L’autorità di controllo tedesca “Bavarian State Office for Data Protection Supervision Data Protection Authority of Bavaria for the Private Sector“, ha accolto la segnalazione di un privato cittadino che lamentava l’inserimento del suo indirizzo email in una newsletter gestita tramite MailChimp. Il punto del Regolamento Europeo ritenuto valido per accogliere la denuncia è l’art. 44 (Principio generale per il trasferimento) e succ., praticamente tutto il CAPO V – Trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali.

Il sito del Garante tedesco riporta:

“Il denunciante ha presentato una denuncia al DPA bavarese (BayLDA) in merito all’uso dello strumento di newsletter Mailchimp da parte del convenuto, una società tedesca. Ha sostenuto che il trasferimento degli indirizzi e-mail degli abbonati alla newsletter del convenuto al fornitore di Mailchimp (The Rocket Science Group LLC, una società con sede negli Stati Uniti) era illegale ai sensi dell’articolo 44 e seguenti. GPPR.

L’intervistato ha affermato che l’uso di MailChimp era solo occasionale e ha smesso di usarlo.

La BayLDA ha ritenuto illegale l’uso di Mailchimp da parte del convenuto e quindi il trasferimento degli indirizzi e-mail al fornitore di Mailchimp:

Il trasferimento dei dati si è basato sulle clausole standard di protezione dei dati dell’UE (clausole contrattuali standard – SCC).
Secondo la BayLDA, c’erano indicazioni che il fornitore di Mailchimp si qualifichi come “fornitore di servizi di comunicazione elettronica” ai sensi della legge sulla sorveglianza degli Stati Uniti (FISA702 (50 U.S.C. § 1881)). Pertanto, gli indirizzi e-mail trasferiti potrebbero essere in pericolo di accesso ai servizi di intelligence statunitensi.
Alla luce della decisione della CGUE “Schrems II” (C-311/18), il convenuto non aveva valutato se fossero in atto misure aggiuntive per garantire che i dati trasferiti fossero protetti dalla sorveglianza statunitense.
Poiché il convenuto ha dichiarato di astenersi dall’utilizzare Mailchimp con effetto immediato, la BayLDA non ha imposto un’ammenda o una decisione dichiarativa formale.”

La questione è non di poco conto vista la diffusione della piattaforma in Europa e in Italia. Si consiglia di approfondire i propri sistemi e soprattutto di verificare il consenso fornito dagli utenti nel momento della registrazione.