È stato pubblicato da EDPB il report finale sul trasferimento dati elaborato dalla Task Force 101, costituita, ai sensi dell’art. 70 par. 1 lett. u) GDPR al fine di approfondire i 101 reclami presentati nell’agosto 2020 dall’associazione NOYB (capitanata da Max Schrems, attivista per la privacy).
I reclami presentati da NOYB in tutti e 30 gli Stati Membri lamentavano, infatti, l’improprio utilizzo degli strumenti “Google Analytics” e “Facebook Business Tools”: più nello specifico, NOYB osservava come l’utilizzo sistematico sul territorio europeo di questi strumenti rappresentasse una violazione dei principi di salvaguardia dei dati personali, non sussistendo, ad oggi, uno strumento sostitutivo del Privacy Shield né essendo stata individuata per il trasferimento oltreoceano dei dati personali una idonea base giuridica.
Sebbene le risultanze del report non costituiscano elementi vincolanti per le Autorità, appare comunque utile, a fini interpretativi, svolgere una disamina – senza pretesa di esaustività – dei punti principali affrontati dalla Task Force 101, nell’ottica di meglio comprendere in che modo le aziende che operano sul territorio nazionale potranno o meno far uso di strumenti come i Google Analytics.
Come affermato da EDPB, infatti, le posizioni presentate nel documento derivano comunque da un’attività di coordinamento delle Autorità che hanno partecipato alla task force, e pertanto, pur facendo salvi i poteri interpretativi delle singole autorità garanti e della stessa EDPB, “riflettono il denominatore comune concordato dalle Autorità di controllo nella loro interpretazione delle disposizioni applicabili del GDPR”.
Indice degli argomenti
Il contesto di riferimento
Come anticipato in premessa, il report in esame segue alla presentazione, il 17 agosto 2020, di un totale di 101 reclami da parte dell’associazione NOYB riguardanti aziende collocate in tutti e 30 gli Stati Membri dell’UE, oltre a Google e Facebook.
I reclami di NOYB si fondavano sull’analisi del codice sorgente HTML delle pagine web delle aziende coinvolte, dalla quale poteva evincersi come molte di esse utilizzassero ancora strumenti come Google Analytics o Facebook Connect a seguito della sentenza Schrems II della Corte di Giustizia dell’Unione Europea “nonostante entrambe le aziende siano chiaramente soggette alle leggi di sorveglianza statunitensi, come la FISA 702”.
NOYB lamentava, inoltre, che “Né Facebook né Google sembrano avere una base giuridica per il trasferimento dei dati. Google sostiene ancora di fare affidamento sul “Privacy Shield” un mese dopo la sua invalidazione, mentre Facebook continua ad utilizzare gli “SCC”, nonostante la Corte abbia constatato che le leggi di sorveglianza statunitensi violano l’essenza dei diritti fondamentali dell’UE”.
Da un lato, dunque, si censurava il comportamento delle aziende europee, che continuavano a fare affidamento su strumenti non in linea coi principi della normativa europea; dall’altro, si presentavano negli USA delle denunce nei confronti di Google e Facebook per aver continuato ad accettare i trasferimenti di dati da parte di dette aziende, anche se in violazione del GDPR.
Max Schrems, presidente onorario di NOYB, dichiarava a tal riguardo che: “Abbiamo fatto una rapida ricerca sui principali siti web di ogni Stato membro dell’UE per trovare i codici di Facebook e Google. Questi frammenti di codice trasmettono i dati di ogni visitatore a Google o Facebook. Entrambe le società ammettono di trasferire i dati degli europei negli Stati Uniti per l’elaborazione, dove queste società hanno l’obbligo legale di mettere tali dati a disposizione delle agenzie statunitensi come la NSA. Né Google Analytics né Facebook Connect sono essenziali per la gestione di queste pagine web e sono servizi che avrebbero già potuto essere sostituiti o almeno disattivati”.
Anche i riferimenti alle clausole contrattuali standard apparivano a Schrems assolutamente inadeguati: “La Corte ha affermato esplicitamente che non si possono utilizzare le SCC quando il destinatario negli Stati Uniti rientra nel campo di applicazione di queste leggi di sorveglianza di massa. Sembra che le aziende statunitensi stiano ancora cercando di convincere i loro clienti dell’UE del contrario. Questo è più che losco. Secondo gli SCC, l’importatore di dati USA dovrebbe invece informare il mittente dei dati UE di queste leggi e avvertirlo. Se ciò non viene fatto, queste società statunitensi sono in realtà responsabili di qualsiasi danno finanziario causato”.
L’azione di EDPB
A fronte dei reclami presentati da NOYB, l’EDPB costituiva, nel settembre 2020, una apposita task force, costituita da membri delle autorità di controllo coinvolte, che avrebbe avuto il compito di analizzare il trattamento dati svolto da questi strumenti, e di valutarne la conformità ai requisiti del GDPR, al fine di promuovere un approccio coerente nella gestione dei numerosi reclami presentati da NOYB.
La relazione, dunque, espone le posizioni comuni dei membri della task force e contiene informazioni sugli esiti dei primi casi interessati. “Tra gli altri”, riporta EDPB nel proprio comunicato stampa, “diverse autorità di protezione dei dati hanno ordinato agli operatori di siti Web di conformarsi ai requisiti del capo V del GDPR e, se necessario, di interrompere il trasferimento in questione”.
Trasferimenti di dati personali e basi giuridiche
In primo luogo, la task force ha osservato come sussista in capo al titolare un obbligo generale, prima ancora di valutare la liceità dei trasferimenti di dati personali compiuti ai sensi del capo V del GDPR, di assicurarsi che sia garantito il rispetto, nel trattamento dati preso in esame, di tutte le altre disposizioni del regolamento, con particolare riferimento al principio di individuazione di una base giuridica.
NOYB, infatti, lamentava anche l’assenza di una idonea base giuridica che potesse giustificare la raccolta (prima ancora dell’invio oltreoceano) dei dati personali degli utenti dei siti web.
La task force, tuttavia, non scende nel merito di detta specifica contestazione, limitandosi a ribadire in modo piuttosto generico che “se un determinato strumento viene utilizzato per la raccolta di dati personali su un sito Web senza una base giuridica ai sensi dell’articolo 6, paragrafo 1, del GDPR, il trattamento dei dati è illegale, anche se non si sono verificati problemi con i requisiti del capitolo V GDPR”.
Sarà dunque compito delle autorità garanti nazionali scendere nel merito di dette contestazioni, limitandosi l’analisi della task force alle sole questioni inerenti al trasferimento in USA dei dati personali a seguito della dichiarazione di invalidità della decisione di adeguatezza denominata “Privacy Shield”.
A tal riguardo, i membri della task force convengono, preliminarmente, come non possa esserci conformità al capo V del GDPR in tutti i casi in cui il trasferimento sia fondato su detta decisione di adeguatezza, a seguito dell’emanazione della sentenza Schrems II.
Neppure può essere ritenuto conforme un trasferimento dati che si fondi sull’applicazione, in modo retroattivo, di clausole contrattuali standard adottate ai sensi dell’art. 46 GDPR: “laddove siano state stipulate clausole standard di protezione dei dati e misure supplementari attuate come garanzie adeguate”, ricordano i membri della task force, “tali misure devono affrontare le carenze specifiche individuate dalla Corte di giustizia nella sua sentenza del 16 luglio 2020 nella valutazione della situazione nel terzo paese al fine di garantire che questa legislazione non interferisca con le garanzie fornite”.
E’ interessante osservare come la task force abbia parimenti ritenuto insufficiente, a garanzia della liceità dei trasferimenti, fare riferimento all’applicazione della misura di sicurezza della cifratura dei dati: si è convenuto, in particolare, che “la cifratura da parte dell’importatore di dati non fosse una misura adeguata se l’importatore di dati, in quanto fornitore dello strumento, ha l’obbligo legale di fornire le chiavi crittografiche”, come esplicitato nelle linee guida EDPB 01/2020 sulle misure che integrano gli strumenti di trasferimento per garantire il rispetto del livello UE di protezione dei dati personali, al paragrafo 81.
“Inoltre”, si legge nel report, “nei casi in cui un responsabile del trattamento agisca come esportatore di dati per conto del titolare del trattamento (l’operatore del sito web), anche il titolare del trattamento è responsabile e potrebbe essere ritenuto responsabile ai sensi del capo V del GDPR”, dovendo quest’ultimo “anche garantire che il responsabile del trattamento fornisca garanzie sufficienti ai sensi dell’articolo 28 del GDPR”. Ne consegue che anche forme di anonimizzazione dei dati (come, a titolo esemplificativo, l’anonimizzazione dell’indirizzo IP) non possano essere ritenute sufficienti, qualora l’anonimizzazione avvenga solo in seguito al trasferimento dei dati presso il Paese Terzo.
Fornitori di servizi e responsabilità
Nel report elaborato dalla task force, particolare risalto viene dato anche al ruolo dei gestori dei siti web, ove gli stessi siano qualificabili quali titolari del trattamento. In questo caso, la task force ribadisce come i gestori debbano esaminare attentamente se lo strumento di analisi prescelto possa essere utilizzato dalle aziende clienti, nel rispetto dei principi di protezione dei dati e, in particolare, del principio di “accountability” o responsabilizzazione.
“La Corte di giustizia europea (CGE)”, si legge, “interpreta il principio di responsabilizzazione nel senso che richiede a ogni titolare del trattamento dei dati di essere in grado di dimostrare che sono state adottate misure adeguate a salvaguardare il diritto alla protezione dei dati, al fine di prevenire eventuali violazioni delle disposizioni del GDPR”.
Ne consegue che, nel caso in cui tali prove non possano essere fornite, e vi sia un’integrazione di strumenti all’interno del sito web senza che sia stata condotta una preliminare verifica della loro conformità, soprattutto in caso di contitolarità del trattamento, “ciò può comportare una violazione del principio di responsabilizzazione. A seguito di un’analisi caso per caso, in particolare qualora il titolare del trattamento non sia in grado di fornire elementi sufficienti per dimostrare le modalità di esecuzione dei trasferimenti, ciò potrebbe comportare una violazione dell’articolo 5, paragrafo 2, e dell’articolo 24, paragrafo 1, del regolamento generale sulla protezione dei dati, conformemente al principio di responsabilità sancito da tali articoli”.
I membri della task force ricordano, inoltre, “che non solo i gestori di siti web (in qualità di titolari del trattamento), ma anche il rispettivo fornitore di strumenti che trattano dati personali devono garantire il rispetto continuo del GDPR, sia perché il fornitore dello strumento è, almeno per quanto riguarda determinate operazioni di trattamento, considerato responsabile del trattamento, sia, se il fornitore è qualificato come responsabile del trattamento, a causa degli obblighi di assistenza specificati nell’articolo 28 del GDPR”.
La corretta assegnazione dei ruoli
Da ultimo, a sostegno di quanto esposto nelle restanti parti del report, la task force pone la propria attenzione sulla corretta qualificazione dei gestori dei siti web. Questo perchè “poiché la decisione del gestore di un sito web di integrare e utilizzare strumenti di terze parti (come plug-in di social media o strumenti di analisi) comporta regolarmente il trattamento dei dati personali dei visitatori del sito web, ciò potrebbe comportare una responsabilità per il gestore del sito web, anche se la responsabilità può essere limitata a determinate operazioni di trattamento.”
In tale contesto, la task force ha dunque determinato che la decisione del gestore del sito di integrare ed utilizzare strumenti di terze parti (come l’analisi del comportamento dei visitatori di un sito web) sia da considerarsi come “determinante delle “finalità e mezzi” ai sensi dell’articolo 4, paragrafo 7, del GDPR. Fatti salvi i casi in cui l’analisi della SA disponga diversamente, tali gestori di siti web devono quindi essere considerati titolari del trattamento dei dati personali dei visitatori del sito web che avviene nell’ambito dell’uso degli strumenti su tali siti web. Il grado di responsabilità per le operazioni di trattamento, tuttavia, deve essere determinato sulla base di un’analisi caso per caso, tenendo conto delle diverse funzioni e opzioni fornite dal rispettivo strumento”.
Detta analisi dovrà essere condotta in modo approfondito sulla base di fattori oggettivi, inclusi gli elementi di fatto o le circostanze specifiche del caso oggetto di esame, tenendo conto, a tal riguardo, che la conclusione di accordi ex art. 28 GDPR o ex art. 26 GDPR tra gestori del sito web e fornitori non limita in alcun modo la valutazione e la qualifica delle stesse come titolari del trattamento, in quanto si dà prevalenza agli aspetti sostanziali in luogo degli aspetti formali.
L’esito dei reclami
Sulla scorta di quanto sin qui esposto, la task force riporta come “le SA hanno ordinato agli operatori di siti web di conformarsi ai requisiti del capitolo V del GDPR e, se necessario, di interrompere il trasferimento in questione. Parte di queste decisioni sono state adottate nel quadro del meccanismo dello sportello unico, in cooperazione con tutte le autorità di controllo interessate. In alcuni casi, i gestori di siti web hanno smesso di utilizzare gli strumenti in gioco prima di qualsiasi decisione delle autorità di vigilanza, il che, in pratica, ha portato a decisioni senza alcun ordine di sospensione”.
Inoltre, si legge, sebbene non tutti i reclami siano stati decisi, “diverse autorità hanno fornito ulteriori orientamenti e raccomandazioni pratiche per dare seguito alle conseguenze di tali decisioni per quanto riguarda le soluzioni alternative”.
