tonnellata di azioni fraudolente, è invece un primo passo verso l’applicazione della sentenza Schrems II, rimasta a prendere polvere fino a questo momento.

Che tipo di sanzione è stata applicata?

Come abbiamo detto, Mailchimp non ha ricevuto alcun tipo di sanzione. Tuttavia l’Autorità ha accertato che, sebbene i dati siano stati trasferiti con metodi inammissibili, il singolo autorizzato – ovvero il libero cittadino – non aveva alcun potere di richiedere la sanzione.

Insomma, un privato non può muovere istanza in un caso come quello di Mailchimp. Del resto questa causa non riguarda i diritti e la libertà dell’interessato, ma ha come obiettivo quello di far valere l’interesse pubblico a far rispettare la legge.

Quali sono i potenziali scenari futuri di questa decisione?

Difficile dire quali saranno le effettive conseguenze di questa sentenza, la quale può solo, per il momento, essere considerata un valido precedente. Potrebbe infatti verificarsi che altre autorità propendano per decisioni di illegittimità non accompagnate da sanzioni monetarie. Oppure potrebbe verificarsi il tanto sperato sviluppo di queste “misure ulteriori”.

L’unica cosa certa è che indipendentemente dalla sanzione, Mailchimp ci ha fatto una pessima figura davanti ai suoi clienti, perdendo in immagine.