Google Analytics non rispetta il GDPR, per l'Austria: l'Europa affila le armi privacy - Cyber Security 360

trasferimento dati estero

Google Analytics non rispetta il GDPR, per l’Austria: l’Europa affila le armi privacy

Per l’autorità austriaca DSB, Google Analytics non rispetterebbe le regole europee sul trasferimento dei dati, ritenendo insufficienti le misure tecniche, organizzative e contrattuali adottate da Google: la vicenda si contestualizza nelle attività conseguenti alla sentenza Schrems II che ha dichiarato illegittimo il Privacy Shield. Per lo stesso motivo, EDPS richiama il Parlamento europeo

14 Gen 2022
Nicoletta Pisanu

Giornalista

L’autorità garante per la protezione dei dati austriaca, DSB, ha dichiarato che l’uso di Google Analytics viola il GDPR, alla luce della sentenza Schrems II del luglio 2020. Si tratta della prima decisione relativa ai “101 US Transfer complaints” che l’associazione Noyb, di cui è presidente onorario Max Schrems, ha presentato per rilevare fronti critici nelle attività di trasferimento dei dati verso gli Stati Uniti. 

Per l’ex Garante privacy italiano e docente universitario Franco Pizzetti, “c’è un irrigidimento più che ragionevole sul far applicare il divieto di trasferimento di dati all’estero. Ovvio che la questione riguarda il non tollerare più un atteggiamento di lassismo nel trasferimento di dati all’estero”.

LEGGI il comunicato di Noyb

Trasferimento dati UE-USA, cosa dice il Garante austriaco

Ricordiamo che la Corte di Giustizia UE aveva stabilito con la sentenza Schrems II che il Privacy Shield, cioè la normativa che fino a quel momento era stata punto di riferimento per regolare il trasferimento dei dati tra UE e USA, non era allineato al GDPR. Questo, in particolare, perché la legge statunitense consente che le Big Tech possano fornire alle autorità i dati personali degli utenti per motivi di sorveglianza e sicurezza. La conseguenza della sentenza, denominata Schrems II dal cognome di Max Schrems, che aveva denunciato il problema, è stata una rivoluzione nella gestione del trasferimento dei dati verso gli USA. 

WHITEPAPER
Come modernizzare l'infrastruttura nell’era dei dati grazie al cloud computing?
Big Data
Business Analytics

Privacy, come sarà il 2022 della protezione dei dati: UE, USA, Cina e India, ecco tutte le novità in arrivo

Tuttavia, nonostante la portata della sentenza, molte grandi realtà hanno continuato di fatto a trasferire dati dall’Unione europea agli Stati Uniti. In un comunicato ufficiale di Noyb, Schrems ha dichiarato che “invece di adattare effettivamente i servizi per essere conformi al GDPR, le aziende statunitensi hanno cercato di aggiungere semplicemente del testo alle loro politiche sulla privacy e ignorare la Corte di giustizia. Molte aziende dell’UE hanno seguito l’esempio invece di passare alle opzioni legali”. 

Per l’autorità DSB, il Garante privacy austriaco, le misure adottate da Google (qui il documento inviato dall’azienda all’autorità) non sono sufficienti. In particolare, l’autorità si riferisce alle misure tecniche, contrattuali e organizzative. 

Al momento non sono previste sanzioni.

Pizzetti: “Zero tolleranza verso il lassismo nel trasferimento dati”

Per Pizzetti si tratta di un “irrigidimento delle autorità motivato da un certo lassismo” sul fronte del trasferimento dei dati all’estero. La soluzione futura a questo problema potrebbe essere che l’UE si doti di piattaforme cloud che offrano servizi come le piattaforme americane. E intanto, si pone l’attenzione anche sulle normative relative alla digital economy in fase di approvazione in UE, come il Digital Services Act e il Data Governance Act: “C’è la convinzione che sotto la presidenza francese tutte le proposte in materia di regolamentazione dei dati siano approvate”.  

Cataleta: “Forte segnale dall’Europa”

Concorda Anna Cataleta, avvocata esperta di privacy, per P4i: “La decisione dell’autorità di controllo austriaca rappresenta un ulteriore forte segnale inviato dall’Europa nei confronti degli Over-the-Top statunitensi. Da ricordare infatti le recenti severe sanzioni comminate dall’autorità francese a Google e Facebook”.

“L’autorità austriaca, dichiarando che Google Analytics non può essere impiegato nel rispetto del Capo V del GDPR, ha evidenziato, ancora una volta, il problema che periodicamente ritorna agli onori della cronaca di settore: la sostanziale incompatibilità tra le norme privacy europee e quelle statunitensi”.

Le conseguenze

“La decisione dell’autorità austriaca potrà generare anche diversi problemi per i gestori di siti web. Infatti, Google Analytics è uno degli strumenti più utilizzati sui siti web di tutta Europa ed un eventuale ban o limitazioni nell’uso dello stesso potrebbero determinare diverse importanti conseguenze a livello di business in innumerevoli organizzazioni, di ogni dimensione e settore”, dice Cataleta.

La risposta di Google

Sul blog ufficiale di Google, The Keyword, il 13 gennaio 2022 è apparso un contenuto relativo alle misure messe in atto da Google Analytics per tutelare la privacy. L’autore riporta che “Google realizza prodotti e funzioni che sono secure by default, private by design“. 

L’azienda, come riportato nell’articolo, fino adesso si è serva delle Clausole contrattuali standard per soddisfare le condizioni richieste dal GDPR e dalla sentenza Schrems II: “Google Analytics gestisce data center in tutto il mondo, compresi gli Stati Uniti, per massimizzare la velocità e l’affidabilità del servizio. Prima che i dati siano trasferiti a qualsiasi server negli Stati Uniti, sono raccolti in server locali, dove gli indirizzi IP degli utenti sono anonimizzati (quando la funzione è abilitata dai clienti).  Il GDPR e la Corte di giustizia europea dicono che i dati possono essere trasferiti al di fuori dell’Unione europea proprio per questo tipo di motivo, a condizione che le condizioni siano soddisfatte. Al fine di soddisfare tali condizioni, applichiamo numerose misure” come servirsi di “accordi di trasferimento dei dati come le Clausole Contrattuali Standard dell’UE, che sono state affermate come un meccanismo valido per il trasferimento dei dati negli Stati Uniti, insieme ad ulteriori salvaguardie che mantengono i dati al sicuro: crittografia dei dati, sicurezza fisica nei nostri data center e politiche solide per la gestione delle richieste governative di informazioni sugli utenti”.

WHITEPAPER
Perché impostare una strategia di manutenzione dei server?
Datacenter
Sicurezza
@RIPRODUZIONE RISERVATA

Articolo 1 di 5