L’equivalente austriaco del Garante della Privacy, il Datenschutzbehörde cd. DSB, ha dichiarato illegale l’utilizzo di Google Analytics, perché non conforme alle norme del GDPR sulla Protezione dei Dati Personali.
Questo provvedimento prende le mosse da alcuni precedenti sviluppi sul tema, che posso definirsi il retroterra giuridico e culturale della Decisione del Garante austriaco.
Vediamo le tappe fondamentali che hanno accompagnato un allarme sempre maggiore da parte delle Istituzioni Europee, dovuto – a detta di alcuni – ad un certo lassismo da parte degli interessati e quali sono le tutele mancate a cui il GDPR fa riferimento, venendo nella prassi – alle volte – ignorato.
Google Analytics e il Cloud Act
Il Cloud Act è una legge statunitense che obbliga le Società a fornire l’accesso ai dati personali di cui dispongono, compresi quelli di cittadini terzi, senza richiedere il consenso ai diretti interessati.
Il tutto accompagnato ad un sistema di sorveglianza statale in materia, nella sostanza immune da qualsivoglia limite.
Non è necessario essere esperti del settore per comprendere immediatamente come un atto di questo tenore violi in toto l’europeo GDPR.
Privacy Shield: Google Analytics e GDPR
Il Privacy Shield è, invece, un accordo tra l’Unione Europea e gli Stati Uniti, a previsione di una certa tipologia di garanzie per quanto riguarda i dati sia di cittadini che di imprese europei, trasferiti negli USA.
Il 16 luglio 2020, la Corte di Giustizia – con la Sentenza Schrems II (caso C-311/18) – aveva stabilito l’invalidità di tale intesa, in quanto baluardo non sufficiente ad un’adeguata protezione dei dati personali, sensibilmente aumentata ed approfondita grazie al GDPR.
Inoltre, il sistema statunitense di sorveglianza statale invade quel limite che il Regolamento europeo sulla privacy ha tracciato in maniera netta e decisa, a tutela della dimensione privata dei cittadini.
Secondo la Corte il trasferimento di dati verso un paese terzo è legittimo solamente se quest’ultimo garantisce un adeguato livello di protezione conforme al GDPR ed il loro trattamento rispetta il principio di proporzionalità, requisiti entrambi fallaci nella normativa USA.
Per ulteriori informazioni su Privacy Shield e dati trasferiti negli USA leggi questo articolo.
Google Analytics e il trattamento dei dati
Google Analytics è un servizio offerto da Google, utilizzato per programmare e monitorare l’andamento di un sito web in generale, ma anche nello specifico per supportare le attività di digital marketing dei siti stessi: attraverso meccanismi di comparazione statistica, offre ai proprietari dei domini degli studi focalizzati sul pubblico che usufruisce delle loro piattaforme, in modo da garantire un aumento della performance e, quindi, del fatturato.
Per stilare queste statistiche, Google Analytics ricorre all’utilizzo e al trattamento di alcuni dati degli utenti utilizzatori dei siti oggetto dell’analisi.
Le criticità sull’utilizzo di Google Analytics in tema privacy
Il titolare di un sito web utilizzava Google Analytics per ottenere delle statistiche volte allo studio delle preferenze e delle abitudini dei visitatori del suo sito, un’attività tutt’altro che insolita. Il ricorrente contestava, sia al titolare del sito che a Google stesso, di non poter effettuare le suddette attività, dal momento che il Privacy Shield non è più applicabile nei rapporti EU-USA.
Il Garante austriaco ha valutato positivamente talune azioni portate avanti dal convenuto, ossia l’adozione di specifiche misure tecniche e organizzative adottate nel rispetto nella normativa, oltreché l’anonimizzazione degli indirizzi IP degli utenti.
Tutto ciò però non è bastato a garantire la conformità del trattamento dei dati al GDPR, tanto che, nella sua decisione, il Garante austriaco ha posto in evidenza le seguenti maggiori criticità:
- insufficienza delle clausole contrattuali standard: sulla scorta di Schrems II, la DSB ha osservato che le clausole contrattuali standard non sono vincolanti per i Paesi terzi, di conseguenza nemmeno per i sistemi e programmi di sorveglianza di governo ed intelligence statunitensi;
- tutela minima delle clausole di protezione standard: le clausole di protezione standard offrono la sola garanzia contrattuale di conformità alla legislazione europea;
- insufficienza delle misure ulteriori messe in atto: le misure tecniche e organizzative adottate nel rispetto nella normativa, oltreché l’anonimizzazione degli indirizzi IP degli utenti non sono sufficienti per esonerare i dati raccolti dall’ingerenza dei sistemi e programmi USA;
- obbligo di fornitura dei dati da parte di Google A.: Google A. rappresenta un fornitore di servizi di comunicazione elettronica ed è di conseguenza obbligato a fornire i dati personali alle autorità statunitensi.
Per tali ragioni l’utilizzo di Google Analytics in territorio europeo è stato dichiarato illegittimo da parte della DSB.
Cassazione del Privacy Shield e la vulnerabilità dei dati
Il Privacy Shield non è stato ancora sostituito da una normativa ad hoc, atta a regolamentare l’utilizzo ed il trattamento dei dati che varcano l’oceano.
Ad oggi le big tech americane interessate al tema hanno modificato le policy di loro competenza ma, a detta di alcuni, tali aggiustamenti non sono sufficienti per arginare il vero problema di compatibilità tra le normative.
D’altro canto, alcune aziende europee che si interfacciano con gli USA pare stiano procrastinando un vero e proprio adeguamento del funzionamento dei loro siti sotto questo preciso aspetto, ma la decisione del Garante austriaco di certo non potrà rimanere troppo a lungo soltanto carta scritta.
Per qualsiasi dubbio inerente all’utilizzo di Google Analytics e sul trattamento dei dati personali contatta il nostro studio legale partner FCLEX a Bologna, chiedendo dell’Avvocato Giuseppe Croari, esperto di diritto dell’informatica e nuove tecnologie, e richiedi una consulenza specializzata e personalizzata.
Redazione Diritto dell’Informatica
