Il 22 dicembre 2021, una decisione dell’Autorità Garante per la Protezione dei Dati personali austriaca (DSB) ha ritenuto, nel caso esaminato, l’utilizzo del servizio Google Analytics non conforme alla normativa europea.
Un sito web riguardante tematiche relative all’ambito sanitario, netdoktor.at, è infatti stato ritenuto in violazione per aver esportato i dati degli IP dei cittadini europei -principalmente austriaci- attraverso l’utilizzo di Google Analytics, in USA.
La decisione ha preso il via da alcuni elementi ritenuti irregolari tra cui:
- il sito non utilizzava alcun pop-up per l’accettazione
- gli IP non erano anonimizzati per un errore tecnico
- le misure di sicurezza e organizzative implementate per i trasferimenti extra UE non sono state sufficienti
Da dove è partito il tutto e perché potrebbe essere considerato illegale?
La notizia è arrivata al grande pubblico il 13 gennaio 2022, grazie all’organizzazione no-profit NOYB che, per prima, ha pubblicato il provvedimento emesso il 22 dicembre 2021. NOYB aveva già pubblicato sul proprio sito una lista di reclami verso 101 siti web che, a giudizio dell’organizzazione, non rispettano le linee guida in riferimento al trasferimento di dati personali dall’Europa verso gli Stati Uniti.
Questa battaglia è cominciata dopo che la Corte di Giustizia Europea, nel 2020, ha invalidato il Privacy Shield, l’accordo tra USA e UE che consentiva alle aziende americane di trasferire i dati personali degli utenti europei. Su questo accordo – nonché sul precedente tentativo denominato “Safe Harbor” – molto si potrebbe scrivere, a noi basti sapere che la Corte Europea lo ha invalidato poiché ritiene che le leggi degli Stati Uniti (in particolare, con riferimento alle norme che consentono alle Agenzie governative di aver accesso ai sistemi delle aziende) non garantiscano i diritti fondamentali dei cittadini europei. Nonostante questo, però, la stragrande maggioranza dei siti web continua tuttora a utilizzare i servizi delle aziende americane.
Una notizia che fa luce sullo stato di confusione attuale della normativa è quella per cui, secondo un recente intervento del Garante europeo (EDPS) che ha giurisdizione sulle istituzioni europee, il Parlamento Europeo violi le norme utilizzando proprio i servizi di Google Analytics.
Cosa si può fare ora
Ci sono diversi motivi per cui non è il momento di prendere decisioni avventate riguardo Google Analytics:
- La decisione non va nella direzione di impedire alle aziende l’utilizzo di Google Analytics è riferita a un caso specifico. Esistono, tra l’altro, numerosi altri servizi e strumenti utilizzati ogni giorno da milioni di aziende che sono prodotti da Big Tech americane con server in US
- Il sito austriaco condannato non presentava né un cookie banner né l’anonimizzazione degli IP
La prima cosa da fare è assicurarsi che i siti siano adeguati alle linee guida sui cookie e sugli strumenti di tracciamento, per il resto consigliamo di monitorare gli interventi di Google e dei regolatori europei e allo stesso tempo di effettuare delle analisi interne con i propri DPO e uffici legali.
Conclusioni
Nel lungo periodo è possibile che si delineino questi scenari:
- Gli Stati Uniti adotteranno le protezioni di base per gli utenti stranieri o si raggiungerà un nuovo accordo tra UE e USA
- I fornitori statunitensi dovranno poter ospitare al di fuori degli Stati Uniti i dati degli utenti stranieri
Google dal canto suo, all’interno del suo blog, ha provato a fornire alcune risposte attraverso Russell Ketchum — Director, Product Management, Google Analytics : “Sono le aziende, e non Google, che controllano quali dati vengono raccolti con questi strumenti e come vengono utilizzati. Google le supporta solamente” passando poi a “Seguiamo quanto dettato dalle Standard Contractual Clauses.”
Come ha specificato Google tramite Kent Walker nell’articolo “It’s time for a new EU-US data transfer framework”, si tratta di un tema fortemente politico e, finché la politica non si pronuncerà in merito, le aziende e i cittadini possono attendere una decisione netta e condivisa da parte degli enti regolatori, nonché vigilare sulla propria compliance.
Perché Google non sposta i server in EU?
Sembra semplice ma non lo è: nessuna Big Tech americana si può sottrarre alle richieste delle agenzie connazionali di ottenere dati, tra i quali anche quelli dei cittadini europei. Le aziende sono da tempo alla ricerca di soluzioni tecnologiche come la cifratura dei dati che però si sono dimostrate poco efficaci. Su questo tema, ecco un contributo molto interessante che spiega perché il trasferimento non sia una soluzione così semplice.
Il problema di spostare i dati in EU, oltre al punto di vista tecnologico, è che le aziende americane sono soggette alle norme americane indipendentemente da dove sono i server, quindi sono obbligate a fornire i dati alle autorità americane anche se questi sono su territorio europeo. L’unica effettiva soluzione sarebbe quella di avere una azienda separata che non consente l’accesso ai (o il controllo dei) dati alla società madre americana. In tal caso però occorrerebbe analizzare il livello di “controllo “ dei dati ai sensi della normativa Usa, in quanto gli Usa sono un paese di common law (basato su precedenti giudiziari) e quindi su casistiche ex post. In sostanza un giudice potrebbe ritenere comunque sussistente il “controllo” da parte della casa madre rispetto alla filiale europea e quindi obbligare l’azienda a dare l’accesso ai dati alle agenzie americane.
Bonus Track
E se tutto questo fosse solo l’inizio? https://www.wired.com/story/google-analytics-europe-austria-privacy-shield/
Fonti dell’articolo:
https://www.valigiablu.it/google-analytics-illegale-europa/
https://cunderwood.dev/2022/01/16/is-google-analytics-illegal/?ck_subscriber_id=1186375350
Q&A sul caso: https://noyb.eu/sites/default/files/2021-05/2021-04-09_Response_to_Austrian_DPA_-_NOYB_Complaints_b.pdf
Questo articolo è stato scritto da Edoardo Bulgarelli, Digital Analytics Team Leader.
