L’autorità garante per la protezione dei dati austriaca, DSB, ha dichiarato che l’uso di Google Analytics viola il GDPR, alla luce della sentenza Schrems II del luglio 2020. Si tratta della prima decisione relativa ai “101 US Transfer complaints” che l’associazione Noyb, di cui è presidente onorario Max Schrems, ha presentato per rilevare fronti critici nelle attività di trasferimento dei dati verso gli Stati Uniti.
Per l’ex Garante privacy italiano e docente universitario Franco Pizzetti, “c’è un irrigidimento più che ragionevole sul far applicare il divieto di trasferimento di dati all’estero. Ovvio che la questione riguarda il non tollerare più un atteggiamento di lassismo nel trasferimento di dati all’estero”.
LEGGI il comunicato di Noyb
Trasferimento dati UE-USA, cosa dice il Garante austriaco
Ricordiamo che la Corte di Giustizia UE aveva stabilito con la sentenza Schrems II che il Privacy Shield, cioè la normativa che fino a quel momento era stata punto di riferimento per regolare il trasferimento dei dati tra UE e USA, non era allineato al GDPR. Questo, in particolare, perché la legge statunitense consente che le Big Tech possano fornire alle autorità i dati personali degli utenti per motivi di sorveglianza e sicurezza. La conseguenza della sentenza, denominata Schrems II dal cognome di Max Schrems, che aveva denunciato il problema, è stata una rivoluzione nella gestione del trasferimento dei dati verso gli USA.
Tuttavia, nonostante la portata della sentenza, molte grandi realtà hanno continuato di fatto a trasferire dati dall’Unione europea agli Stati Uniti. In un comunicato ufficiale di Noyb, Schrems ha dichiarato che “invece di adattare effettivamente i servizi per essere conformi al GDPR, le aziende statunitensi hanno cercato di aggiungere semplicemente del testo alle loro politiche sulla privacy e ignorare la Corte di giustizia. Molte aziende dell’UE hanno seguito l’esempio invece di passare alle opzioni legali”.
Per l’autorità DSB, il Garante privacy austriaco, le misure adottate da Google (qui il documento inviato dall’azienda all’autorità) non sono sufficienti. In particolare, l’autorità si riferisce alle misure tecniche, contrattuali e organizzative.
Al momento non sono previste sanzioni.
Garante protezione dati richiama il Parlamento europeo per trasferimenti illegali
Per lo stesso motivo che ha portato all’intervento del Garante austriaco, l’EDPS ha emesso un richiamo al Parlamento europeo per trasferimenti illegali di dati UE-USA.
Il reclamo, su ricorso dell’associazione Nyob, evidenzia che e il Parlamento europeo ha violato la legge sulla protezione dei dati sul suo sito web di test COVID.
EDPS sottolinea che l’uso di Google Analytics e il fornitore di pagamenti Stripe (entrambe le società statunitensi) ha violato la sentenza “Schrems II” della Corte di giustizia (CGUE) sui trasferimenti di dati UE-USA. La sentenza è una delle prime decisioni di attuazione di “Schrems II” in questo campo e può aprire la strada per centinaia di altri casi pendenti davanti alle autorità di regolamentazione.
Nel gennaio 2021, noyb aveva presentato un reclamo contro il Parlamento europeo per conto di sei membri del Parlamento europeo su un sito web interno di test della corona. Le questioni sollevate erano banner di cookie ingannevoli, avvisi di protezione dei dati vaghi e poco chiari, e il trasferimento illegale di dati negli Stati Uniti. Edps ha indagato sulla questione e ha emesso una contestazione al Parlamento per violazione del “GDPR per le istituzioni dell’UE” (regolamento (UE) 2018/1725 applicabile solo alle istituzioni dell’UE).
Nessuna multa, ma un richiamo e un ordine di conformarsi. Contrariamente ai Garanti privacy nazionali ai sensi del GDPR, Edps può emettere una multa solo in circostanze limitate che non sono state soddisfatte in questo caso. Inoltre, EDPS ha dato al Parlamento un mese di tempo per aggiornare il suo avviso sulla protezione dei dati e affrontare le questioni rimanenti in materia di trasparenza.
Pizzetti: “Zero tolleranza verso il lassismo nel trasferimento dati”
Per Pizzetti si tratta di un “irrigidimento delle autorità motivato da un certo lassismo” sul fronte del trasferimento dei dati all’estero. La soluzione futura a questo problema potrebbe essere che l’UE si doti di piattaforme cloud che offrano servizi come le piattaforme americane. E intanto, si pone l’attenzione anche sulle normative relative alla digital economy in fase di approvazione in UE, come il Digital Services Act e il Data Governance Act: “C’è la convinzione che sotto la presidenza francese tutte le proposte in materia di regolamentazione dei dati siano approvate”.
Cataleta: “Forte segnale dall’Europa”
Concorda Anna Cataleta, avvocata esperta di privacy, per P4i: “La decisione dell’autorità di controllo austriaca rappresenta un ulteriore forte segnale inviato dall’Europa nei confronti degli Over-the-Top statunitensi. Da ricordare infatti le recenti severe sanzioni comminate dall’autorità francese a Google e Facebook”.
“L’autorità austriaca, dichiarando che Google Analytics non può essere impiegato nel rispetto del Capo V del GDPR, ha evidenziato, ancora una volta, il problema che periodicamente ritorna agli onori della cronaca di settore: la sostanziale incompatibilità tra le norme privacy europee e quelle statunitensi”.
Le conseguenze
“La decisione dell’autorità austriaca potrà generare anche diversi problemi per i gestori di siti web. Infatti, Google Analytics è uno degli strumenti più utilizzati sui siti web di tutta Europa ed un eventuale ban o limitazioni nell’uso dello stesso potrebbero determinare diverse importanti conseguenze a livello di business in innumerevoli organizzazioni, di ogni dimensione e settore”, dice Cataleta.
La risposta di Google
Sul blog ufficiale di Google, The Keyword, il 13 gennaio 2022 è apparso un contenuto relativo alle misure messe in atto da Google Analytics per tutelare la privacy. L’autore riporta che “Google realizza prodotti e funzioni che sono secure by default, private by design“.
L’azienda, come riportato nell’articolo, fino adesso si è serva delle Clausole contrattuali standard per soddisfare le condizioni richieste dal GDPR e dalla sentenza Schrems II: “Google Analytics gestisce data center in tutto il mondo, compresi gli Stati Uniti, per massimizzare la velocità e l’affidabilità del servizio. Prima che i dati siano trasferiti a qualsiasi server negli Stati Uniti, sono raccolti in server locali, dove gli indirizzi IP degli utenti sono anonimizzati (quando la funzione è abilitata dai clienti). Il GDPR e la Corte di giustizia europea dicono che i dati possono essere trasferiti al di fuori dell’Unione europea proprio per questo tipo di motivo, a condizione che le condizioni siano soddisfatte. Al fine di soddisfare tali condizioni, applichiamo numerose misure” come servirsi di “accordi di trasferimento dei dati come le Clausole Contrattuali Standard dell’UE, che sono state affermate come un meccanismo valido per il trasferimento dei dati negli Stati Uniti, insieme ad ulteriori salvaguardie che mantengono i dati al sicuro: crittografia dei dati, sicurezza fisica nei nostri data center e politiche solide per la gestione delle richieste governative di informazioni sugli utenti”.
