Chi utilizza Mailchimp – servizio online per gestione della newsletter offerto da società americana – avrà sicuramente ricevuto una mail con cui il fornitore del servizio segnala di aver apportato alcune modifiche alle sue policy.

Di quali modifiche si tratta?

Sono varie le modifiche apportate, come indicato nell’avviso di Mailchimp, in cui si legge:

“We’ve updated our Terms of Use to improve the billing process for add-ons. We’ve also made some changes to our sections about compliance to make it clear that you will use MailChimp only in compliance with your applicable laws, which may be different or more restrictive than the laws of the United States, and that you won’t use our platform to discriminate in any way.

We’ve added clearer disclosures about how we collect and treat data related to subscribers in our Privacy Policy. We’ve also made some updates to accommodate our growing international user base: We made it clear that we operate and store data in the United States, added a separate section for our Australian users, and clarified that we transfer data from the EU under our Data Processing Agreement, which incorporates Standard Contractual Clauses. It’s important that every individual whose data we hold knows how to correct, update, or remove the information we have, so we’ve explained how to contact us and how we treat those inquiries.

In our Acceptable Use Policy, we’ve updated our prohibited actions section to address some actions that have harmed our system recently. We’ve broken out our guidelines to clearly distinguish between content that’s never allowed to be sent through MailChimp (like illegal activity) and content we allow, but may take a harder look at (like online trading)”.

Quali le motivazioni?

Nell’avviso la Società precisa che:

“MailChimp has grown significantly since our legal policies were last revised about three years ago. We’ve made some functional changes since then, like offering more features as add ons, and our legal agreements need to be updated accordingly. There are also some restrictions in our Terms that are no longer relevant or accurate, since email and marketing best practices have changed over the years”.

E ancora che: 

“some countries have enacted or updated their laws related to data privacy, so to better accommodate the needs of our international users, particularly those located in the EU and Australia, you’ll see we’ve added some sections to our Privacy Policy”.

Ed è proprio su quest’ultima motivazione che appare opportuno soffermarsi.

Qual è l’intervento normativo richiamato da Mailchimp nel suo avviso, per cui la Società ha dovuto modificare una sessione della sua policy privacy e perché dovrebbe interessare tutti coloro che si avvalgono del servizio?

Il riferimento è alla vicenda relativa al trasferimento dei dati personali all’estero e, in particolare, alla sentenza  della Corte di Giustizia dell’Unione Europea, che ha dichiarato invalido il regime introdotto in virtù dell’accordo “Approdo sicuro” (Safe Harbor), facendo così venire meno uno dei presupposti di legittimità per il trasferimento negli Usa di dati personali dei cittadini europei maggiormente utilizzato per alcuni dei servizi più diffusi, tra cui anche Mailchimp.

In seguito a tale sentenza, il Garante per la privacy, con provvedimento del 22 ottobre 2015, ha dichiarato decaduta l’autorizzazione emanata a suo tempo con la quale si consentivano i trasferimenti di dati verso gli Stati Uniti sulla base del “Safe Harbor” e pertanto, in attesa delle prossime decisioni che verranno assunte in sede europea, le imprese italiane potranno continuare a trasferire dati oltreoceano ricorrendo alle altre possibilità previste dalla normativa sulla protezione dei dati personali (cfr. artt. 43 e 44 del codice privacy), tra le quali rientrano le clausole contrattuali standard – ossia clausole tipo, stabilite dalla Commissione europea, da inserire nei contratti per regolare i flussi di dati verso Paesi Terzi extra UE.

Mailchimp ed il trasferimento dei dati all’estero

L’utilizzo di Mailchimp da parte di un’impresa italiana – così come di tanti altri servizi offerti da società americane – comporta un trasferimento di dati personali all’estero.

Tale trasferimento, avveniva, appunto, sulla base del Safe Harbor, cui il fornitore di tale servizio aderiva.

Decaduto il Safe Harbor, per consentire alle imprese italiane ed europee di continuare ad usufruire del servizio senza per ciò violare la normativa privacy vigente nello Stato, Mailchimp ha modificato la sua policy privacy in cui indica espressamente che:

“ Members located in the EU or Switzerland must request our updated data processing agreement which incorporates the Standard Contractual Clauses”.

Dal Safe Harbor alle clausole contrattuali standard pertanto.

Privacy Shield: in attesa dei prossimi sviluppi

Per completezza occorre comunque ricordare che sono in corso una serie di negoziati tra la Commissione e le autorità statunitensi che dovrebbero portare ad un nuovo accordo – “Privacy Shield” – che andrà a sostituire l’ormai decaduto Safe Harbor.

In attesa della valutazione di tale accordo da parte del Gruppo di Lavoro ex art 29, a fronte di quanto dichiarato proprio da quest’ultimo il 3 febbraio 2016, i trasferimenti effettuati – per quanto di interesse – sulla base di clausole contrattuali standard sono ancora validi e resteranno tali fino a che non verrà presa una decisione in merito al nuovo accordo.

Aggiornamento del 30 novembre 2016

In seguito al raggiungimento del nuovo accordo, denominato Privacy Shield, e alla decisione di adeguatezza della Commissione europea, come espressamente stabilito dal provvedimento del Garante Privacy del 27 ottobre 2016, pubblicato in Gazzetta il 22 novembre 2016, sono autorizzati i trasferimenti di dati personali dal territorio dello Stato verso le organizzazioni presenti negli Stati Uniti che figurano nell’elenco degli aderenti allo “Scudo” tenuto e pubblicato dal Dipartimento del Commercio degli Stati Uniti.

Tra le organizzazioni aderenti al Privacy Shield vi è anche la società fornitrice del servizio Mail Chimp, che infatti, nella sua policy, indica agli utenti che:«MailChimp participates in and has certified its compliance with the EU-U.S. Privacy Shield Framework» e che «Members located in Switzerland and the EU are also free to request our updated data processing agreement which incorporates the Standard Contractual Clauses here in addition or instead of relying on MailChimp’s Privacy Shield or U.S.-Swiss Safe Harbor certification, as applicable»