A luglio 2020 la Corte di Giustizia Europea ha dichiarato inadeguata la protezione dei dati personali offerta dallo Scudo UE-USA per la privacy (Privacy Shield), in quanto non in linea con i dettami del GDPR. Tantissime aziende statunitensi che gestivano dati di utenti europei (come Mailchimp, Active Campaign, Sendgrid o altri, vedi elenco dei migliori software email marketing) basavano la loro attività sul Privacy Shield, che prevedeva la compilazione di una sorta di autocertificazione nella quale si dichiarava l’adozione di adeguate misure di tutela per la protezione dei dati. Con l’abolizione di tale accordo USA-UE, l’unico modo per le aziende statunitensi di continuare la loro attività in Italia ed Europa sembra quello di spostare la loro sede in Europa. Alla luce di questi fatti, potresti avere necessità di trovare delle alternative italiane a Mailchimp, che assicurino la tutela dei tuoi dati personali in conformità con il GDPR.
Regole UE Privacy per società extra-UE
La Corte di Giustizia Europea si sarebbe pronunciata a sfavore dello Scudo UE-USA, perché il regolamento americano interno non assicurerebbe garanzie sufficienti in materia di data protection. Sono state però ritenute valide le cosiddette SCC, ossia le clausole contrattuali di protezione dei dati, a patto che si garantisca nei contratti un livello di tutela pari al GDPR.
In ogni caso, chi usa Mailchimp o altri sistemi USA per inviare le sue email deve assicurarsi che il destinatario abbia esplicitamente acconsentito al trasferimento dei dati fuori dall’UE, dopo essere stato informato dei possibili rischi.
In sostanza, il livello di protezione dei dati (ossia l’insieme di garanzie adeguate, diritti opponibili e mezzi di ricorso effettivi) richiesto nell’ambito del trasferimento di dati dall’UE a Stati extra-UE deve essere equivalente a quello garantito all’interno dell’Unione. Per questo motivo (non potendo esserci una reale equivalenza per via dei diversi sistemi giuridici, della distanza e delle diverse lingue), nonostante la validità delle clausole SCC, molte aziende italiane potrebbero non sentirsi a loro agio nell’affidare i loro dati a un servizio di email marketing statunitense.
GDPR ed email marketing dopo l’annullamento del Privacy Shield
Nel caso dei software di email marketing, il trasferimento dei dati avviene presso server USA e il loro trattamento è soggetto al regolamento interno americano, motivi per i quali è difficile che una società USA possa garantire gli stessi standard di tutela dei dati di una società italiana con sede in Italia e quindi (per forza di cose) allineata al GDPR. I sistemi giuridici vigenti negli Stati europei, infatti, sono molto diversi da quelli vigenti negli Stati Uniti e – anche in materia di privacy – la legge nazionale è destinata sempre a prevalere.
La decisione della Corte di Giustizia Europea sembra finalmente andare in soccorso delle aziende europee, da sempre messe in secondo piano rispetto alle aziende americane. Mentre le società USA come Mailchimp operano indisturbate sul territorio, infatti, i concorrenti italiani devono fare i conti con il sistema di tassazione dello Stato italiano, versando il 22% solo di IVA.
Conclusioni
Di recente, il Garante della Privacy bavarese si è pronunciato contro Mailchimp, ritenendo inadeguate le garanzie offerte per il trasferimento dei dati in USA. Alla società americana non è stata imposta nessuna sanzione pecuniaria, ma un semplice ammonimento che costituisce, però, un precedente. Il trasferimento dei dati in nazioni extra EU, infatti, è da ritenersi illegittimo se alle clausole SCC non si affiancano misure ulteriori che permettano una perfetta compliance al GDPR.