Mailchimp e GDPR

Mailchimp e GDPR

Mailchimp è uno dei più famosi servizi di email marketing basati su cloud.
Gran parte del suo successo è dovuto alla semplicità di utilizzo, alle interessanti funzionalità che offre ed al fatto che è tra i servizi di email marketing più economici, con un entry-level gratuito se ti accontenti di 2.000 destinatari e 12.000 invii al mese.
È stato lanciato nel 2001 dalla società americana The Rocket Science Group ed oggi conta più di 6 milioni di clienti ed invia 5 miliardi di email al mese.

Trattandosi di un’azienda con sede negli USA è lecito chiederti se con il GDPR tu possa usarlo; utilizzando questo servizio vai a trasferire i dati personali dei destinatari delle tue newsletter negli Stati Uniti e quindi fuori dalla Comunità Europea.
Il trasferimento di dati personali a società extra europee è uno dei trattamenti più delicati per il GDPR ed è consentito solo in presenza di determinate garanzie.

 

Il Privacy Shield

Tra Europa e Stati Uniti c’è un accordo chiamato “Privacy Shield” che rappresenta un meccanismo di autocertificazione a cui le aziende americane possono volontariamente aderire garantendo misure di sicurezza adeguate agli standard europei sulla privacy.

Trovi il documento ufficiale che spiega cos’è il “Privacy Shield” pubblicato nel sito del Garante italiano qui: Privacy Shield

C’è da dire che il Parlamento Europeo nutre da tempo forti dubbi sull’efficacia del “Privacy Shield” e non è escluso che, come già è accaduto al precedente accordo “Safe Harbour”, anche il “Privacy Shield” venga ritenuto inadeguato dalla Corte di Giustizia Europea e quindi illegittimo.

Infatti, a luglio 2018, in vista della revisione annuale del Privacy Shield da parte della Commissione Europea, il Parlamento UE ne chiedeva addirittura la sospensione!
Nell’ultima sessione di lavoro sul tema (22-23 gennaio 2019), se da una parte l’EDPB (European Data Protection Board) ha apprezzato gli sforzi che gli USA stanno facendo per dare maggiori garanzie sul trasferimento dei dati personali (es. per i processi di certificazione e la nomina di un difensore civico permanente all’interno del Privacy and Civil Liberties oversight board), dall’altra parte riconferma le criticità evidenziate in precedenza, in particolare gli USA non danno sufficienti garanzie sul fatto che i dati personali di cittadini europei possono essere da loro usati senza limiti per motivi di sicurezza nazionale.

Comunque, finché il Privacy Shield rimane attivo, lo puoi utilizzare come garanzia sufficiente ai tuoi scopi, a patto che la società che hai selezionato abbia aderito a questo accordo. Infatti erroneamente molti pensano che il “Privacy Shield” riguardi tutta l’America, ma non è così, tant’è che ad oggi si sono autocertificate meno di 4.000 aziende.

Puoi accertarti se l’azienda americana con la quale intendi collaborare aderisce al “Privacy Shield” verificando che sia presente nella lista delle aziende certificate, che trovi nel sito governativo www.privacyshield.gov.

Per quanto riguarda The Rocket Science Group, la società che offre il servizio Mailchimp, effettivamente è presente nella lista delle aziende aderenti al Privacy Shield.
Andando ad approfondire la situazione, emergono aspetti a cui prestare attenzione.
Intanto, cliccando su “Questions or Complaints” puoi vedere che la società ha nominato un DPO al quale ti puoi rivolgere per questioni legate alla privacy, ma potresti aspettare la sua risposta anche 45 giorni.
Un aspetto delicato su cui ti invitiamo a fare attenzione è la dichiarazione che Mailchimp fa a proposito del fatto che i dati personali, che tu gli fornirai, potranno essere condivisi con terze partianche per l’invio di pubblicità mirata.

Condividiamo inoltre alcune informazioni con partner pubblicitari di terze parti per aiutarci a capire meglio le esigenze e gli interessi dei nostri utenti al fine di servire contenuti più pertinenti e indirizzare pubblicità a questi utenti e ad altri come loro.” 

Approfondendo, nella privacy policy vediamo che è indicato quanto segue.

Nella sezione della privacy policy dedicata all’Unione Europea, è indicato che il trattamento dei dati personali dei cittadini europei include tra le basi legali del legittimo interesse, anche le attività di marketing di Mailchimp.

In un altro passaggio, è specificato che:

“Potremmo condividere dati personali di Membri e Visitatori con partner pubblicitari di terze parti per fornire pubblicità profilate in base ai tuoi interessi e alle tue attività di navigazione”.

Quindi sembra che i dati personali che vengono condivisi con i partner pubblicitari di terze parti, siano relativi ai “Members” (persone o entità che si sono registrate per utilizzare il servizio Mailchimp) e ai “Visitors” (qualsiasi persona che visita uno dei siti di Mailchimp), non ai “Contacts” (persone che un membro può contattare tramite i servizi Mailchimp, ovvero i contatti che vengono aggiunti alle liste di destinatari delle newsletter dai “Members”).

Inoltre Mailchimp esplicita nella sua privacy policy che “non vendiamo o commercializziamo nessun contatto dei nostri membri”.

Se ti vai a leggere i documenti “Terms of use”, “Customer EU Data Processing Addendum”, “Privacy Policy”, “Acceptable Use Policy” noterai che:

1. Mailchimp si riserva di sospendere il servizio, e quindi i trattamenti, in qualsiasi momento, con o senza causa (incompatibile con il GDPR)

2. Mailchimp nel documento si definisce a volte “Data processor” (responsabile del trattamento) ed altre volte “Data controller” (titolare/contitolare)
3. Mailchimp si riserva il diritto di trasferire i dati che riceverà da te a terze parti “ovunque nel mondo” dove Mailchimp, le sue Affiliate o i suoi Sub-responsabili del trattamento svolgano operazioni di trattamento sui dati personali (incompatibile con il GDPR).
Questa affermazione è in antitesi con la lista dei sub-responsabili del trattamento, che indica che sono tutti con sede negli Stati Uniti (vedi punto 5. più avanti)
4. Mailchimp si riserva il diritto di usare dati come le abitudini di invio, i dettagli dei tuoi contatti e la cronologia degli acquisti in modo da fare previsioni e compiere decisioni (possibile profilazione automatizzata) a meno che tu non modifichi le impostazioni di sicurezza che di default sono disabilitate (incompatibile con il GDPR)
5. Non è chiaro dove vengano processati i dati una volta caricati in Mailchimp. In un punto viene indicato che potrebbero essere memorizzati ovunque nel mondo (“Mailchimp may transfer and process Customer Data anywhere in the world”),
in un altro punto che i loro server e uffici sono localizzati negli USA (incompatibile con il GDPR)
e che i loro sub-responsabili del trattamento sono tutti localizzati in USA.
Abbiamo approfondito questo elenco.
Alla data di questo post risulta che non tutte le aziende riportate abbiano aderito al Privacy Shield (es. ad oggi non abbiamo trovato E-Hawk né El Camino).
6. Mailchimp non accetta clienti che trattano determinati prodotti o servizi, tra i quali prodotti farmaceutici, lavori svolti da casa, attività che riguardano il fare soldi online ed attività di lead generation (“Work from home, make money online, and lead generation opportunities”)
7. Non puoi utilizzare sistemi di disiscrizione esterni a Mailchimp (incompatibile con il GDPR)

Alla luce di tutti questi elementi ti consigliamo, come è bene fare sempre, di leggere attentamente il contratto e tutta la documentazione a corredo, in modo da poter decidere consapevolmente ed in sicurezza quale sia lo strumento migliore per le tue specifiche attività di marketing.

Come Titolare (o Responsabile) del trattamento sta sempre a te decidere cosa fare.

È l’Accountability bellezza! L’Accountability! E tu non puoi farci niente! Niente!
(cit. “L’ultima minaccia” – film USA del 1952)



Utilizziamo cookie propri e di terze parti per gestire, migliorare e personalizzare la tua esperienza di navigazione del sito. Utilizziamo anche cookie di profilazione per inviarti messaggi pubblicitari in linea con le tue preferenze. Per maggiori informazioni su come utilizziamo i cookie e su come rimuoverli, consulta la nostra politica sui cookie. Cliccando sul pulsante “Accetto” o continuando a navigare il sito o questa pagina, acconsenti all’utilizzo dei cookie.