Skip to main content

La decisione Schrems II significa che Google Analytics non è conforme al GDPR?

Per molte aziende nell'UE e negli Stati Uniti, il 2022 ha aggiunto un'altra crisi da gestire: il seguito a Schrems II che dichiara che Google Analytics non è conforme al GDPR.

Cos'è Schrems II?

Data Protection Commissioner v Facebook Ireland e Maximillian Schrems, noto anche come Schrems II, si sono conclusi il 16 luglio 2020. In breve, la decisione della Corte di giustizia europea ha annullato lo scudo UE-USA per la privacy, l'accordo che specificava i requisiti di protezione della persona dati dei cittadini dell'UE inviati negli Stati Uniti.

Questo caso ha messo in discussione l'uso conforme al GDPR di qualsiasi server di proprietà e gestito dagli Stati Uniti, derivante dal fatto che i dati personali dell'UE venivano inviati ai server cloud di Facebook negli Stati Uniti e, ai sensi del CLOUD Act, US Foreign Intelligence Surveillance Act e altre politiche ufficiali potrebbero quindi essere accessibili alle agenzie di intelligence statunitensi. In sintesi, i dati personali dei cittadini dell'UE non sono adeguatamente protetti ai sensi del GDPR quando vengono trasferiti ai server di società statunitensi.

Decisione Schrems II in Austria

Dopo la decisione Schrems II, il noyb(Centro europeo per i diritti digitali) no-profit, fondato da Max Schrems, ha presentato 101 denunce contro diverse società che hanno trasferito i dati dei cittadini dell'UE a società statunitensi. Uno di questi reclami riguardava netdocktor.at, un sito web sanitario che utilizzava Google Analytics per tracciare i visitatori del sito web. Come molte aziende, netdoktor ha continuato a utilizzare Google Analytics nonostante la decisione della Corte di giustizia europea. Google, così come altre società con sede negli Stati Uniti (Amazon, Facebook, Microsoft, ecc.) si sono affidate alle clausole contrattuali standard (SCC) e alle misure tecniche e organizzative (TOM) per convincere i partner dell'UE che le loro misure di protezione fisica e digitale ( recinzioni intorno ai data center, crittografia dei dati, dati pseudonimi, ecc.) sono stati sufficienti per proteggere i loro dati.

Ma nel caso netdoktor, l'autorità austriaca per la protezione dei dati ("Datenschutzbehörde" o "DSB"), ha deciso che ciò non è sufficiente. Google Analytics viola il GDPR.Spiegano:

In merito alle misure contrattuali e organizzative delineate, non è chiaro in quale misura [la misura] sia efficace nel senso delle considerazioni che precedono”.

" Per quanto riguarda le misure tecniche, non è nemmeno riconoscibile (...) fino a che punto [la misura] impedirebbe o limiterebbe effettivamente l'accesso delle agenzie di intelligence statunitensi considerando la legge statunitense".

Sulla base di questa decisione, molti esperti ritengono che questo sia solo l'inizio. Ci sono ancora molte denunce in attesa di arrivare in tribunale e si prevede che decisioni simili saranno prese da altri paesi membri dell'UE.

Il DSB ha anche affermato nella sua decisione che indagherà ulteriormente su Google in merito alle regole di trasferimento dei dati al governo degli Stati Uniti senza il consenso esplicito dell'esportatore di dati dell'UE.

Non ci sono ancora sanzioni inflitte in questo caso, ma se il tribunale decidesse di farlo, potrebbero arrivare fino al 4% del fatturato globale di un'azienda.

Impatto sugli utenti di Google Analytics

Non siamo avvocati e non possiamo offrire consulenza legale, ma sembra che qualsiasi azienda che elabori i dati dei cittadini dell'UE attraverso servizi forniti da società con sede negli Stati Uniti sia a rischio. In termini di analisi web, Google Analytics è il numero uno al mondo, ma ce ne sono molti altri a cui prestare attenzione. Controlla sempre dove è costituita la società e dove si trovano i loro data center.

A lungo termine, ciò significa che il governo e i fornitori statunitensi dovranno apportare enormi cambiamenti alle loro attuali politichee infrastrutture: approvare una legislazione che protegga i dati dei cittadini stranieri e ospitare dati stranieri al di fuori degli Stati Uniti. La Commissione europea è ansiosa di trovare un sostituto per lo scudo UE-USA per la privacy, ma al momento non esiste una via legale per procedere. I negoziati sono in corso, ma richiedono ancora modifiche legali da parte degli Stati Uniti. E sulla base dell'attuale clima politico ed economico, queste cose sembrano improbabili per il prossimo futuro.

Il futuro dei dati di analisi web

Poiché la corte ha concluso che Google Analytics non è conforme al GDPR, cosa che Google ha negatoin una recente dichiarazione, la domanda è a chi si rivolgono le aziende per dati di analisi web sicuri e a basso rischio. Il primo passo sarebbe ricercare società con sede nell'UE, che utilizzano l'anonimizzazione IP, che non memorizzano i dati degli utenti e che sono conformi a GDPR, TTDSG, CCPA e altre leggi sulla privacy dei dati, come Visitor Analytics!

La decisione completa del DSB, in tedesco, può essere trovata qui.