Il Garante Privacy bavarese si è in questi giorni pronunciato contro Mailchimp in ragione del mancato rispetto delle indicazioni rinvenibili nella sentenza Schrems II in merito al trasferimento dei dati in USA. Nessuna sanzione ma un punto fermo, che farà forse da precedente per altre autorità europee: l’invio dei dati verso gli Stati Uniti, anche se basato su Clausole Contrattuali Standard è illegittimo se non seguito da misure ulteriori

In base a quanto riporta GDPR Hub, database on line delle principali sanzioni in abito GDPR, l’Autorità di Controllo, Garante Privacy, bavarese si è in questi giorni pronunciata contro Mailchimp in ragione del mancato rispetto delle indicazioni rinvenibili nella sentenza Schrems II in merito al trasferimento dei dati in USA.

Questa decisione che, si precisa sin d’ora, non ha portato a sanzioni monetarie, è comunque molto importante per tutta una serie di motivi che andiamo infra ad esaminare.

La prima decisione post Schrems II

Come facile comprendere, il valore di questa decisione è più simbolico che altro. Si tratta difatti del primo caso post Schrems II oggetto di una decisione formale da parte di una Autorità, circostanza questa che creerà necessariamente un precedente. Per questo gli occhi di tutti non possono che essere concentrati su quanto statuito dall’Autorità di Controllo in questione.

Sappiamo difatti che, a seguito della decisione Schrems II non è più possibile servirsi del Privacy Shield per l’invio di dati in USA. Non solo, anche l’utilizzo delle clausole contrattuali standard risulta fortemente ridimensionato in quanto utilizzabili solo in presenza di “misure ulteriori”. Ma, posto che, di fatto, le big tech non si stanno mostrando molto sensibili all’argomento, con la conseguenza che gran parte delle aziende UE non appaiono compliant sotto questo aspetto, come si comporteranno le Authority? Questa è una domanda che in molti si sono fatti e che adesso trova finalmente parziale risposta.

Data transfer dopo la sentenza Schrems II: luci e ombre delle raccomandazioni EDPB

Ora, un cittadino bavarese, vedendosi recapitare una mailing list per conto di un magazine locale, utilizzando il servizio Mailchimp, ha deciso di presentare reclamo all’autorità competente.

Ebbene, l’Autorità ha sin da subito voluto chiarire una cosa: l’invio di dati in USA non è sempre illegittimo; lo è solo se non si rispettano i dettami del GDPR così come interpretati dalla Corte di Giustizia Europea. Questo significa che il servizio Mailchimp non può essere sanzionato a priori perché porta alcuni dati negli Stati Uniti essendo invece necessario approfondire le modalità ed i meccanismi adottati per rendere legittimo tale trasferimento.

In tal senso, la società americana avrebbe evidenziato che le Recommendations 01/2020 contenenti indicazioni su come interpretare in concreto il concetto di “misure ulteriori” di cui alla decisione Schrems II, non sono ancora state pubblicate nella loro versione definitiva, non potendo fungere da punto di riferimento. Sul punto l’Autorità di Controllo ha effettivamente dato ragione a Mailchimp precisando tuttavia che, di contro, la decisione Schrems II prevede comunque l’utilizzo di misure ulteriori. Per questo, Mailchimp avrebbe dovuto per lo meno porsi il problema dell’invio di dati in USA, valutando il grado di rischio effettuando una DPIA. Circostanza questa non verificatasi, dovendosi il trattamento ritenere illegittimo così come affermato dalla Autorità.

E’ importante evidenziare però che la mancata pubblicazione delle versioni definitive delle Raccomandazioni dell’EDPB non è passata del tutto inosservata all’Autorità la quale, anche in ragione di questa incertezza ha ritenuto di non sanzionare economicamente né Mailchimp, né tantomeno il titolare del trattamento che utilizzava tale servizio per l’invio di newsletter.

Si tratta di una circostanza importante in quanto, di fatto, ad un primo sguardo parrebbe quasi legittimare questa sorta di immobilismo di molte imprese europee, precisando che sì, non è legittimo inviare dati in USA (a queste condizioni) ma per ora, non sussistendo chiare indicazioni, non ci si sente di sanzionare le imprese per l’utilizzo di servizi americani.

In questo modo, il rischio è che ad una prima lettura, qualcuno interpreti la decisione come se osse un’autostrada aperta a tutti coloro che, per dolo o per mancanza di alternative, stanno di fatto ignorando la sentenza Schrems II fecendo quasi pentire a chi invece si è adeguato, di aver speso soldi e tempo per farlo.

E’ quindi, sotto un certo senso, molto grave il messaggio che passa da questa decisione in quanto, come temuto da molti, fa quasi intendere che l’immobilismo di alcuni DPO (che magari non hanno nemmeno letto la sentenza Schrems) potrebbe risultare a tratti vincente rispetto alla tempestività di altri DPO che, compresa la gravità di quanto affermato dalla Corte di Giustizia, hanno invece deciso di intervenire tempestivamente cambiando fornitori e scegliendo servizi capaci di garantire la presenza dei dati in UE.

Tuttavia, un osservatore più attento comprenderà invece che non deve confondersi la mancanza di sanzione con la legittimità del trattamento. Quest’ultima infatti non è stata in alcun modo dichiarata ed anzi, l’invio dei dati negli Stati Uniti, si è ribadito, deve ritenersi illegittimo in mancanza di misure ulteriori, circostanza questa che lascia ben sperare in una futura presa di posizione più netta nei confronti di chi continua a non rispettare le indicazioni della Corte di Giustizia.

La sanzione

Anche il reclamante, del resto, insisteva per l’emanazione di una sanzione monetaria, ma l’Autorità ha precisato che al di là dell’accertata inammissibilità dei suddetti trasferimenti di dati “non riteniamo necessario imporre una sanzione monetaria, come richiesto”. Non solo (e qui sta la parte interessante), con l’occasione l’Autorità ha voluto precisare che non spetta al singolo interessato il potere di chiedere la sanzione.

Non si tratta difatti di un provvedimento spiccabile su istanza di una parte ma, anzi, solo ed esclusivamente nel caso in cui l’Authority lo ritenga necessario. Del resto, evidenzia correttamente il garante bavarese, il potere di imporre una sanzione ai sensi dell’articolo 83 GDPR (articolo 58 (2) (i) GDPR) non serve a salvaguardare i diritti e le libertà dell’interessato, ma piuttosto a far valere l’interesse pubblico a far rispettare la legge. Non esiste quindi un diritto soggettivo in tal senso. La sanzione non vale come punizione o come risarcimento dei danni subiti dal singolo ma solo come ristoro di un interesse pubblico più ampio, deciso sempre dall’Autorità.

Ebbene, nel caso in esame, secondo l’Autorità, l’entità del problema è di dimensioni quasi irrilevanti essendo stati trasmessi pochi dati, peraltro, per soli due invii di newsletter. peraltro, il titolare, non appena notiziato del problema, ha interrotto il flusso di dati ponendo fine al servizio di newsletter ravvedendosi operativamente dell’errore evidenziato.

Tali circostanze avrebbero quindi giustificato, secondo l’Autorità la mancata emissione di sanzione la quale, in ogni caso sarebbe stata del tutto indipendente dalla richiesta e dalla volontà del reclamante.

Anche su questo punto vediamo quindi che il Garante bavarese prende una posizione netta, spiegando (in modo più o meno condivisibile) i motivi che possono spingere a emettere una sanzione.

Scenari futuri

Questa decisione lascia quindi con una certezza: l’invio dei dati verso gli Stati Uniti, anche se basato su Clausole Contrattuali Standard è illegittimo se non seguito da misure ulteriori.

Quindi, se qualcuno dovesse minimizzare sulle conseguenze derivanti dall’utilizzo di sistemi non compliant, dovrebbe comunque mettere in conto che sta consigliando di attuare una strategia illegittima.

L’illegittimità, comunque dichiarata anche nel caso in esame, è difatti cosa indipendente rispetto alla emissione di sanzione.

Basandosi su questo precedente è difatti possibile che altre autorità propendano per decisioni di illegittimità non accompagnate da sanzioni monetarie, ma ciò non deve portare i DPO a sottovalutare il problema.

Del resto, anche a livello di immagine, indipendentemente dalla sanzione, lasciare che la società per cui si fa consulenza venga definita illegittima da un’Autorità Garante è un qualcosa che (anche in mancanza di sanzioni) non può far contento il proprio cliente.

Per questo motivo, è probabile ed auspicabile che tale decisione stimoli anche il DPO meno aggiornato, spingendolo a fare del suo meglio per rendere compliant la azienda per cui lavora, adottando le misure ulteriori (anche se non definitive) previste da EDPB nella raccomandazione 01/2020, così da vietare sanzione e declaratoria di illegittimità.

Fonte: Cybersecurity360