Con provvedimento datato 22 dicembre 2021, e reso poi pubblico il 14 gennaio 2022, l’autorità austriaca per la protezione dei dati (Datenschutzbehörde o DSB) ha dichiarato che Google Analytics viola il Regolamento generale per la protezione dei dati personali 679/2016 (anche noto come GDPR), la principale norma europea in materia di privacy.
La decisione del garante austriaco si è basata su una delle “101 US Transfer complaints”, cento diverse denunce che l'ONG austriaca Noyb, di cui è presidente Max Schrems, ha presentato a seguito della sentenza Schrems II della Corte di giustizia europea.
Nel 2020, con la sentenza Schrems II, la Corte di Giustizia UE aveva stabilito che il Privacy Shield, cioè la normativa che fino a quel momento regolava il trasferimento dei dati tra UE e USA, violasse il GDPR. Questo, in particolare, perché la legge statunitense consente che le Big Tech (tra cui Google e Facebook) possano fornire alle autorità i dati personali degli utenti per motivi di sorveglianza e sicurezza. La sentenza Schrems II, dal cognome dello stesso Max Schrems che aveva denunciato il problema, è stata una rivoluzione nella gestione del trasferimento dei dati verso gli USA.
Nel caso specifico austriaco, analizzando un sito web dedicato alla salute, l’autorità di controllo ha riscontrato che tutti i siti che utilizzano Google Analytics di fatto esportano dati personali dei visitatori come i loro indirizzi IP e i loro identificatori univoci (Unique Identification Number) negli Stati Uniti, quindi al di fuori dello Spazio Economico Europeo (SEE). Le norme contenute nel Capitolo V - in particolare, negli articoli 45 e 46 del GDPR – che regolano il trasferimento di dati personali verso un paese terzo o un'organizzazione internazionale, costituiscono un’obbligazione per i titolari (e per i responsabili) di assicurare un livello di protezione dei dati adeguato alle persone fisiche. Per l’autorità DSB, le misure adottate da Google non sono sufficienti. Come noto, i servizi di intelligence statunitensi utilizzano alcuni identificativi online, come gli indirizzi IP e gli Unique Identification Number, per la raccolta di informazioni e la sorveglianza degli individui. Pertanto, secondo il DSB, non può escludersi che quei servizi di intelligence abbiano già raccolto tali informazioni dei visitatori del sito web in questione.
La risposta di Google non si è fatta attendere.
Google ha pubblicato un proprio comunicato, a firma del Google Analytics Product Management Director Russell Ketchum, mediante il quale rende note le modalità di funzionamento del suo servizio e le garanzie applicate per assicurare che il governo statunitense non possa accedere ai dati personali trattati. L’azienda fino adesso si è servita delle Clausole contrattuali standard per soddisfare le condizioni richieste dal GDPR e dalla sentenza Schrems II, e di ulteriori misure tecniche ed organizzative “che mantengono i dati al sicuro”. Ciononostante, l’autorità austriaca per la protezione dei dati DSB ha rilevato come l’applicazione di queste misure ulteriori è da considerarsi più “formale” che sostanziale, e che non possa essere ritenuta una garanzia sufficiente per assicurare un equivalente livello di protezione dei dati trasferiti verso gli USA. Tali misure, per risultare effettive, dovrebbero riuscire a colmare le lacune giuridiche dell’ordinamento del Paese terzo.
In conclusione, l’autorità austriaca, dichiarando che Google Analytics non può essere impiegato nel rispetto del Capo V del GDPR, ha evidenziato, ancora una volta, la sostanziale incompatibilità tra le norme privacy europee e quelle statunitensi.
E-Business Consulting è società attiva dal 2003 e si è occupata di consulenza privacy per importanti aziende già in sede di implementazione del D.lgs. 196/03. Inoltre, E-Business Consulting da sempre riserva estrema attenzione alla protezione dei dati personali relativi ai propri clienti, fornitori e a tutte le persone con cui può entrare in contatto. Contattaci per un preventivo gratuito!