Una recentissima pronuncia del garante bavarese per la protezione dei dati personali sta riportando all’attenzione degli addetti ai lavori il contenuto della ormai famosa sentenza Schrems II relativamente alla conservazione e alla tutela dei dati personali.
Una società tedesca, infatti, utilizzando il servizio di mailing Mailchimp, avrebbe violato il regolamento GDPR esponendo i soggetti titolari dei dati trattati a tutele inferiori a quelle previste nella UE.
La società, infatti, utilizzando il servizio citato, trasferiva a Mailchimp gli indirizzi mail di diversi soggetti (nel rispetto delle finalità previste dalla normativa), senza però avvertire od ottenere il consenso dei titolari degli indirizzi, ponendosi quindi in contrasto con l’art 44 del GDPR, ai sensi del quale era invece necessario informare gli interessati ed ottenere il loro consenso per il trasferimento degli indirizzi a una società non europea, ma costituita in Usa, e quindi soggetta alle prerogative della legislazione statunitense.
La decisione dell’Autorità è particolarmente interessante perché esamina il trasferimento di dati negli Stati Uniti a seguito della sentenza Schrems II in un contesto di rilevante impatto pratico (moltissime società utilizzano software di newsletter forniti da società statunitensi).
In particolare, l’Autorità ha evidenziato che il trasferimento dei dati, effettuato sulla base di clausole contrattuali standard, non era conforme al GDPR perché l’azienda titolare del trattamento non ha dimostrato di aver adottato misure aggiuntive per assicurare che i dati personali dei cittadini UE fossero tutelati secondo le prerogative europee, ad esempio fossero esclusi dall’accesso da parte delle autorità governative statunitensi. Tale rilievo si fonda sul principio, individuato proprio grazie alla sentenza Schrems II, secondo il quale, in mancanza di una decisione di adeguatezza della Commissione UE, è comunque onere del titolare del trattamento adottare misure adeguate ad assicurare che gli interessati i cui dati siano trasferiti godano di una protezione equivalente a quella assicurata all’interno dell’Unione Europea.
Sebbene non sia stata comminata alcuna sanzione economica alla società tedesca, anche a fronte delle dichiarazioni di quest’ultima di astensione dall’ulteriore utilizzo di Mailchimp, è interessante evidenziare come i principi contenuti nella pronuncia Schrems II stiano effettivamente incontrando applicazione anche a livello nazionale, contribuendo alla costruzione dello spazio europeo per la tutela dei diritti personali al massimo grado.
Scrivi un commento
Devi accedere, per commentare.