In questo periodo di rapida evoluzione e soggetto alla digital transformation vi sono alcuni momenti che segnano cambiamenti radicali. Ne è un perfetto esempio il 16 luglio 2020, data in cui la Corte di Giustizia dell'Unione Europea (“CGUE”) si è pronunciata con la sentenza “Schrems II”, che ha invalidato il cd. Privacy Shield e reso di fatto illegittimo il trasferimento dei dati al di fuori dello Spazio Economico Europeo in tutti quei casi in cui non è fattivamente possibile tutelare dal punto di vista privacy i diritti e le libertà dei soggetti interessati, come richiesto dal GDPR.
La sentenza ha destato un forte allarme tra le aziende, preoccupate di correre rischi affidandosi a piattaforme non in grado di rispondere in modo appropriato al drastico cambiamento, e ha dato il via a un periodo di analisi e richieste di chiarimenti anche verso i fornitori e/o altri responsabili del trattamento coinvolti nella gestione dei dati personali. Oltre ad invalidare il Privacy Shield, la suddetta sentenza ha messo in discussione anche gli (altri) strumenti giuridici a disposizione per un lecito trasferimento dei dati verso quei Paesi situati fuori dallo Spazio Economico Europeo e non coperti da una decisione di adeguatezza: è il caso delle Standard Contractual Clauses (“SCC”), di recente pubblicate in versione aggiornata dopo un lungo percorso di revisione da parte della Commissione Europea, e rispetto alle quali resta fermo che sarà in ogni caso necessario valutare - a valle di un Transfer Impact Assessment - anche l’eventuale adozione di supplementary measures a garanzia delle operazioni di trattamento sui dati personali svolte extra SEE.
In questo contesto è diventato dunque di fondamentale importanza poter contare su una piattaforma GDPR compliant, qualità troppo spesso sottovalutata e propria solo di pochi player in tutta Europa, tra i quali MagNews, l’Integrated Communication Platform che in quest’ambito si attesta ormai come realtà di riferimento.
Da tempo la Piattaforma ha messo al primo posto un’attenzione unica nella gestione dei dati personali dei propri clienti ai fini della conformità alla normativa europea in tema di data protection, confermandosi come soluzione perfetta per tutte quelle aziende alla ricerca di un partner adeguato per far fronte agli effetti della sentenza Schrems II.
Analizzando attentamente lo scenario che si è verificato successivamente a tale rilevante decisione della CGUE, la scelta di MagNews di non trasferire i dati personali dei propri clienti al di fuori dello Spazio Economico Europeo si è dimostrata vincente; questa scelta ha permesso inoltre di contenere il numero dei sub-responsabili coinvolti, prestando sempre massima attenzione alla loro selezione e garantendo così un effettivo controllo sulla “catena” di fornitura.
“Poter contare su un Modello Organizzativo Privacy e avere un effettivo controllo sulla gestione dei dati dei nostri clienti ci ha permesso di mantenere immutato il livello di servizio erogato, anche a fronte della sentenza Schrems II - afferma Elisabetta Bruno, Chief Marketing Officer di MagNews -. Grazie alle grandi competenze che ci caratterizzano, e che rendono MagNews una tra le poche realtà davvero GDPR compliant, l’obiettivo per il futuro è porsi sempre di più come partner affidabile nel delicato ambito del trasferimento dati”.
In tal senso la piattaforma MagNews garantisce azioni di business in massima tranquillità senza la necessità di assumersi oneri di costante vigilanza rispetto al trasferimento di dati extra SEE che, nel peggiore dei casi, in caso di violazione delle norme del GDPR, può esporre un’organizzazione al rischio di sanzioni amministrative molto elevate (fino a €20.000.000 o fino al 4% del fatturato mondiale totale annuo dell'esercizio precedente, se superiore secondo il GDPR).
A testimonianza dell’attenzione che stanno dimostrando le Autorità di Controllo europee per questa tematica, l'Autorità per la Protezione dei Dati bavarese (BayLDA) ha emesso nei mesi passati una decisione connessa all’uso della piattaforma statunitense di email marketing Mailchimp, con la quale ha segnalato il mancato rispetto delle indicazioni della sentenza Schrems II.
Anche se la BayLDA non ha intrapreso alcuna azione sanzionatoria nei confronti della società tedesca, dal momento che la stessa ha interrotto immediatamente l’utilizzo di Mailchimp, la decisione è rilevante perché riafferma l’impatto della suddetta sentenza e la necessità di dover effettuare attente valutazioni nei confronti dei propri fornitori che trasferiscono i dati extra SEE (verso gli Stati Uniti, ma non solo). Tali valutazioni, da compiere al momento della scelta del fornitore oltre che nel corso del rapporto con lo stesso, potrebbero costringere anche alla dismissione degli applicativi in uso e a dover rinegoziare i rapporti contrattuali con fornitori ritenuti non adeguati alla gestione degli impatti privacy derivanti dalla sentenza Schrems II, proprio come nel caso oggetto della decisione dell’Autorità di Controllo bavarese.
Si registra invece l’annuncio di una sanzione, di 5 milioni di NOK (circa 479.000 euro) da parte dell’Autorità di Controllo in materia di protezione dei dati personali norvegese alla società Ferde AS che trasferiva dati a un responsabile in Cina senza una base legale idonea e in assenza di misure di sicurezza adeguate.
“Da anni su MagNews poniamo massima attenzione agli aspetti privacy & security - conclude Fabio Masini, Chief Technology Officer di MagNews -. La direzione che abbiamo intrapreso è chiara e continueremo a presidiare ogni aspetto che ci permetta di essere la migliore soluzione per tutti i clienti che riconoscono nella data protection un valore competitivo.”