Il trasferimento di dati personali da Google Analytics agli Stati Uniti è stato contestato dall’autorità privacy austriaca

L’autorità privacy austriaca ha ritenuto che il trasferimento di dati personali verso gli Stati Uniti effettuato attraverso Google Analytics viola il GDPR.

In una decisione che sarà significativa per il futuro della privacy in Europe, l’autorità austriaca per la protezione dei dati personali ha preso una posizione chiara contro la conformità del trasferimento di dati verso gli Stati Uniti effettuato attraverso Google Analytics. La decisione segue un reclamo presentato da un individuo rappresentato da NOYB, l’associazione dietro il “famoso” Max Schrems, sia contro il fornitore del sito web (nel suo ruolo di esportatore di dati) che contro Google LLC (nel suo ruolo di importatore di dati), sostenendo che entrambe le parti hanno violato gli articoli 44 e seguenti del GDPR, alla luce della sentenza Schrems II trasferendo i loro dati personali a Google LLC.

Il punto principale del garante austriaco è che Google LLC si qualifica come un “fornitore di servizi di comunicazione elettronica” ai sensi del 50 U.S. Code § 1881(b)(4), il che lo rende soggetto alla sorveglianza dei servizi di intelligence degli Stati Uniti e gli può essere ordinato di rivelare i dati dei cittadini europei a loro.

Ecco le principali conclusioni della decisione del mio collega austriaco di DLA Piper, Stefan Panic,

  • L’autorità austriaca per la protezione dei dati ha ritenuto che c’è il trattamento dei dati personali attraverso Google Analytics a causa della possibilità di individuare l’utente specifico/soggetto dei dati poiché le autorità statunitensi identificherebbero l’utente interessato. L’uso di Anonymize IP è potenzialmente irrilevante, poiché l’indirizzo IP è solo “un pezzo del puzzle” nel determinare l’utente;
  • Le vecchie Clausole Contrattuali Standard sono state considerate garanzie insufficienti, in particolare per i trasferimenti di dati verso gli Stati Uniti, mentre le nuove SCC non sono state affrontate in questo caso, poiché la decisione si riferisce a eventi precedenti alla loro adozione;
  • Le misure supplementari adottate da Google per rendere il trasferimento dei dati conforme al GDPR sono state ritenute insufficienti, in quanto,
    • qualsiasi misura supplementare può essere considerata efficace solo se affronta le carenze specifiche individuate nella valutazione della situazione nel paese terzo, vale a dire le possibilità di accesso e di sorveglianza dei servizi segreti statunitensi;
    • la crittografia non è una misura adeguata se il destinatario possiede la chiave e può essere obbligato a rivelarla insieme ai dati; e
    • le misure contrattuali da sole non sono generalmente in grado di vincolare le autorità del paese terzo, ma devono essere integrate con altre misure. Google ha attuato diverse misure (contrattuali, organizzative e tecniche), ma la DPA austriaca ha ritenuto insufficiente l’intero spettro di esse;
  • La “qualità dei dati” nel senso di valutare un rischio specifico basato su dati specifici non è stata affrontata dall’autorità austriaca per la protezione dei dati. Questo aspetto può essere eventualmente affrontato nel determinare la multa (se c’è), che è separata dalla legge austriaca.

Dato l’uso diffuso di Google Analytics, la decisione ha un impatto sostanziale. Un rappresentante dell’autorità italiana per la protezione dei dati, il Garante, ha già dichiarato che questa decisione dovrebbe essere considerata. Questa circostanza significa che un effetto domino potrebbe verificarsi negli altri Stati membri dell’UE.

Ci sono già siti web che pubblicano una lista di alternative europee a Google Analytics. Ma il passaggio da Analytics ad altre tecnologie europee non è il punto principale. Dopo più di un anno e mezzo dal caso Schrems II, diverse imprese non hanno ancora mappato i loro trasferimenti di dati verso paesi non-SEE e fatto una valutazione dell’impatto del trasferimento.

L’implementazione delle nuove clausole contrattuali standard non è di per sé sufficiente a garantire il trasferimento dei dati. Per questo motivo, con i miei colleghi di DLA Piper, abbiamo sviluppato “Transfer”, uno strumento tecnologico legale e una metodologia che automatizza l’esecuzione delle valutazioni di impatto del trasferimento. Oltre 100 clienti di DLA Piper usano già Transfer, e potete leggerlo in questo articolo.