Le nuove clausole contrattuali standard stabiliscono una metodologia sul trasferimento dei dati personali fuori dallo Spazio Economico Europeo (SEE) e riguardano chiunque utilizzi servizi per l’invio di email, gestione di anagrafiche, analisi del traffico web e, in generale, per fare marketing.
Alzi la mano chi non usa o non ha mai usato piattaforme social media, servizi email, gestionali, strumenti di analisi e, in generale, per fare marketing come Hubspot, Mailchimp, Active Campaign, Infusionsoft, Hotjar e altre.
In Italia prevale la tendenza di scegliere soluzioni diverse rispetto a quelle italiane come dimostrano anche i risultati delle survey che ho raccolto dal 2016 al 2019 sui miei gruppi come, ad esempio, quello sulle piattaforme email più utilizzate dove Mailchimp insieme ad altre non italiane, ha prevalso per tutti e tre gli anni.
Questo comportamento deriva sia dal fatto che tali servizi sono stati lanciati per primi sul mercato, in genere i trend americani sono anticipatori degli altri, sia perché marketer influenti internazionali ne sono stati promotori e molti brand e professionisti li hanno scelti senza porsi troppe domande. Ma anche per la possibilità di scegliere fornitori nazionali e internazionali senza particolari restrizioni.
Ti riconosci in una di queste casistiche? Quali piattaforme usi, se vuoi lasciami un commento al post.
Dunque, quale cambiamento recente sta facendo rivedere queste scelte?
Disclaimer
Non sono un “tecnico” né un legale e non è mia intenzione dispensare consigli. Quanto raccontato nelle successive righe sono mie deduzioni a cui sono arrivata dopo essermi informata sul tema. Pertanto, se ci fossero dubbi o richieste specifiche, la cosa migliore è chiedere a un professionista della materia.
Capitoli del post
Raccolta e gestione del trattamento dei dati estero – Gdpr compliant
A partire dall’aggiornamento della Privacy, Gdpr, stiamo vivendo una controtendenza visto che per legge il trasferimento dei dati personali al di fuori dall’Europa e dello Spazio Economico Europeo (SEE) è consentito solo a condizione che il Paese verso cui si esporta garantisca un livello di protezione dei dati importati adeguato a quello riconosciuto dalla regolamentazione europea.
Ad attestare tale legittimità di trasferimento dei dati tra l’Unione europea e gli Stati Uniti dal 2016 e fino al 16 luglio 2020, è stato operativo lo scudo UE-USA, conosciuto come Privacy Shield. Questo accordo utilizzato per gli scambi dei dati personali a scopo commerciale è stato però invalidato dalla Corte di Giustizia dell’Unione europea (CGUE) in seguito alla sentenza Schrems II nella causa contro Facebook, rendendo un po’ più complessa la relazione con i partner commerciali extra EU+SEE.
La domanda sorge spontanea:
possiamo avvalerci di fornitori di servizi esteri per la gestione dei dati personali?
La premessa già fatta è quella che l’esportatore dei dati garantisca che questi ultimi siano trattati conformemente ai principi stabiliti nel Regolamento anche nel Paese terzo o all’interno dell’organizzazione di destinazione.
A tale proposito, la Commissione europea ha riconosciuto alcuni Stati extra EU+SEE conformi alla richiesta di adeguatezza pubblicandoli nel sito del Garante Privacy.
Inoltre, ha stabilito che è possibile regolamentare il trasferimento dei dati delle persone all’estero, incorporando delle clausole nel contratto utilizzato, Clausole Contrattuali Standard o Standard Contractual Clauses (SCC) da accettare da entrambe le parti.
Se usi piattaforme email marketing, marketing automation, CRM, ad esempio, dovresti già aver sottoscritto il documento DPA – Data Processing Agreement con il tuo sender software, che può essere inviato al momento dell’iscrizione al servizio e/o inserito nei termini d’uso della piattaforma che, come richiesto dall’articolo 28 del GDPR, stabilisce le modalità di trasferimento dei dati di terze parti.
Mailchimp e la protezione adeguata dei dati
Di recente però il garante bavarese si è espresso negativamente nel caso che ha coinvolto un cittadino austriaco e Mailchimp in merito al trasferimento dei dati negli USA, riscontrando che il fornitore US non garantiva una protezione adeguata da parte delle pubbliche autorità degli Stati Uniti, dei suoi dati.
Non sono state emesse sanzioni perché non erano ancora state ancora pubblicate le indicazioni sulle misure da adottare, ma il fatto ha creato un precedente legale rispetto alle procedure standard normalmente utilizzate dalle piattaforme US.
In particolare, è stato richiesto ai fornitori americani un sistema di trasparenza per assicurare che i dati dei cittadini europei non cadessero nelle mani delle agenzie di intelligence degli Stati Uniti. Questo significa che, se alle clausole SCC non si integrano misure aggiuntive che permettano una perfetta compliance al GDPR, il trasferimento dei dati in nazioni extra EU è da ritenersi illegittimo.
Tra le misure aggiuntive, l’autorità di controllo bavarese suggerisce almeno un DPIA – Data Privacy Impact Assessment cioè l’implementazione di una procedura finalizzata a descrivere il trattamento del trasferimento dei dati per valutare il grado di rischio.
In seguito alle nuove clausole contrattuali, Mailchimp ha dichiarato che entro il 2022 avrà una sede in Europa e consentirà ai cittadini europei che già usano il servizio il trasferimento di server per gestire i dati secondo la normativa EU:
We’re excited to share that we’re on track to establish an EU data center and welcome new EU users to make choices about local data storage starting in 2022.
We’re also working on a plan to offer the ability for our existing customers to migrate their data at a later date, so we’ll keep you informed about our timeline and your options.
Nuove clausole contrattuali per il trasferimento dati
In risposta alla sentenza Schrems II, nel mese di giugno 2021 sono state pubblicate le indicazioni su tali misure aggiuntive, nelle nuove clausole standard da adottare al fine di:
offrire alle imprese uno strumento utile per garantire il rispetto delle leggi sulla protezione dei dati, sia per le loro attività all’interno dell’UE che per i trasferimenti internazionali. Questa è una soluzione necessaria nel mondo digitale interconnesso in cui il trasferimento dei dati richiede uno o due clic.
Principali novità clausole SCC
Le principali novità delle nuove clausole contrattuali standard tengono conto di:
- uso diffuso di nuovi e più complessi trattamenti che coinvolgono spesso numerosi
- importatori ed esportatori, lunghe e complesse catene di trattamento e relazioni commerciali in evoluzione
- un approccio più flessibile, ad esempio per quanto riguarda il numero di parti che possono aderire al contratto
- un approccio “modulare” per dare la possibilità a due o più parti di unirsi e utilizzare le clausole
- strumenti pratici per conformarsi alla sentenza Schrems II come un allegato con esempi sulle diverse misure che le aziende devono intraprendere per conformarsi.
Per i titolari e gli incaricati del trattamento che attualmente utilizzano precedenti clausole contrattuali standard è previsto un periodo transitorio di 18 mesi, pertanto la previsione è di ricevere nelle prossime settimane importanti aggiornamenti da parte delle piattaforme extra EU che dovranno informare i propri iscritti dei cambiamenti alle condizioni d’uso.
Trasferimento dei dati verso il Regno Unito
Sempre nelle prossime settimane arriveranno importanti novità rispetto agli UK che sono diventati un Paese terzo dal primo gennaio 2021 con la Brexit e pertanto il flusso di dati esportati richiederà un aggiornamento dell’accordo commerciale stipulato il 30 dicembre 2020 che prevede che il Regno Unito continui ad applicare il Regolamento europeo sulla protezione dei dati fino al 30 giugno 2021.
Conclusioni
Strategie privacy-first saranno sempre più centrali nelle comunicazioni di brand e professionisti, anche in vista della perdita dei cookie di terze parti e della necessità di fare raccolta dei dati di prima parte da ottenersi attraverso il consenso esplicito delle persone.
Se finora il trasferimento dei dati era gestito tramite la compilazione di alcuni documenti da ambo le parti, oggi si impone una valutazione più profonda sulla conformità del fornitore verso cui effettuare il trasferimento di dati personali.
Iscriviti alla mia lista se desideri aggiornamenti in ambito digital marketing!
Ciao Maura, consiglieresti di cambiare piattaforma? Oppure attendere il 2022, ma il rischio è quello di non essere in regola con il GDPR, peggio ancora di incorrere in pene severe, giusto? Grazie mille per il tuo articolo, come sempre.
Ciao Roberta,
in generale, non avendo le competenze legali richieste non sono in grado di dare consigli sulla condotta da adottare, anzi, suggerisco di rivolgersi a un avvocato esperto in materia digitale. In particolare, rispetto a Mailchimp, è comunque difficile fare una previsione sui tempi visto che il 2022 è “dietro l’angolo” ma non sappiamo se l’aggiornamento avverrà nei prossimi sei, dodici o diciotto mesi. Di certo per loro, come per altri fornitori US, il mercato europeo è un bacino commerciale importante e la dichiarazione rilasciata va nella direzione di voler fare tutto il necessario per mantenerlo. Per esperienza personale, ho potuto constatare che in questi anni si sono sempre mossi per primi nell’innovare e aggiornare il servizio offerto.
Infine, come estranea della materia legale ma informata sull’argomento “privacy”, quello che ho notato è che è stato suggerito spesso proprio dal Garante di procedere quanto meno con un attestato di rischio quindi valutare quali dati personali raccogliamo e attraverso quali fornitori extra Unione Europea.
Maura