NOYB (None Of Your Business), l’associazione non profit di cui Max Schrems è co-fondatore, in agosto 2020 ha inviato 101 reclami nei confronti di organizzazioni europee che continuavano a trasferire i dati degli utenti a Google e Facebook negli Stati Uniti, anche a seguito della sentenza Schrems II. A dicembre 2021, il Garante privacy austriaco (DSB – Datenschutzbehörde) ha emanato la prima decisione in merito ad uno dei reclami inviati da NOYB. Destinatario del provvedimento è stato il gestore di un sito web, esportatore dei dati verso Google LLC negli Stati Uniti, per l’esattezza verso il servizio Google Analytics.
Analytics: ecco i chiarimenti privacy di Google, che non convincono del tutto
Indice degli argomenti
Il caso Google Analytics: i fatti
Il 14 agosto 2020 un interessato ha individuato la presenza di Google Analytics, strumento impiegato per misurare e monitorare l’utilizzo di un sito web, visitando il sito di un’azienda austriaca. Nel caso in questione, il gestore del sito è titolare del trattamento, mentre Google LLC è responsabile del trattamento. Inoltre, dai documenti privacy emerge che il trasferimento dei dati verso Google LLC (importatore dei dati), con riferimento a Google Analytics, è giustificato dalle clausole contrattuali standard.
Il 18 agosto 2020, l’interessato, rappresentato da NOYB, ha inviato un reclamo al Garante privacy austriaco nei confronti sia del gestore del sito che di Google LLC, adducendo la violazione del Capo V del GDPR, relativo al trasferimento dei dati verso paesi terzi.
Durante il procedimento, della durata di un anno e mezzo circa, le parti hanno precisato che:
- i dati trasferiti non si qualificano come dati personali, ai sensi dell’art. 4.1 del GDPR, in quanto non attribuibili all’interessato;
- sono state adottate misure aggiuntive adeguate a garanzia del trasferimento;
- il rischio che l’interessato sia soggetto alla sorveglianza da parte delle agenzie di intelligence statunitensi è molto basso.
Inoltre, Google ha affermato che il Capo V del GDPR si applica solo all’esportatore dei dati (cioè il gestore del sito web) ma non all’importatore dei dati (Google LLC).
La decisione del Garante privacy austriaco
Nella decisione in esame, il Garante privacy austriaco ha definito inizialmente il destinatario del provvedimento, cioè il gestore del sito web, escludendo quindi il reclamo nei confronti di Google LLC. Il Garante ha dichiarato comunque che condurrà un’indagine d’ufficio e separata rispetto alla decisione in esame, in virtù della violazione da parte di Google LLC degli artt. 5 e seguenti, 28.3 lett. a) e 29 del GDPR.
Con riferimento al reclamo nei confronti del gestore del sito web, il Garante austriaco ha accolto integralmente le osservazioni dell’interessato dichiarando, in primo luogo, che i dati trasferiti a Google LLC sono da considerarsi dati personali, in quanto gli stessi includono gli identificatori dell’utente, l’indirizzo IP e alcuni parametri del browser. Infatti, l’indirizzo IP e gli identificatori online dell’utente si qualificano come dati personali ai sensi dell’art. 4.1 del GDPR, in quanto permettono, con una ragionevole probabilità, di identificare l’interessato (Considerando 26 del GDPR).
Inoltre, il Garante privacy austriaco ha rilevato che le clausole contrattuali standard firmate dalle parti non offrono un livello di protezione adeguato, in quanto Google LLC si qualifica come “fornitore di servizi di comunicazione elettronica”, ai sensi del Titolo 50 del U.S. Code § 1881(b)(4), ed è quindi soggetto alla sorveglianza da parte delle agenzie di intelligence statunitensi (50 U.S. Code § 1881a, anche FISA 702).
Le nuove clausole contrattuali standard della Commissione UE: ecco la privacy post Schrems II
Il Garante austriaco, inoltre, ha ritenuto insufficienti le misure integrative applicate, in quanto le stesse non permettono di impedire alle agenzie di intelligence di accedere ai dati personali dell’interessato.
Con particolare riferimento alle misure integrative, il Garante ha precisato che Google LLC ha cercato di inquadrare le misure tecniche e organizzative di base ai sensi dell’art. 32 del GDPR come “misure aggiuntive”, le quali comunque sono state respinte dal Garante austriaco in quanto irrilevanti in relazione alle leggi degli Stati Uniti in materia di sorveglianza.
L’autorità di controllo austriaca ha quindi rilevato che l’impiego di Google Analytics non è conforme alle regole europee sul trasferimento dei dati verso paesi terzi, in particolare verso gli Stati Uniti, in virtù dell’inadeguatezza delle misure contrattuali e di sicurezza applicate al trasferimento da parte del gestore del sito web e anche da Google LLC.
Non risulta attualmente che sia stata comminata una sanzione al gestore del sito web, per quanto non sia da escludere la possibilità che sia stata comminata, ma non resa pubblica.
Le conseguenze della decisione del Garante austriaco
Google ha pubblicato il 13 gennaio 2022 un comunicato stampa in merito alla privacy dei dati di Google Analytics, indicando un elenco di “fatti” a tutela della privacy degli utenti, che appaiono come una risposta indiretta alla decisione del Garante austriaco, per quanto il comunicato non la citi espressamente.
Google afferma in particolare che il servizio Google Analytics rispetta pienamente la privacy degli utenti, fornendo anche importanti strumenti di gestione dei dati alle organizzazioni e funzioni di controllo dei dati agli utenti finali. Viene precisato, inoltre, che i dati di Google Analytics di un’organizzazione possono essere trasferiti negli Stati Uniti solo quando sono soddisfatte condizioni di privacy specifiche e rigorose (es. clausole contrattuali standard).
Il comunicato di Google risulta essere un tentativo per cercare di attenuare l’impatto che la decisione del Garante austriaco avrà sull’immagine pubblica del servizio Google Analytics, in quanto, la decisione determinerà importanti conseguenze con riferimento all’uso del servizio di Google.
Infatti, si tratta della prima decisione riferibile ai 101 reclami inviati da NOYB, pertanto, si attendono decisioni simili anche da parte di altre autorità di controllo europee. Inoltre, il Garante austriaco avvierà nei confronti di Google LLC un procedimento separato. Si può presumere, quindi, che la linea difensiva di Google ricalcherà i punti indicati nel comunicato.
D’altra parte, Max Schrems è particolarmente lapidario sulle possibili soluzioni al problema del trasferimento dei dati negli Stati Uniti, il quale può essere risolto:
- da parte del legislatore statunitense, che dovrà definire maggiori tutele nei confronti dei dati dei cittadini europei per sostenere l’industria tecnologica USA (soluzione preferibile); oppure
- da parte dei fornitori di servizi, che potranno valutare l’opportunità di conservare i dati dei cittadini europei al di fuori del Stati Uniti.
Il 19 gennaio 2022 Google ha pubblicato un nuovo comunicato stampa che cita espressamente la decisione del Garante austriaco, evidenziando la mancanza di “stabilità giuridica” in relazione ai flussi di dati internazionali.
In tal senso Google auspica che venga definito un nuovo accordo tra Europa e Stati Uniti, che possa fungere da successore del Privacy Shield (non più valido da luglio 2020 per la sentenza Schrems II). Inoltre, la società ha dichiarato a sua difesa che in più di 15 anni di fornitura di servizi di analisi alle imprese in tutto il mondo non ha mai ricevuto il tipo di richiesta che il Garante austriaco ha ipotizzato, cioè la richiesta di accesso ai dati di utenti europei da parte di agenzie di intelligence statunitensi.
Cosa accadrà adesso?
La decisione del Garante privacy austriaco ha evidenziato ancora una volta un problema che ricorre ormai da diversi anni (a partire dalla sentenza Schrems I di ottobre 2015): la sostanziale incompatibilità tra le norme privacy europee e quelle statunitensi.
Attualmente, infatti, un’agenzia di intelligence americana è libera di chiedere a Google i dati dei cittadini europei, sulla base della normativa FISA 702. Questa asimmetria richiede che venga definita il prima possibile una soluzione, cioè un accordo tra Europa e Stati Uniti, in modo da fornire adeguate garanzie al trasferimento dei dati.
Infatti, ulteriori soluzioni, quali per esempio misure contrattuali e organizzative/tecniche, costituiscono un rimedio temporaneo, in quanto non possono avere un impatto rilevante quanto un accordo tra Europa e Stati Uniti.
Da un punto di vista operativo, al momento non vi è un divieto di utilizzo di Google Analytics, tuttavia, alla luce della decisione del Garante austriaco, è opportuno che le organizzazioni effettuino una valutazione caso per caso in merito allo specifico utilizzo dello strumento di analisi.
Infatti, in vista di ulteriori decisioni da parte di altre autorità di controllo europee (tra cui anche il Garante privacy italiano, in quanto alcuni dei 101 reclami di NOYB si riferiscono a siti web italiani) potrebbe essere opportuno non impiegare temporaneamente Google Analytics, nell’attesa di maggiori tutele per il trasferimento dei dati negli Stati Uniti.
Chiaramente, questa valutazione deve essere effettuata anche sulla base dell’impatto che la dismissione (anche temporanea) di Google Analytics potrebbe avere sul business dell’organizzazione.