Mailchimp and GDPR infringement

of Roberto Alma

in Privacy
Share

Mailchimp in violazione del GDPR?

Sintesi

L’utilizzo del noto software Mailchimp potrebbe esporre il titolare del trattamento a sanzioni per violazioni della normativa privacy ove non dimostri di aver adottato misure adeguate ad evitare che le autorità statunitensi possano accedere ai dati personali (indirizzi email) degli interessati. Il principio è stato affermato dall’autorità bavarese per la protezione dei dati personali in una recente decisione del 15 marzo 2021.

Caso

Veniva effettuata una segnalazione alla Autorità per la protezione dei Dati Personali della Baviera (“Autorità”) in merito all’utilizzo del noto software Mailchimp da parte di una società tedesca. Il segnalante riteneva che il trasferimento del proprio indirizzo mail alla società fornitrice del software Mailchimp (una società di diritto statunitense) fosse effettuata in violazione dell’art. 44 del GDPR. Il titolare del trattamento (ossia la società tedesca) aveva, però, affermato che l’utilizzo del software in questione era meramente occasionale e ne aveva prontamente cessato l’utilizzo.

La Decisione

La decisione dell’Autorità è particolarmente interessante perché esamina il trasferimento di dati negli Stati Uniti a seguito della sentenza Schrems II in un contesto di rilevante impatto pratico (moltissime società utilizzano software di newsletter forniti da società statunitensi).

L’Autorità evidenzia che:

  • il trasferimento dei dati personali era stato effettuato sulla base di clausole contrattuali standard;
  • vi erano, però, fondate ragioni per ritenere che i dati personali trattati dal fornitore di Mailchimp potessero essere soggetti all’accesso da parte dei servizi di intelligence degli Stati Uniti;
  • il titolare del trattamento non era riuscito a fornire la prova di aver adottato misure aggiuntive per assicurare che i dati personali dei cittadini UE fossero esclusi dall’accesso da parte delle autorità governative statunitensi. Infatti, sulla base della sentenza Schrems II, in mancanza di una decisione di adeguatezza della Commissione UE, è, comunque, onere del titolare del trattamento adottare misure adeguate per assicurare che gli interessati (i cui dati siano trasferiti) godano di una protezione equivalente a quella assicurata all’interno dell’Unione Europea.

Non è stata, tuttavia, irrogata alcuna sanzione in quanto il titolare aveva dichiarato di astenersi immediatamente dall’ulteriore utilizzo di Mailchimp ed in considerazione del fatto che le linee guida dell’EDPB sul trasferimento dei dati extra-UE erano ancora in fase di consultazione.

Authors

Roberto Alma

Founder

roberto.alma@kbl-law.com

Tags

Privacy GDPR marketing