L’Autorità Garante austriaca è stata una delle ultime a sollevare la questione con il provvedimento del 22 dicembre 2021: i dati appartenenti agli utenti e che sono trasferiti dai gestori europei dei siti web verso Google LLC (che si qualifica dunque ai fini del GDPR come responsabile del trattamento) sono tutelati dalle stesse garanzie previste dal GDPR? Oppure affrontano rischi maggiori in termini di sicurezza?
L’Autorità austriaca, con una pronuncia risalente a dicembre 2021, ha dichiarato che Google Analytics non garantisce il livello di tutela dei dati personali degli utenti stabilito dal GDPR. Ma quali sono le origini della questione nei rapporti tra UE e USA? Quali potranno essere le conseguenze della pronuncia proveniente dall’Austria per utenti e aziende? Esistono già alternative “pronte all’uso”?
NOYB (None Of Your Business) è l’organizzazione no-profit co-fondata da Max Schrems, un nome noto nella questione riguardante il trasferimento dei dati di utenti europei verso gli USA. È stata infatti proprio la causa intentata da Maximilian Schrems contro Facebook Ireland che ha condotto, il 16 luglio 2020, alla nota sentenza “Schrems II”. In quell’occasione la Corte di Giustizia dell’Unione Europea si era pronunciata invalidando una precedente decisione della Commissione Europea “sull’adeguatezza della protezione offerta dal regime dello scudo UE-USA per la privacy”.
La Corte ha dichiarato che:
“ai sensi del regolamento generale sulla protezione dei dati il trasferimento dei suddetti dati verso un Paese terzo può avvenire, in linea di principio, solo se il Paese terzo considerato garantisce a tali dati un adeguato livello di protezione”.
La normativa statunitense non garantisce questo livello di protezione. Negli Stati Uniti, infatti, i “fornitori di servizi di comunicazione elettronica” (tra cui senz’altro sono compresi sia Facebook sia Google) sono soggetti alla sorveglianza delle agenzie di intelligence statali. Questo implica che per motivi di sorveglianza e sicurezza, i dati degli utenti possono essere consegnati indiscriminatamente alle autorità statunitensi.
A questo punto si arriva alla questione riguardante nello specifico Google Analytics. Nell’agosto 2020, NOYB ha presentato 101 reclami nei confronti di diverse organizzazioni europee che continuano a trasferire i dati degli utenti a Google e Facebook negli Stati Uniti.
Una delle prime risposte a questi reclami è arrivata dall’Austria. Il Garante privacy austriaco (DSB – Datenschutzbehörde) ha emanato, infatti, un provvedimento nei confronti del gestore di un sito web che esportava i propri dati verso Google LLC negli Stati Uniti, usufruendo del servizio di analytics di casa Google. Il provvedimento si rivolge, al momento, solo all’esportatore dei dati, quindi al gestore europeo del sito e non a Google (importatore dei dati) e stabilisce che i dati trasferiti a Google LLC sono, a tutti gli effetti, dati personali ai sensi dell’art. 4.1 GDPR e le “clausole contrattuali standard firmate dalle parti non offrono un livello di protezione adeguato”.
È evidente che nonostante la mancata pronuncia esplicita nei confronti dell’azienda americana le conseguenze di una simile decisione si riflettono necessariamente su quest’ultima, dal momento che, di fatto, il provvedimento preclude l’utilizzo del servizio di Analytics da parte di tutti i gestori di siti web in Austria. Google non ha accettato la decisione e ha pubblicato un articolo per difendere il proprio operato, perché sostiene di compiere legittimamente il trasferimento dei dati. Persino il DSB, nei documenti che accompagnano la sentenza, riconosce tutti gli sforzi prodotti per minimizzare il trattamento dei dati.
La “colpa” in questo caso specifico non è dell’azienda di Mountain View, quanto più dell’asimmetria normativa di EU e USA: i Garanti privacy non possono far altro che registrare l’inadeguatezza della legislazione americana. L’Autorità, infatti, non può ignorare il pronunciamento della Corte di Giustizia europeo: ironicamente, anche l’EDPS, l’European Data Protection Supervisor, ha sanzionato nei giorni scorsi il Parlamento europeo e gli organi correlati per violazione del GDPR a causa dell’uso degli strumenti di Google.
Il problema a quanto pare è più generale e investe anche altri “strumenti” del mondo Alphabet. A inizio gennaio 2022 è stato, infatti, multato in Germania il gestore di un sito web per aver utilizzato Google Fonts: in quel modo consentiva il trasferimento non autorizzato di dati di navigazione quali IP, browser, sistema (tra gli altri). Anche in questo caso, il gestore del sito web può risolvere il problema utilizzando soluzioni che eliminino la necessità per il browser dell’utente di lanciare connessioni verso server di terze parti, e diffondendo così informazioni personali.
Questa recente sentenza, però, rende ancora più chiari gli effetti prodotti dal pronunciamento Schrems II: se fino a poco tempo fa i cittadini europei potevano ignorare l’argomento e le aziende potevano evitarlo, ora a ogni livello è impossibile fingere che il tema non esista. Risulta sempre più evidente che la questione sia prettamente politica: l’Unione Europea e gli Stati Uniti già da tempo stanno negoziando un nuovo accordo sul trasferimento dei dati. Il trattato però deve essere pronto al più presto e, soprattutto, efficace nella sua applicazione.
Ma quali strade potrebbero essere percorse per trovare soluzioni alla questione? Per venire incontro alle necessità europee, il legislatore statunitense potrebbe stabilire maggiori tutele per i dati personali dei cittadini europei. In attesa delle decisioni politiche che cosa possono fare gli utenti e in particolare le aziende? Un primo passo, che molti stanno valutanto, se non attuando è utilizzare servizi equivalenti ad Analytics e allo stesso tempo rispettosi della normativa europea in tema di privacy.
Matomo, precedentemente conosciuto con il nome di Piwik, è un software libero che fornisce un servizio concorrenziale rispetto allo stesso Google Analytics. Con Matomo i gestori di siti web possono ottenere report dettagliati e in tempo reale sui visitatori di un sito web con riguardo ai motori di ricerca di provenienza, alle parole chiave usate, alla lingua, alle pagine più visitate.
Le funzionalità del software sono estendibili con l’installazione di plugin con cui è possibile aggiungere nuove funzionalità e rimuovere quelle non necessarie, in modo da migliorare ulteriormente la compliance con le specifiche normative sulla privacy. Matomo viene installato sul server del gestore/owner del sito web, ciò significa che i dati sul traffico sono memorizzati nel proprio database. L’interfaccia utente, inoltre, è completamente personalizzabile: trascinando e rilasciando i widget che si desidera visualizzare, è possibile creare una visualizzazione “su misura”.
La pronuncia del Garante Austriaco ha di fatto segnato una strada per tutte le autorità europee statali competenti. Ogni singolo Stato dell’Unione Europea, infatti, potrebbe adottare e imporre le medesime restrizioni dell’Austria sui dati appartenenti a utenti europei in caso di trasferimento di questi dati in Paesi come gli USA che non garantiscono un livello di protezione pari o maggiore rispetto a quello imposto dal GDPR. Se il nuovo accordo producesse un ulteriore fallimento i danni, in termini economici, potrebbero essere molto elevati. Per fare solo un esempio: tutti i gestori europei di siti web non potrebbero più usufruire di un servizio come Analytics e più in generale di tutti i servizi offerti da Google che interessino il trattamento di dati di utenti europei. Un cambiamento risulta, dunque, inevitabile soprattutto nell’ottica di garantire una tutela più concreta e garantita per tutti gli utenti.
La compliance Privacy e il rispetto delle normative europee è al centro del modo di operare di Synesthesia. Per questo motivo collaboriamo con Smart Flow, società torinese che offre a grandi aziende, PMI, Pubblica Amministrazione e professionisti le competenze organizzative, tecniche e legali per indirizzare e mantenere la compliance al GDPR.
Per conoscere le nostre soluzioni, scrivici. Saremo contenti di trovare insieme la risposta migliore alle tue esigenze.
Lo realizzeremo con amore e passione. Il nostro team è a tua disposizione.