Mailchimp e i trasferimenti di dati europei

Se l’utente è un cliente Mailchimp con sede nello Spazio economico europeo (SEE), nel Regno Unito o in Svizzera (che faremo riferimento collettivamente come “Europa”), o se utilizza la nostra piattaforma per trattare i dati dei suoi contatti in Europa, il nostro Addendum sul trattamento dei dati (Data Processing Addendum, DPA) è stato redatto per consentirgli di trasferire i dati personali europei a Mailchimp negli Stati Uniti e per consentire a Mailchimp di trattare legalmente tali dati per suo conto.

Il DPA è incorporato direttamente nei nostri Termini di utilizzo standard e non richiede una firma. Utilizzando Mailchimp o registrandoti a un account, accetti i presenti termini. Ai sensi dei Termini di utilizzo standard e dell’Addendum sul trattamento dei dati di Mailchimp, ciascun utente si impegna a un utilizzo conforme a tutte le leggi applicabili.

Conformità per l’esportazione dei dati europei di Mailchimp

Rocket Science Group LLC d/b/a Mailchimp è un’entità coperta dal programma Data Privacy Framework di Intuit e ha certificato la sua conformità sia all’UE che agli Stati Uniti. Data Privacy Framework, l’estensione del Regno Unito all’UE-USA Quadro sulla privacy dei dati e Svizzera-USA Quadro sulla privacy dei dati. Puoi visualizzare il nostro elenco cercando “Intuit” qui e leggere la pagina di certificazione Intuit Data Privacy Framework qui.

Inoltre, qualora il Quadro sulla privacy dei dati venisse invalidato, Mailchimp si impegna contrattualmente a trasferire e trattare tutti i dati europei dei suoi clienti in conformità alle Clausole contrattuali standard (Standard Contractual Clauses, “SCC”), che continuano a dare ai nostri clienti la possibilità di trasferire legalmente i dati soggetti alle leggi applicabili sulla protezione dei dati (incluso il GDPR) al di fuori dell’Europa a Mailchimp negli Stati Uniti. Le SCC si applicano automaticamente in conformità all’Addendum sul trattamento dei dati di Mailchimp.

Maggiori informazioni sui trasferimenti di dati

Sappiamo che i nostri clienti potrebbero avere domande sulla conformità del trasferimento dei dati, incluso l’impatto della decisione della CGUE del 2020 in merito al trasferimento dei dati e l’adozione delle nuove SCC da parte della Commissione europea il 4 giugno 2021. In questa sezione, ti vengono presentate alcune domande e risposte comuni.

Mailchimp trasferisce i dati al di fuori dell’Europa? Se sì, in quali Paesi?

Sì. La sede centrale di Mailchimp si trova negli Stati Uniti e anche i nostri server hanno sede negli Stati Uniti. Ciò significa che i dati che trattiamo possono essere trasferiti, archiviati o trattati negli Stati Uniti. Inoltre, ci avvaliamo di fornitori terzi che trattano i dati personali per nostro conto allo scopo di fornire servizi a Mailchimp. Anche i server di tali fornitori possono avere sede al di fuori dell’Europa.

Puoi visualizzare l’elenco completo dei sub-responsabili del trattamento che utilizziamo per trattare i dati dei nostri clienti, insieme ai dettagli della loro posizione. Adottiamo misure per garantire che i nostri fornitori offrano misure di salvaguardia adeguate a proteggere i dati personali che trattano per conto nostro e questi sono contrattualmente obbligati a trattare tali dati in conformità alle leggi applicabili in materia di protezione dei dati.

Quali misure ha implementato Mailchimp allo scopo di proteggere i dati dei clienti europei trattati al di fuori dell’Europa?

Mailchimp ha adottato una serie di misure allo scopo di garantire che i dati europei continuino a essere protetti quando vengono trasferiti al di fuori dell’Europa.

Impegni contrattuali
Oltre a certificare la nostra conformità sia alla normativa UE-USA Data Privacy Framework, l’estensione del Regno Unito all’UE-USA Quadro sulla privacy dei dati e Svizzera-USA Quadro sulla privacy dei dati, le SCC sono direttamente incorporate nel nostro Addendum sul trattamento dei dati. Specifichiamo anche i nostri impegni per la sicurezza, la riservatezza del trattamento, le limitazioni sui trasferimenti internazionali di dati personali, la cooperazione con i diritti degli interessati, la notifica di incidenti di sicurezza e altro ancora.

È importante sottolineare che Mailchimp non vende, affitta o commercia i dati degli utenti.

Misure di sicurezza
Mailchimp riserva la massima attenzione alla privacy e alla sicurezza dei dati dei nostri utenti. Il nostro programma di sicurezza e privacy è descritto in dettaglio nella nostra pagina sulla sicurezza.

Di seguito viene presentato un riepilogo di alcune delle misure tecniche e organizzative importanti e specifiche che abbiamo implementato (e continueremo a implementare) per proteggerci dall’accesso non autorizzato ai dati degli utenti:

(1) Crittografia
Mailchimp ha implementato, dove e nella misura in cui ciò è tecnicamente fattibile, tecnologie di crittografia in tutta la sua infrastruttura che contribuiscano a proteggere i dati degli utenti da accessi non autorizzati quando questi vengono trattati internamente da Mailchimp. Ad esempio, tutte le pagine di produzione Mailchimp utilizzano la trasmissione crittografata TLS, un protocollo di crittografia sicuro, e la rete wireless interna di Mailchimp utilizza la crittografia WPA2 a 128 bit. Inoltre, la crittografia si applica anche all’email di Mailchimp (a 256 bit), a tutte le connessioni VPN (a 256 bit) e all’applicazione della chat interna (a 256 bit). Le pagine di accesso utilizzano TLS e dispongono di una protezione dagli attacchi di forza bruta. Ciò vale anche per le applicazioni Mailchimp mobili e l’API di Mailchimp.

(2) Controlli di accesso
Mailchimp limita l’accesso di terzi alle proprie infrastrutture e ai propri strumenti interni. Il nostro team legale valuta tutte le richieste di accesso, si assicura che la richiesta sia appropriata per la mansione in questione e garantisce che la terza parte segua tutte le disposizioni di sicurezza e privacy delineate nel contratto. Una volta che l’accesso viene approvato, Mailchimp concede tale accesso esclusivamente a parti del sistema chiaramente definite tramite account controllati.

Mailchimp si impegna a preservare i più alti livelli di privacy e sicurezza per i suoi utenti. In caso di domande sul nostro programma di sicurezza e privacy, invia le tue domande qui.

Accordi con i fornitori
Adottiamo tutte le misure necessarie per garantire che i nostri accordi con i fornitori internazionali terzi (compresi i sub-responsabili del trattamento) contengano impegni appropriati da parte di tali terze parti in merito al trasferimento e al trattamento dei dati europei al di fuori dell’Europa e che noi implementiamo un meccanismo di trasferimento dei dati appropriato e legittimo (come le Clausole contrattuali standard) e ulteriori misure di salvaguardia, se necessario. Sono disponibili dettagli aggiornati sui sub-responsabili del trattamento che utilizziamo per trattare i dati dei nostri membri.

Quadro sulla privacy dei dati
Rocket Science Group LLC d/b/a Mailchimp è conforme alle normative UE-USA Quadro sulla privacy dei dati (UE-USA DPF), l’estensione del Regno Unito all’UE-USA DPF e Svizzera-USA Quadro sulla privacy dei dati (Svizzera-USA DPF) come stabilito dal Dipartimento del Commercio degli Stati Uniti in merito alla raccolta, all’uso e alla conservazione delle informazioni personali trasferite dall’Unione europea (UE), dal Regno Unito (e da Gibilterra)(Regno Unito) e dalla Svizzera agli Stati Uniti.

In che modo Mailchimp risponde alle richieste di informazioni?

Consideriamo attentamente tutte le richieste di informazioni e, come politica, non forniamo a terzi informazioni relative a un account che non appartiene loro, a meno che non siamo legalmente obbligati a farlo. Ciò significa che risponderemo solo a un’ordinanza del tribunale valida, a un mandato di comparizione, a un mandato di perquisizione o ad altri procedimenti legali appropriati che richiedono informazioni e registri relativi a un account Mailchimp. Mailchimp utilizza determinate linee guida quando risponde alle richieste di informazioni, sia da parte di un ente governativo che non governativo:

• Ci impegniamo a preservare la privacy e la riservatezza degli utenti.
• Ove possibile, chiediamo al richiedente di rivolgersi direttamente ai titolari dell’account in questione piuttosto che a Mailchimp.
• Chiediamo al richiedente di fornirci quante più informazioni possibili in modo da identificare qual è l’account dell’utente corretto. Non risponderemo a una richiesta a meno di non aver ricevuto innanzitutto informazioni adeguate e specifiche, come indirizzo email, intestazioni dell’email, dominio Internet, nome utente, indirizzo IP o altre informazioni simili, che ci consentano di identificare e individuare l’account corretto.
• In assenza di un’eccezione legale ai sensi della legge statunitense, rispondiamo solo alle richieste che sono state presentate attraverso un procedimento legale statunitense valido. Ciò significa che il procedimento legale (come citazioni in giudizio, richieste di accertamento, mandati di perquisizione o ordinanze del tribunale) deve essere correttamente sancito da un tribunale statunitense della giurisdizione competente ed emesso in conformità con le norme procedurali federali e/o statali applicabili prima che Mailchimp risponda.
• Mailchimp non accetta richieste direttamente da enti governativi al di fuori degli Stati Uniti. Rispondiamo solo alle richieste di governi stranieri effettuate attraverso un Trattato di assistenza legale reciproca o altri mezzi diplomatici o legali utilizzati per ottenere informazioni da Mailchimp.

In conformità con il nostro Addendum sul trattamento dei dati, Mailchimp fornirà agli utenti europei una notifica scritta delle richieste obbligatorie di accesso ai loro dati, a meno che ciò non sia vietato dalla legge.

Mailchimp pubblica report sulla trasparenza relativi alle richieste di informazioni?

Al fine di dimostrare il nostro impegno nei confronti della privacy e i nostri sforzi per essere quanto più trasparenti possibile, Mailchimp ora pubblica report annuali sulla trasparenza che documentano il numero e il tipo di richieste legali ricevute. Anche se ci sono restrizioni sul livello di dettagli che possiamo fornire, faremo del nostro meglio per essere quanto più trasparenti possibile dal punto di vista legale in tutti questi report.

Mailchimp riceve richieste di informazioni dal governo degli Stati Uniti?

Al centro della recente sentenza della Corte di Giustizia dell’Unione Europea (e uno dei motivi principali per cui il Privacy Shield è stato invalidato) c’era la preoccupazione espressa in merito ai programmi di intelligence e sorveglianza nazionali degli Stati Uniti ai sensi della Section 702, indicata anche come FISA Amendments Act, e ai sensi dell’Executive Order 12333. Come prassi generale, Mailchimp non fornisce volontariamente alle agenzie o alle autorità governative (comprese le forze dell’ordine) accesso a o informazioni sugli account Mailchimp.

Tuttavia, in quanto piattaforma di email marketing B2B e quindi “servizio di comunicazione elettronica”, Mailchimp è, come quasi tutti i fornitori di servizi cloud statunitensi, il tipo di ente verso cui il governo degli Stati Uniti è tecnicamente autorizzato a emettere direttive FISA ai sensi della Section 702 o a intraprendere azioni di raccolta di intelligence ai sensi dell’EO 12333. Ciò significa che Mailchimp può essere tecnicamente notificata con questo tipo di richieste obbligatorie di informazioni.

I nostri report annuali sulla trasparenza documentano il numero limitato e i tipi specifici di richieste legali ricevute da Mailchimp. Inoltre, come spiegato sopra, abbiamo in atto anche politiche e processi rigorosi per rispondere alle richieste di informazioni delle forze dell’ordine.

Posso eseguire le Clausole contrattuali standard dell’UE con Mailchimp?

Le Clausole contrattuali standard (“SCC”) sono direttamente incorporate nel nostro Addendum sul trattamento dei dati (Data Processing Addendum, DPA) che fa automaticamente parte dei nostri Termini standard di utilizzo (il nostro contratto con l’utente) e si applica ai dati dei clienti protetti dalle leggi europee sulla protezione dei dati (incluso il GDPR).