MailChimp e l’obbligo di notifica al Garante privacy

Sapevate che chi usa MailChimp deve inviare una notifica al Garante privacy?

in Privacy

Fai mail marketing usando strumenti come MailChimp? Per te ho una notizia cattiva ed una buona.
La cattiva notizia è che hai l’obbligo di notificare al Garante privacy il trattamento dei dati personali dei destinatari delle tue mail. E devi notificare al Garante il trattamento prima che inizi il trattamento stesso, quindi, in pratica, prima di iniziare ad usare MailChimp. E la notifica costa 150 euro (sono i diritti di segreteria).

Andiamo con ordine: da dove nasce questo obbligo di notifica preventiva?

L’art. 37 del codice privacy

In base all’art. 37, comma 1, lettera d) del codice privacy, il titolare deve notificare al Garante il trattamento di dati personali cui intende procedere solo se il trattamento riguarda dati trattati con l’ausilio di strumenti elettronici volti a definire il profilo o la personalità dell’interessato o ad analizzare abitudini o scelte di consumo.

Cosa significa profilare?

Per capire quando si applica l’art. 37, bisogna stabilire cosa si intende per «definire il profilo», ossia per profilazione. Il Garante privacy ce lo spiega nelle sue «Linee guida in materia di trattamento di dati personali per profilazione online» (Provvedimento del 19 marzo 2015).

In esse il Garante afferma che la «finalità di profilazione» nell’uso dei dati raccolti ricorre quando i dati vengono usati per «l’analisi e l’elaborazione di informazioni relative a utenti o clienti, al fine di suddividere gli interessati in “profili”, ovvero in gruppi omogenei per comportamenti o caratteristiche sempre più specifici, con l’obiettivo di pervenire all’identificazione inequivoca del singolo utente (cd. single out) ovvero del terminale e, per il suo tramite, anche del profilo, appunto, di uno o più utilizzatori di quel dispositivo».

Come si fa profilazione?

Il Garante scrive che si può fare profilazione in vari modi, ad esempio con l’uso di identificatori grazie ai quali è possibile “ricondurre a soggetti determinati, identificati o identificabili, specifiche azioni o schemi comportamentali ricorrenti nell’uso delle funzionalità offerte (pattern)”. Tra questi identificatori ricadono i cookies, regolati dalla famigerata cookies law (ossia, il provvedimento del Garante privacy del maggio 2014). Ai cookies sono assimilati strumenti analoghi (come ad esempio web beacon / web bug, clear GIF o altri), che consentono l’identificazione dell’utente o del terminale.

E quindi?

Purtroppo il Garante nel suo provvedimento sulla profilazione online non dedica nemmeno un rigo alla profilazione fatta tramite mail (però dedica una parte delle sue attenzioni allo spam via fax). Allora, per fare chiarezza, si può richiamare un provvedimento del 2010 del Gruppo Articolo 29 (composto dalle autorità europee per la privacy) dedicato all’online behavioural advertising.

Questo provvedimento reputa legittima la pratica in base alla quale grazie ad alcune azioni compiute dal destinatario di una comunicazione commerciale (ad es. l’interazione con la comunicazione da lui ricevuta) sia possibile ricostruirne il profilo e le preferenze al fine di indirizzargli pubblicità mirata. Pratica legittima però solo in presenza di alcune condizioni tra cui il previo consenso informato dell’utente e, appunto, la notifica del trattamento dei dati all’Autorità garante.

Come funziona MailChimp?

Nella privacy policy di MailChimp si legge che loro includono web beacons nelle mail che tu invii tramite il loro servizio. Grazie a questi web beacons MailChimp può comporre i report relativi ai destinatari delle tue mail: in questo modo puoi sapere chi ha aperto la tua mail, su quali link ha cliccato ecc. Questo significa profilare i destinatari delle tue mail.

E visto che il Garante ha assimilato i web beacons ai cookies, non resta che leggere cosa ha scritto nella cosiddetta cookie law del 2014: «i cookie di profilazione, i quali hanno caratteristiche di permanenza nel tempo, sono soggetti all’obbligo di notificazione». I cookies sono definiti di profilazione se «sono volti a creare profili relativi all’utente e vengono utilizzati al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate dallo stesso nell’ambito della navigazione in rete».

Chi è il titolare del trattamento?

Di solito nei miei corsi di formazione, arrivato a questo punto, mi si chiede se titolare del trattamento (e quindi obbligato alla notifica al Garante) possa essere MailChimp e non chi si avvale dei suoi servizi.
La risposta è negativa, nel senso che è chi usa MailChimp per inviare mail (e profilarne i destinatari) a dover notificare il trattamento.

Questa conclusione è confermata da quanto il Garante privacy ha sostenuto rispetto al caso di invio di fax indesiderati da parte di imprese italiane mediante piattaforme di società estere. Secondo il Garante, in un caso del genere, per individuare il soggetto titolare del trattamento bisogna considerare il ruolo svolto nella scelta dei destinatari delle comunicazioni, nonché delle modalità e delle finalità del trattamento e quindi «il titolare sarà individuabile nel soggetto che comunque si avvalga di tali piattaforme proprie di soggetti terzi oppure nel proprietario delle piattaforme se quest’ultimo le utilizza per svolgere attività promozionale per sé stesso».

Lo stesso Garante nel provvedimento del 18 novembre 2015 sottolinea come non abbia adempiuto all’obbligo di notifica il gestore di un sito che usava un software finalizzato all’invio di newsletter personalizzate. Queste newsletter venivano composte utilizzando i dati “relativi agli ordini effettuati dai clienti” e “i dati di navigazione degli stessi sul sito”.

Le sanzioni

La notificazione deve precedere l’inizio del trattamento (art. 38, comma 1, codice privacy). Chi non provvede tempestivamente alla notificazione è sanzionato con il pagamento di una somma da ventimila euro a centoventimila euro (art. 163, codice privacy). Anche la notificazione tardiva – ossia fatta dopo l’inizio del trattamento – viene sanzionata, poiché la condotta punita consiste nel non provvedere «tempestivamente», ossia prima dell’inizio del trattamento. In caso di violazione di minore gravità, da valutare anche in considerazione della natura anche economica o sociale dell’attività svolta, la sanzione sarà inclusa tra ottomila e quarantottomila euro.

Come si fa la notifica

Sul sito del Garante privacy sono indicate le istruzioni per fare la notifica del trattamento.

La buona notizia

Il legislatore europeo si è reso conto dell’inutilità di questo rito burocratico.
Ecco che il nuovo regolamento privacy che sta per essere definitivamente approvato prevede l’abolizione di questo obbligo di notifica. Il considerando n. 70 del regolamento evidenzia come questo obbligo «comporta oneri amministrativi e finanziari senza per questo aver mai veramente contribuito a migliorare la protezione dei dati personali». Quindi occorre aspettare qualche mese e questo obbligo finirà nel dimenticatoio.

Vuoi conoscere le altre regole da osservare per fare mail marketing nel rispetto della privacy? Scarica la mia guida.

Lascia un commento

Design, parole e diritto

Curo una newsletter dedicata al legal design e alla scrittura giuridica: parlo del mio lavoro, di come progettare documenti, servizi e testi legali, con uno sguardo su ciò che è realizzato in Italia e nel resto del mondo. La invio non più di una volta al mese.

Chi sono, in breve

Sono un avvocato e un legal designer: semplifico i documenti legali rendendoli comprensibili a chiunque. Mi occupo anche di contratti per imprese e freelance e di privacy.