L’equivalente austriaco del Garante della Privacy, il Datenschutzbehörde cd. DSB, ha dichiarato illegale l’utilizzo di Google Analytics, perché non conforme alle norme del GDPR sulla Protezione dei Dati Personali.

Questo provvedimento prende le mosse da alcuni precedenti sviluppi sul tema, che posso definirsi il retroterra giuridico e culturale della Decisione del Garante austriaco.

Vediamo le tappe fondamentali che hanno accompagnato un allarme sempre maggiore da parte delle Istituzioni Europee, dovuto – a detta di alcuni – ad un certo lassismo da parte degli interessati e quali sono le tutele mancate a cui il GDPR fa riferimento, venendo nella prassi – alle volte – ignorato.

 

Google Analytics e il Cloud Act 

Il Cloud Act è una legge statunitense che obbliga le Società a fornire l’accesso ai dati personali di cui dispongono, compresi quelli di cittadini terzi, senza richiedere il consenso ai diretti interessati.

Il tutto accompagnato ad un sistema di sorveglianza statale in materia, nella sostanza immune da qualsivoglia limite.

Non è necessario essere esperti del settore per comprendere immediatamente come un atto di questo tenore violi in toto l’europeo GDPR.

 

cloud act privacy analytics

 

Privacy Shield: Google Analytics e GDPR

Il Privacy Shield è, invece, un accordo tra l’Unione Europea e gli Stati Uniti, a previsione di una certa tipologia di garanzie per quanto riguarda i dati sia di cittadini che di imprese europei, trasferiti negli USA.

Il 16 luglio 2020, la Corte di Giustizia – con la Sentenza Schrems II (caso C-311/18) – aveva stabilito l’invalidità di tale intesa, in quanto baluardo non sufficiente ad un’adeguata protezione dei dati personali, sensibilmente aumentata ed approfondita grazie al GDPR.

Inoltre, il sistema statunitense di sorveglianza statale invade quel limite che il Regolamento europeo sulla privacy ha tracciato in maniera netta e decisa, a tutela della dimensione privata dei cittadini.

Secondo la Corte il trasferimento di dati verso un paese terzo è legittimo solamente se quest’ultimo garantisce un adeguato livello di protezione conforme al GDPR ed il loro trattamento rispetta il principio di proporzionalità, requisiti entrambi fallaci nella normativa USA.

Per ulteriori informazioni su Privacy Shield e dati trasferiti negli USA leggi questo articolo.

 

Google Analytics e il trattamento dei dati

Google Analytics è un servizio offerto da Google, utilizzato per programmare e monitorare l’andamento di un sito web in generale, ma anche nello specifico per supportare le attività di digital marketing dei siti stessi: attraverso meccanismi di comparazione statistica, offre ai proprietari dei domini degli studi focalizzati sul pubblico che usufruisce delle loro piattaforme, in modo da garantire un aumento della performance e, quindi, del fatturato.

Per stilare queste statistiche, Google Analytics ricorre all’utilizzo e al trattamento di alcuni dati degli utenti utilizzatori dei siti oggetto dell’analisi.

 

google analytics gdpr

 

Le criticità sull’utilizzo di Google Analytics in tema privacy

Il titolare di un sito web utilizzava Google Analytics per ottenere delle statistiche volte allo studio delle preferenze e delle abitudini dei visitatori del suo sito, un’attività tutt’altro che insolita. Il ricorrente contestava, sia al titolare del sito che a Google stesso, di non poter effettuare le suddette attività, dal momento che il Privacy Shield non è più applicabile nei rapporti EU-USA.

Il Garante austriaco ha valutato positivamente talune azioni portate avanti dal convenuto, ossia l’adozione di specifiche misure tecniche e organizzative adottate nel rispetto nella normativa, oltreché l’anonimizzazione degli indirizzi IP degli utenti.

Tutto ciò però non è bastato a garantire la conformità del trattamento dei dati al GDPR, tanto che, nella sua decisione, il Garante austriaco ha posto in evidenza le seguenti maggiori criticità:

  • insufficienza delle clausole contrattuali standard: sulla scorta di Schrems II, la DSB ha osservato che le clausole contrattuali standard non sono vincolanti per i Paesi terzi, di conseguenza nemmeno per i sistemi e programmi di sorveglianza di governo ed intelligence statunitensi;
  • tutela minima delle clausole di protezione standard: le clausole di protezione standard offrono la sola garanzia contrattuale di conformità alla legislazione europea;
  • insufficienza delle misure ulteriori messe in atto: le misure tecniche e organizzative adottate nel rispetto nella normativa, oltreché l’anonimizzazione degli indirizzi IP degli utenti non sono sufficienti per esonerare i dati raccolti dall’ingerenza dei sistemi e programmi USA;
  • obbligo di fornitura dei dati da parte di Google A.: Google A. rappresenta un fornitore di servizi di comunicazione elettronica ed è di conseguenza obbligato a fornire i dati personali alle autorità statunitensi.

Per tali ragioni l’utilizzo di Google Analytics in territorio europeo è stato dichiarato illegittimo da parte della DSB.

 

Cassazione del Privacy Shield e la vulnerabilità dei dati 

Il Privacy Shield non è stato ancora sostituito da una normativa ad hoc, atta a regolamentare l’utilizzo ed il trattamento dei dati che varcano l’oceano.

Ad oggi le big tech americane interessate al tema hanno modificato le policy di loro competenza ma, a detta di alcuni, tali aggiustamenti non sono sufficienti per arginare il vero problema di compatibilità tra le normative.

D’altro canto, alcune aziende europee che si interfacciano con gli USA pare stiano procrastinando un vero e proprio adeguamento del funzionamento dei loro siti sotto questo preciso aspetto, ma la decisione del Garante austriaco di certo non potrà rimanere troppo a lungo soltanto carta scritta.

Per qualsiasi dubbio inerente all’utilizzo di Google Analytics e sul trattamento dei dati personali contatta il nostro studio legale partner FCLEX a Bologna, chiedendo dell’Avvocato Giuseppe Croari, esperto di diritto dell’informatica e nuove tecnologie, e richiedi una consulenza specializzata e personalizzata.

avvocato giuseppe croari

Redazione Diritto dell’Informatica

Ultimi aggiornamenti

spid cns azienda
La pandemia da Covid-19 è stata un fattore propulsivo di un processo che era già in progressivo e rapido avanzamento: l’avanzamento digitale dei servizi delle Pubbliche Amministrazioni è infatti un obiettivo a lungo perseguito dal legislatore, europeo ed italiano. L’auspicio è quello, fra tutti, di snellire […]
cookie policy generator iubenda privacy
Navigando in rete, è diventata sempre più alta la probabilità di imbattersi in siti web del tutto diversi fra loro – sia perché i gestori dei siti sono diversi, sia perché diversi sono i contenuti all’interno della pagina stessa – ma che hanno una Privacy & […]
e-commerce sanzioni direttiva omnibus
Il già ampio novero di strumenti legislativi previsti a tutela dei diritti dei consumatori (ed imposti agli eCommerce) è stato recentemente arricchito dall’entrata in vigore della Direttiva Omnibus (direttiva (UE) 2019/2161 che modifica la direttiva 93/13/CEE del Consiglio e le direttive 98/6/CE, 2005/29/CE e 2011/83/UE del […]

Iscriviti alla nostra newsletter

i nostri social

Guarda i nostri video e rimani aggiornato con notizie e guide

Lo sapevi che per continuare a fare Smart Working in azienda bisognerà adottare degli accorgimenti entro il 30 giugno?

Le modalità per fare marketing si sono evolute di pari passo alle norme in tema di privacy, questo porta ad un binomio complesso: lead generation e privacy. Come fare contatti rispettando però il GDPR?

Il marchio oggi non rappresenta meramente un simbolo identificativo, ma diviene uno degli elementi fondanti della brand identity di un’impresa. La registrazione è fondamentale per tutela e VALORE del tuo business.