L’autorità di controllo tedesca della Baviera (BDPA) ha recentemente emesso una decisione in cui afferma che il trasferimento di dati personali verso la piattaforma statunitense di email marketing Mailchimp effettuato da parte di una società era illecito.
La vicenda trae origine da un reclamo presentato da un soggetto il quale lamentava la comunicazione del suo indirizzo email a Mailchimp, società statunitense, senza il suo consenso. Anche se la BDPA non ha intrapreso alcuna azione formale nei confronti della società dal momento che la stessa ha interrotto l’utilizzo di Mailchimp, la decisione è rilevante perché riafferma l’importanza della sentenza Schrems II e la corretta individuazione della base giuridica per il trasferimento di dati dall’UE verso gli Stati Uniti.
In questa vicenda il trasferimento è avvenuto sulla base delle clausole contrattuali standard (SCC), una misura peraltro richiamata dalla stessa sentenza Schrems II. La BDPA, tuttavia, ha considerato la condotta omissiva della società ritenendola colpevole di non aver valutato la necessità di misure aggiuntive per garantire la protezione dei dati personali secondo i principi delineati nella Schrems II.
Nonostante l’Autorità abbia condiviso il rilievo della società secondo cui le raccomandazioni del comitato europeo per la protezione dei dati sulle cosiddette misure supplementari per il trasferimento di dati personali a paesi terzi non sono ancora disponibili in una versione finale, ma sono ancora soggette a consultazione pubblica, al contempo ha valutato che Mailchimp può considerarsi “fornitore di servizi di comunicazione elettronica” ai sensi del Foreign Intelligence Surveillance Act statunitense, con la conseguenza che il governo degli Stati Uniti può chiedere e ottenere da Mailchimp la comunicazione dei dati dei suoi utenti e dei suoi clienti. Sulla scorta di tale valutazione la BDPA ha ritenuto che il livello di protezione dei dati una volta giunti negli Stati Uniti non fosse almeno pari a quello del GDPR e quindi, a fronte della mancata valutazione circa la necessità di misure aggiuntive, ha reputato il trattamento illecito.
