Si può usare Mailchimp con il GDPR?

15/11/2018
Mailchimp è uno dei più famosi servizi di email marketing basati su cloud.
Gran parte del suo successo è dovuto alla semplicità di utilizzo, alle interessanti funzionalità che offre ed al fatto che è tra i servizi di email marketing più economici, con un entry-level gratuito se ti accontenti di 2.000 destinatari e 12.000 invii al mese.
È stato lanciato nel 2001 dalla società americana The Rocket Science Group ed oggi conta più di 6 milioni di clienti ed invia 5 miliardi di email al mese.

Trattandosi di un'azienda con sede negli USA è lecito chiederti se con il GDPR tu possa usarlo; utilizzando questo servizio sei costretto a trasferire i dati personali dei destinatari delle tue newsletter negli Stati Uniti e quindi fuori dalla Comunità Europea.
Il trasferimento di dati personali a società extra europee è uno dei trattamenti più a rischio per il GDPR ed è consentito solo in presenza di determinate garanzie.

Il Privacy Shield

Tra Europa e Stati Uniti c’è un accordo chiamato "Privacy Shield" che rappresenta un meccanismo di autocertificazione a cui le aziende americane possono volontariamente aderire garantendo misure di sicurezza adeguate agli standard europei sulla privacy.

Trovi il documento ufficiale che spiega cos’è il "Privacy Shield" pubblicato nel sito del Garante italiano qui: Privacy Shield

 

C’è da dire che il Parlamento Europeo nutre da tempo forti dubbi sull’efficacia del "Privacy Shield" e non è escluso che, come già è accaduto al precedente accordo "Safe Harbour", anche il "Privacy Shield" venga ritenuto inadeguato dalla Corte di Giustizia Europea e quindi illegittimo.

Finché però questo non accade, lo puoi utilizzare come garanzia sufficiente ai tuoi scopi, a patto che la società che hai selezionato abbia aderito a questo accordo. Infatti erroneamente molti pensano che il "Privacy Shield" riguardi tutta l’America, ma non è così, tant’è che ad oggi si sono autocertificate meno di 4.000 aziende.

Puoi accertarti se l’azienda americana con la quale intendi collaborare aderisce al "Privacy Shield" verificando che sia presente nella lista delle aziende certificate, che trovi nel sito governativo www.privacyshield.gov.

  

Per quanto riguarda The Rocket Science Group, la società che offre il servizio Mailchimp, effettivamente è presente nella lista delle aziende aderenti al Privacy Shield.

 

Andando però ad approfondire la situazione, emergono aspetti che devi conoscere.
Intanto, cliccando su “Questions or Complaints” puoi vedere che la società ha nominato un DPO al quale ti puoi rivolgere per questioni legate alla privacy, ma potresti aspettare la sua risposta anche 45 giorni, contrariamente ai tempi previsti dal GDPR che si limitano a 30 giorni.

Questo significa che se un tuo utente ti pone una questione relativamente ai suoi dati ma la risposta ce l’ha Mailchimp, potresti sforare i tempi massimi previsti ed incappare in una sanzione.

 

Il Privacy Shield copre due tipologie di dati, quelli detti HR (Human Resources) ovvero quelli che si riferiscono a “dipendenti di un'organizzazione, passati o presenti, raccolti nel contesto del rapporto di lavoro” e quelli NON-HR rappresentati da tutti gli altri.

Mailchimp si è autocertificata per poter trattare solamente i dati NON-HR.
Quindi, scordati di usarlo per mandare email internamente alla tua azienda (non sarebbe così strano, ci sono aziende che utilizzano servizi esterni per attività di marketing dirette internamente alla propria organizzazione).

 

Ma la cosa che lascia basiti tutti noi è la candida dichiarazione che Mailchimp fa a proposito del fatto che i dati personali, che tu gli fornirai, verranno condivisi con terze parti, anche per l’invio di pubblicità mirata!

 

“In linea con la nostra Privacy Policy pubblicata, condividiamo alcune informazioni con fornitori di servizi di terze parti per fornire e supportare i servizi che offriamo ai nostri utenti. Condividiamo inoltre alcune informazioni con partner pubblicitari di terze parti per aiutarci a capire meglio le esigenze e gli interessi dei nostri utenti al fine di servire contenuti più pertinenti e indirizzare pubblicità a questi utenti e ad altri come loro.” (GULP!)

Anche se Mailchimp dichiara nella sua privacy policy che in nessun caso vende le liste di contatti (“We do not, under any circumstances, sell your Distribution Lists”), rimaniamo un po' confusi sul fatto che condivida i dati personali con “partner pubblicitari di terze parti”.

      

Ma le preoccupazioni non finiscono qui.
Se ti vai a leggere i documenti “Terms of use”, "Customer EU Data Processing Addendum", "Privacy Policy", "Acceptable Use Policy" noterai che:
 
1. Mailchimp si riserva di sospendere il servizio, e quindi i trattamenti, in qualsiasi momento, con o senza causa (incompatibile con il GDPR)

    

2. Mailchimp nel documento si definisce a volte “Data processor” (responsabile del trattamento) ed altre volte “Data controller” (titolare/contitolare)

  

3. Mailchimp si riserva il diritto di trasferire i dati che riceverà da te a terze parti “ovunque nel mondo” dove Mailchimp, le sue Affiliate o i suoi Sub-responsabili del trattamento svolgano operazioni di trattamento sui dati personali (incompatibile con il GDPR).
Questa affermazione è in antitesi con la lista dei sub-responsabili del trattamento, che indica che sono tutti con sede negli Stati Uniti (vedi punto 5. più avanti)

 

4. Mailchimp si riserva il diritto di usare dati come le abitudini di invio, i dettagli dei tuoi contatti e la cronologia degli acquisti in modo da fare previsioni e compiere decisioni (profilazione automatizzata!) a meno che tu non modifiche le impostazioni di sicurezza che di default sono disabilitate (incompatibile con il GDPR)

  

5. Non è chiaro dove vengano processati i dati una volta caricati in Mailchimp. In un punto viene indicato che potrebbero essere memorizzati ovunque nel mondo (“Mailchimp may transfer and process Customer Data anywhere in the world”),

 

in un altro punto che i loro server e uffici sono localizzati negli USA (incompatibile con il GDPR), e che i loro sub-responsabili del trattamento sono tutti localizzati in USA.
Abbiamo approfondito questo elenco.
Risulta che non tutte le aziende riportate abbiano aderito al Privacy Shield (es. ad oggi non abbiamo trovato E-Hawk né El Camino).
Inoltre un paio di loro ad oggi hanno la certificazione Privacy Shield scaduta (Slack, Zendesk)

  

6. Mailchimp non accetta clienti che trattano determinati prodotti o servizi, tra i quali prodotti farmaceutici, lavori svolti da casa, attività che riguardano il fare soldi online ed attività di lead generation (“Work from home, make money online, and lead generation opportunities”)

  

7. Non puoi utilizzare sistemi di disiscrizione esterni a Mailchimp (incompatibile con il GDPR)

​Mailchimp non è conforme al GDPR!

Alla luce di tutto ciò e di tutte le contraddizioni presenti, la nostra opinione è che utilizzare Mailchimp sia alquanto azzardato, almeno finché non verranno sistemate dal punto di vista del GDPR tutti gli aspetti del contratto e della dichiarazione fatta su privacyshield.gov.

Come Titolare del trattamento, come sempre, sta a te decidere cosa fare.
Ti consigliamo intanto di verificare se la tua azienda o l’agenzia che sta gestendo per voi le newsletter utilizzano Mailchimp, in questo caso prendi in mano il contratto di Mailchimp e verifica se secondo te ci sono i presupposti per utilizzarlo e poi muoviti di conseguenza.

 

È l’Accountability bellezza! L’Accountability! E tu non puoi farci niente! Niente!
(cit. “L’ultima minaccia” – film USA del 1952)

Newsletter