TRASFERIMENTO DATI ESTERO

Google Analytics non conforme al GDPR: conseguenze e possibili soluzioni

La decisione del Garante privacy austriaco sul trasferimento dati a Google Analytics ha evidenziato ancora una volta un problema che ricorre ormai da diversi anni (a partire dalla sentenza Schrems I del 2015): la sostanziale incompatibilità tra le norme privacy europee e quelle statunitensi. Facciamo il punto

21 Gen 2022
S
Davide Stefanello

Legal Consultant P4I – Partners4Innovation

NOYB (None Of Your Business), l’associazione non profit di cui Max Schrems è co-fondatore, in agosto 2020 ha inviato 101 reclami nei confronti di organizzazioni europee che continuavano a trasferire i dati degli utenti a Google e Facebook negli Stati Uniti, anche a seguito della sentenza Schrems II. A dicembre 2021, il Garante privacy austriaco (DSB – Datenschutzbehörde) ha emanato la prima decisione in merito ad uno dei reclami inviati da NOYB. Destinatario del provvedimento è stato il gestore di un sito web, esportatore dei dati verso Google LLC negli Stati Uniti, per l’esattezza verso il servizio Google Analytics.

Analytics: ecco i chiarimenti privacy di Google, che non convincono del tutto

Il caso Google Analytics: i fatti

Il 14 agosto 2020 un interessato ha individuato la presenza di Google Analytics, strumento impiegato per misurare e monitorare l’utilizzo di un sito web, visitando il sito di un’azienda austriaca. Nel caso in questione, il gestore del sito è titolare del trattamento, mentre Google LLC è responsabile del trattamento. Inoltre, dai documenti privacy emerge che il trasferimento dei dati verso Google LLC (importatore dei dati), con riferimento a Google Analytics, è giustificato dalle clausole contrattuali standard.

WHITEPAPER
Retail: come costruire il buyer journey perfetto grazie ai dati?
Fashion
Retail

Il 18 agosto 2020, l’interessato, rappresentato da NOYB, ha inviato un reclamo al Garante privacy austriaco nei confronti sia del gestore del sito che di Google LLC, adducendo la violazione del Capo V del GDPR, relativo al trasferimento dei dati verso paesi terzi.

Durante il procedimento, della durata di un anno e mezzo circa, le parti hanno precisato che:

  1. i dati trasferiti non si qualificano come dati personali, ai sensi dell’art. 4.1 del GDPR, in quanto non attribuibili all’interessato;
  2. sono state adottate misure aggiuntive adeguate a garanzia del trasferimento;
  3. il rischio che l’interessato sia soggetto alla sorveglianza da parte delle agenzie di intelligence statunitensi è molto basso.

Inoltre, Google ha affermato che il Capo V del GDPR si applica solo all’esportatore dei dati (cioè il gestore del sito web) ma non all’importatore dei dati (Google LLC).

La decisione del Garante privacy austriaco

Nella decisione in esame, il Garante privacy austriaco ha definito inizialmente il destinatario del provvedimento, cioè il gestore del sito web, escludendo quindi il reclamo nei confronti di Google LLC. Il Garante ha dichiarato comunque che condurrà un’indagine d’ufficio e separata rispetto alla decisione in esame, in virtù della violazione da parte di Google LLC degli artt. 5 e seguenti, 28.3 lett. a) e 29 del GDPR.

Con riferimento al reclamo nei confronti del gestore del sito web, il Garante austriaco ha accolto integralmente le osservazioni dell’interessato dichiarando, in primo luogo, che i dati trasferiti a Google LLC sono da considerarsi dati personali, in quanto gli stessi includono gli identificatori dell’utente, l’indirizzo IP e alcuni parametri del browser. Infatti, l’indirizzo IP e gli identificatori online dell’utente si qualificano come dati personali ai sensi dell’art. 4.1 del GDPR, in quanto permettono, con una ragionevole probabilità, di identificare l’interessato (Considerando 26 del GDPR).

Inoltre, il Garante privacy austriaco ha rilevato che le clausole contrattuali standard firmate dalle parti non offrono un livello di protezione adeguato, in quanto Google LLC si qualifica come “fornitore di servizi di comunicazione elettronica”, ai sensi del Titolo 50 del U.S. Code § 1881(b)(4), ed è quindi soggetto alla sorveglianza da parte delle agenzie di intelligence statunitensi (50 U.S. Code § 1881a, anche FISA 702).

Le nuove clausole contrattuali standard della Commissione UE: ecco la privacy post Schrems II

Il Garante austriaco, inoltre, ha ritenuto insufficienti le misure integrative applicate, in quanto le stesse non permettono di impedire alle agenzie di intelligence di accedere ai dati personali dell’interessato.

Con particolare riferimento alle misure integrative, il Garante ha precisato che Google LLC ha cercato di inquadrare le misure tecniche e organizzative di base ai sensi dell’art. 32 del GDPR come “misure aggiuntive”, le quali comunque sono state respinte dal Garante austriaco in quanto irrilevanti in relazione alle leggi degli Stati Uniti in materia di sorveglianza.

L’autorità di controllo austriaca ha quindi rilevato che l’impiego di Google Analytics non è conforme alle regole europee sul trasferimento dei dati verso paesi terzi, in particolare verso gli Stati Uniti, in virtù dell’inadeguatezza delle misure contrattuali e di sicurezza applicate al trasferimento da parte del gestore del sito web e anche da Google LLC.

Non risulta attualmente che sia stata comminata una sanzione al gestore del sito web, per quanto non sia da escludere la possibilità che sia stata comminata, ma non resa pubblica.

Le conseguenze della decisione del Garante austriaco

Google ha pubblicato il 13 gennaio 2022 un comunicato stampa in merito alla privacy dei dati di Google Analytics, indicando un elenco di “fatti” a tutela della privacy degli utenti, che appaiono come una risposta indiretta alla decisione del Garante austriaco, per quanto il comunicato non la citi espressamente.

Google afferma in particolare che il servizio Google Analytics rispetta pienamente la privacy degli utenti, fornendo anche importanti strumenti di gestione dei dati alle organizzazioni e funzioni di controllo dei dati agli utenti finali. Viene precisato, inoltre, che i dati di Google Analytics di un’organizzazione possono essere trasferiti negli Stati Uniti solo quando sono soddisfatte condizioni di privacy specifiche e rigorose (es. clausole contrattuali standard).

Il comunicato di Google risulta essere un tentativo per cercare di attenuare l’impatto che la decisione del Garante austriaco avrà sull’immagine pubblica del servizio Google Analytics, in quanto, la decisione determinerà importanti conseguenze con riferimento all’uso del servizio di Google.

Infatti, si tratta della prima decisione riferibile ai 101 reclami inviati da NOYB, pertanto, si attendono decisioni simili anche da parte di altre autorità di controllo europee. Inoltre, il Garante austriaco avvierà nei confronti di Google LLC un procedimento separato. Si può presumere, quindi, che la linea difensiva di Google ricalcherà i punti indicati nel comunicato.

D’altra parte, Max Schrems è particolarmente lapidario sulle possibili soluzioni al problema del trasferimento dei dati negli Stati Uniti, il quale può essere risolto:

  1. da parte del legislatore statunitense, che dovrà definire maggiori tutele nei confronti dei dati dei cittadini europei per sostenere l’industria tecnologica USA (soluzione preferibile); oppure
  2. da parte dei fornitori di servizi, che potranno valutare l’opportunità di conservare i dati dei cittadini europei al di fuori del Stati Uniti.

Il 19 gennaio 2022 Google ha pubblicato un nuovo comunicato stampa che cita espressamente la decisione del Garante austriaco, evidenziando la mancanza di “stabilità giuridica” in relazione ai flussi di dati internazionali.

In tal senso Google auspica che venga definito un nuovo accordo tra Europa e Stati Uniti, che possa fungere da successore del Privacy Shield (non più valido da luglio 2020 per la sentenza Schrems II). Inoltre, la società ha dichiarato a sua difesa che in più di 15 anni di fornitura di servizi di analisi alle imprese in tutto il mondo non ha mai ricevuto il tipo di richiesta che il Garante austriaco ha ipotizzato, cioè la richiesta di accesso ai dati di utenti europei da parte di agenzie di intelligence statunitensi.

Cosa accadrà adesso?

La decisione del Garante privacy austriaco ha evidenziato ancora una volta un problema che ricorre ormai da diversi anni (a partire dalla sentenza Schrems I di ottobre 2015): la sostanziale incompatibilità tra le norme privacy europee e quelle statunitensi.

Attualmente, infatti, un’agenzia di intelligence americana è libera di chiedere a Google i dati dei cittadini europei, sulla base della normativa FISA 702. Questa asimmetria richiede che venga definita il prima possibile una soluzione, cioè un accordo tra Europa e Stati Uniti, in modo da fornire adeguate garanzie al trasferimento dei dati.

Infatti, ulteriori soluzioni, quali per esempio misure contrattuali e organizzative/tecniche, costituiscono un rimedio temporaneo, in quanto non possono avere un impatto rilevante quanto un accordo tra Europa e Stati Uniti.

Da un punto di vista operativo, al momento non vi è un divieto di utilizzo di Google Analytics, tuttavia, alla luce della decisione del Garante austriaco, è opportuno che le organizzazioni effettuino una valutazione caso per caso in merito allo specifico utilizzo dello strumento di analisi.

Infatti, in vista di ulteriori decisioni da parte di altre autorità di controllo europee (tra cui anche il Garante privacy italiano, in quanto alcuni dei 101 reclami di NOYB si riferiscono a siti web italiani) potrebbe essere opportuno non impiegare temporaneamente Google Analytics, nell’attesa di maggiori tutele per il trasferimento dei dati negli Stati Uniti.

Chiaramente, questa valutazione deve essere effettuata anche sulla base dell’impatto che la dismissione (anche temporanea) di Google Analytics potrebbe avere sul business dell’organizzazione.

WHITEPAPER
Computer quantistico: i player principali e quanto conta nel business
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articolo 1 di 2