Consulenza
Checkup aziendale
Contenzioso
Formazione
22.12.2021: l’Autorità Garante per la protezione dei dati personali austriaca (“Datenschutzbehörde” o “DSB”) dichiara illecito per difformità al GDPR (Regolamento UE 2016/679) l’utilizzo del servizio Google Analytics.
Non si tratta, per la verità della prima volta che, in Europa, il servizio di analisi statistica dei dati fornito dal colosso americano viene tacciato di contrarietà alla normativa europea di tutela della privacy.
Il fatto
Luglio 2020: La Corte di Giustizia europea (CGUE) invalida il “Privacy Shield” (l’accordo tra UE e USA in base al quale i dati personali dei cittadini europei potevano essere legittimamente trasferiti ad aziende con sede legale negli Stati Uniti). Tale decisione viene assunta in quanto le leggi di sorveglianza digitale degli Stati Uniti richiedono ai provider statunitensi (es. Google, Amazon, Facebook, ecc.) di fornire i dati personali dagli stessi ovunque raccolti alle autorità americane di intelligence su semplice richiesta e totalmente in chiaro. La Corte Europea ha ritenuto quindi che il trasferimento di dati personali di cittadini europei a fornitori statunitensi viola le regole sui trasferimenti internazionali di dati previste dal GDPR, in quanto il trattamento dei dati eseguito sul territorio statunitense, alla luce della legge americana, non fornisce le medesime garanzie di sicurezza previste all’interno dell’UE, e di conseguenza ha annullato l’accordo di trasferimento “Privacy Shield”, dopo aver annullato il precedente accordo “Safe Harbor” nel 2015.
Dicembre 2020: L’organizzazione no-profit Noyb propone a valle della decisione di adeguatezza del Privacy Shield, dinnanzi alle Autorità Garanti di tutta Europa (Italia compresa) ben 101 denunce per violazione della protezione dei dati personali contro 30 aziende europee per il trasferimento di dati personali dall’Europa verso società aventi sede negli USA (in particolare, ma non solo, Google e Facebook).
Dicembre 2021: il Garante austriaco, per primo in Europa, accoglie il reclamo presentato da Noyb ritenendo sussistente la violazione dell’art. 44 del GDPR da parte di un operatore austriaco titolare di un sito web, il quale utilizzava il servizio Google Analytics – il servizio di web analytics gratuito fornito da Google che consente di analizzare le statistiche sui visitatori di un sito web più comune ed utilizzato, non solo in Europa – acconsentendo al trasferimento di dati personali negli USA in assenza di una adeguata protezione, come invece richiede il Regolamento UE 2016/679.
La difesa di Google
Interrogato sul punto, Google aveva contrastato le accuse rilevando che l’utilizzo del servizio Analytics con consequenziale trasferimento dei dati personali verso gli Stati Uniti, avviene in base a clausole contrattuali standard e quindi in conformità alle previsioni dell’art. 46, par. 2 del GDPR. Secondo Google ciò è conforme a quanto sostenuto dalla CGUE e in linea con le Raccomandazioni (1/2020) dell’EDPB: il Comitato dei Garanti Europei, infatti, ha ritenuto che il trasferimento dati extra UE possa basarsi sulle clausole contrattuali standard, purché siano implementate le misure di sicurezza (es. mediante l’uso di anonimizzazione, crittografia, principio di minimizzazione nella raccolta dei dati, ecc.) idonee a garantire un adeguato livello di protezione.
La decisione del Garante
Il Garante austriaco in prima battuta si è occupato di capire se i dati trasferiti a Google negli USA fossero o meno qualificabili come “Dati Personali” ai sensi dell’art. 4, par. 1 del GDPR, e ciò in quanto tali dati erano anonimizzati e pertanto Google ne aveva accesso solo come dati aggregati, inutilizzabili per l’identificazione degli utenti.
L’Autorità ha riscontrato, tuttavia, che la procedura di anonimizzazione – nel caso di specie – non era corretta a causa di un errore tecnico. Oltre a ciò, ha rilevato comunque che, anche in presenza di anonimizzazione, Google è sempre in grado di procedere alla identificazione dell’utente (titolare anch’esso di un account Google) che visita il sito web utilizzando i cookie (piccoli file di testo che vengono inviati sui browser degli utenti dai siti web visitati, e che consentono al sito di memorizzare alcune informazioni sulla visita dell’utente).
Nel caso affrontato dal Garante austriaco, oltre alle clausole contrattuali standard, erano state adottate – in conformità alle previsioni europee – ulteriori misure di sicurezza, come la cifratura dei dati; ma nonostante l’adozione di tali strumenti, sempre secondo l’Autorità in questione, la situazione non cambiava: Google (Responsabile del trattamento), infatti, per poter trattare i dati raccolti dal Titolare (il gestore del sito in Austria), deve potervi accedere ed è quindi in possesso della chiavi per decrittografarli. Avendo la possibilità di decifrarli ed essendo soggetto alle leggi americane in forza delle quali le autorità di intelligence possono chiedere (ma anche obbligare) i providers (Google, appunto) a condividere i dati in chiaro, è evidente il deficit di tutela della riservatezza dei dati personali insito in tale sistema.
Il Garante Austriaco ha quindi ritenuto che nel caso specifico non fosse garantito un livello di protezione adeguato, come richiesto dalle norme europee, e che quindi il trasferimento dei dati personali mediante il servizio di Google Analytics avvenisse in violazione dell’art. 44 del GDPR, ritenendo responsabile di ciò, quale Titolare del Trattamento, il gestore del sito austriaco.
Conclusioni
La decisione dell’Autorità Garante austriaca rappresenta la diretta applicazione della sentenza della Corte di giustizia dell’Unione europea “Schrems II” del luglio 2020 che ha deciso che i fornitori di servizi digitali americani non sono conformi alle norme europee, e quindi l’utilizzo di tali servizi da parte di aziende europee viola il GDPR.
Non è la prima volta – e non sarà nemmeno l’ultima visto che questo è il primo dei 101 reclami presentati da Noyb – che le Autorità Garanti si pronunciano in tal modo; basti pensare che appena poche settimane prima della decisione austriaca il Garante europeo (EDPS), che ha giurisdizione sulle istituzioni europee, ha sancito che anche il Parlamento europeo viola sistematicamente le norme del GDPR utilizzando esso stesso i servizi di Google Analytics. Anche il Garante Olandese, dopo la pronuncia ha confermato di avere la medesima visione del collega austriaco.
La sentenza della CGUE del 2020 ha rilevato l’asimmetria normativa tra i due ordinamenti e sistemi di leggi, europeo e americano, diametralmente opposti, e seppur sia tentato di limitare il più possibile i rischi (mediante l’utilizzo delle clausole standard, la crittografia, la minimizzazione del trattamento, ecc.), resta il fatto che allo stato nulla impedisce ad una Agenzia di intelligence americana di accedere ai dati personali di un cittadino europeo trattati da un’azienda americana; pertanto, la soluzione più sicura – almeno secondo il Garante austriaco – è evidentemente quella di sospendere il servizio dichiarandolo illecito.
Una delle soluzioni per risolvere il problema potrebbe essere l’imposizione ai colossi americani di conservare i dati raccolti in server house allocate in UE, e non invece, come spesso accade, in sedi europee delle medesime aziende statunitensi: in tal caso, infatti, le imprese restano soggette alla loro legge nazionale meno garantista di quella europea.
Oltre a ciò si auspica un intervento normativo concertato: è già da tempo in corso il dialogo tra la Commissione Europea e il Governo americano finalizzato a trovare soluzioni che rendano possibile e in condizioni di sicurezza privacy il trasferimento dei dati negli USA. È chiaro, infatti, che l’attuale stato delle cose rischia di provocare un vero e proprio “embargo” dei provider americani in Europa a scapito del buon funzionamento del sistema internet globale. I negoziati sono iniziati e l’auspicio è che si arrivi ad una soluzione il prima possibile in modo che decisioni come quella del Garante austriaco possano essere assorbite dalla nuova modifica delle regole.