Servizi DEM e marketing, dopo il caso Mailchimp: verifichiamo la compliance privacy dei fornitori - Cyber Security 360

TRASFERIMENTO DATI EXTRA UE

Servizi DEM e marketing, dopo il caso Mailchimp: verifichiamo la compliance privacy dei fornitori

Le aziende che usano servizi DEM e marketing di fornitori con sede o comunque localizzazione dei dati personali negli USA o altro Paese non adeguato ai sensi del GDPR, rischiano concrete sanzioni: il caso Mailchimp è lì a dimostrarlo. Per questo è utile verificare la compliance privacy dei propri fornitori

26 Mar 2021
M
Andrea Michinelli

Avvocato, FIP (IAPP), LA ISO/IEC 27001:2013

Nella prassi i servizi appaltati dalle aziende all’esterno per DEM (cioè invio massivo di e-mail promozionali – Direct Email Marketing) e più in generale per il marketing non sono spesso vagliati come si dovrebbe, focalizzandosi perlopiù su costi ed efficienza.

Aspetti ovviamente fondamentali per il business, ma che rischiano di costare caro, appunto, sotto il profilo compliance. Il caso di pochi giorni fa che ha coinvolto un notissimo e diffusissimo servizio di DEM, ovvero Mailchimp, di proprietà della società statunitense Rocket Science Group LLC, dovrebbe invece far riflettere e portare ad azioni da intraprendere ora per evitare certi rischi (proprio il Garante italiano è stato ravvisato essere tra le autorità che hanno emanato sanzioni pecuniarie tra le più pesanti, a livello comunitario).

Il caso Mailchimp: un richiamo dalla Germania

L’autorità di controllo privacy bavarese (in Germania ve ne sono diverse, per territorio) ha emanato un provvedimento avverso la società FOGS Magazin, che utilizzava Mailchimp per inviare le proprie newsletter: un provvedimento non sanzionatorio né correttivo, in quanto la società ha subito dismesso il servizio, ma che avrebbe potuto diventarlo nel caso contrario.

Digital event, 24 giugno
Forum PA > La sicurezza informatica delle istituzioni pubbliche per la resilienza del sistema paese
Sicurezza
Disaster recovery

Perciò la sua efficacia di monito è lampante: si può rischiare di essere sanzionati, fin d’ora, per non aver correttamente gestito la compliance nella supply chain, in quanto utilizzatori di determinati servizi.

Nel caso in parola, il fornitore Mailchimp dichiarava di utilizzare come base di trasferimento le clausole standard di trasferimento (SCC) della Commissione Europea, previste all’art. 46.2.c GDPR e dunque, proprio per questo, apparentemente sufficienti.

Invece l’autorità di controllo ha sancito il contrario: bene per l’uso delle SCC, essendo Mailchimp attività di un’impresa con sede negli USA. Tuttavia, proprio la normativa USA qualifica come “fornitore di servizi di comunicazione elettronica – ai sensi della legge sulla sorveglianza statunitense (la FISA702 (50 USC § 1881)) – una società come la Rocket Science Group LLC, oggetto di possibile accesso da parte dei servizi di intelligence degli Stati Uniti (NSA ecc.). Mettendo così a rischio la tutela dei dati personali ricevuti dal proprio cliente europeo.

Il tutto senza che questo cliente abbia “valutato” se siano applicabili misure supplementari a maggior protezione dei dati trasferiti. Così come richiesto dopo la sentenza della Corte di Giustizia nella causa C-311/18, il “famigerato” caso Schrems II cha ha affondato lo strumento del Privacy Shield su cui ci si basava per la maggioranza di fornitori statunitensi.

Data transfer dopo la sentenza Schrems II: luci e ombre delle raccomandazioni EDPB

Oltretutto, nel frattempo, si sta attendendo un nuovo accordo Stati Uniti – Unione Europea che vada proprio a reintegrare uno strumento come l’invalidato Privacy Shield: le negoziazioni si stanno intensificando, grazie anche all’amministrazione Biden. Il commissario Ue alla Giustizia Didier Reynders, e il segretario al Commercio degli Stati Uniti, Gina Raimond, hanno rilasciato una recente dichiarazione comune ove confermano che “questi negoziati sottolineano il nostro impegno condiviso per la privacy, la protezione dei dati e lo Stato di diritto e il nostro riconoscimento reciproco dell’importanza dei flussi di dati (transatlantici) per i nostri rispettivi cittadini, economie e società“.

Quindi si può essere piuttosto ottimisti circa il raggiungimento di tale accordo, tuttavia le tempistiche non saranno comunque brevi e nel frattempo le aziende dovranno provvedere comunque alla compliance in altro modo, non essendoci un periodo di “grazia” riconosciuto in merito.

Consigli per le aziende che usano servizi DEM e marketing di terzi

Il caso in parola ha una semplice morale: chi utilizza servizi come questi, di fornitori con sede o comunque localizzazione dei dati personali negli Stati Uniti o altro Paese non adeguato ai sensi del GDPR, rischia concrete sanzioni.

È arrivato dunque un segnale forte, un primo avviso “bonario” per mettersi in regola ed evitare che la prossima occasione sia quella ad es. del Garante italiano che punisce un utilizzatore nostrano di servizi marketing. Come fare per evitare questa possibilità? Possiamo riassumere il da farsi in alcuni passaggi:

  • Anzitutto si dovrebbe avere cognizione di tutti i propri fornitori di interesse data protection, che possono presentare attività a rischio per quanto ci interessa qui – un elenco fornitori, aggiornato e debitamente compilato, non è purtroppo sempre all’ordine del giorno, specie in realtà aziendali complesse che permettono una gestione decentralizzata dell’outsourcing e che potrebbero non avere il dovuto controllo della supply chain.
  • Oltre a ciò si dovrebbe avere un annesso contract management che permetta di comprendere rapidamente chi, tra i tanti fornitori in essere, presenta il ruolo di responsabile del trattamento ex art. 28 GDPR (è quasi sempre questo il ruolo consueto dei fornitori di servizi marketing, sebbene ci si possa trovare di fronte a contitolari o titolari autonomi per attività più complesse come ad es. per l’affiliate marketing) e se – si auspica – è stato stipulato il relativo DPA (Data Processing Agreement, cioè il contratto di nomina a responsabile con relative istruzioni di trattamento); con fornitori di certa levatura, di norma è rinvenibile il loro modello standard di DPA sul relativo sito web (spesso denominato “Data processing addendum” o simile), senza nemmeno essere chiaro quando e come sia stato contrattualmente accettato.
  • Identificati i responsabili, andrà esaminato il pertinente DPA circa i trasferimenti extra-UE: avvengono? Se sì, per quali dati e trattamenti? In quali Paesi dichiarano di trasferirli o trattarli? Quali sub-responsabili (in particolare servizi cloud) sono eventualmente coinvolti e a quali condizioni?
  • Ammesso che ci si trovi di fronte a trasferimenti extra-UE e relativi dettagli, andrà soppesata quale base di trasferimento dei dati, ai sensi del GDPR, il fornitore dichiara di utilizzare; ve ne sono tre macrocategorie possibili:
  1. Paesi adeguati, secondo la Commissione Europea, ricordando che a breve il Regno Unito potrebbe esservi ricompreso;
  2. garanzie adeguate (ad es. BCR, clausole standard ecc.);
  3. deroghe in casi particolari (es. consenso specifico); spesso, nella prassi, si possono trovare DPA (volutamente?) confusionari, ove regna la vaghezza circa i Paesi coinvolti ma ancor di più circa le basi adottate, magari elencando tutte quelle potenziali (di fatto menzionando tutti gli articoli del GDPR possibili, dal 44 al 49) – in tal caso, non resterà che contattare il fornitore per ottenere replica scritta specifica sul proprio caso concreto e ottenere maggiore precisione (almeno si auspica).
  • Qualora il fornitore trasferisca i dati in Paesi non adeguati ma in virtù di garanzie adeguate (come le clausole contrattuali standard del caso Mailchimp, ma lo stesso si può ipotizzare in caso di BCR), si dovranno valutare alla luce dei criteri della sentenza Schrems II. La guida, in merito, sarà rappresentata dalle Raccomandazioni 1/2020 e 2/2020 dell’EDPB – in fase di approvazione nella loro versione definitiva dopo la consultazione pubblica: un complesso reticolo di quesiti a cui dare risposta che il titolare-utilizzatore potrà usare per documentare, in sede di accountability e/o DPIA, se sia necessario adottare misure supplementari di tutela, e, se sì, quali e come (nelle predette Raccomandazioni vi sono diversi esempi). Solo al termine di tale processo si potrà dimostrare di aver fatto il possibile nella valutazione.
  • Qualora questa complessa valutazione non sia possibile o dia esito negativo, si sarà a un bivio: decidere di rischiare mantenendo il corrente rapporto con il fornitore, oppure interrompere quanto prima il rapporto, cercando magari un fornitore con sede nell’Unione Europea. Nel primo caso, si potrebbe cercare di ovviare al problema giuridico applicando misure tecniche come forme di crittografia/pseudonimizzazione ai dati trasferiti, per renderli non intellegibili nel caso di loro lettura da parte delle autorità USA. Va considerato che però i servizi di DEM e marketing difficilmente potranno essere utilizzati, in genere, con dati trattati in tal modo, per cui l’altra strada sarà l’unica rimasta per evitare i rischi sanzionatori accennati all’inizio del nostro percorso.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5