Continuano i problemi legali per Google Analytics. Il 10 maggio il Tribunale distrettuale di Colonia si è pronunciato contro l'uso di Google Analytics. Due giorni dopo, il Tribunale amministrativo federale austriaco è giunto alla stessa conclusione e ha confermato una decisione contro Google Analytics dell'autorità austriaca per la protezione dei dati.
- La decisione tedesca
- La decisione austriaca
- Il risultato
- Le questioni giuridiche fondamentali
- Garanzie supplementari: un problema generale
- E adesso?
- Conclusioni
Immergiamoci!
La decisione tedesca
La causa è stata intentata dal centro consumatori del Nordrhein-Westphalen contro Deutsche Telekom, il più grande fornitore di telecomunicazioni sul mercato tedesco.
Il sito web di Deutsche Telekom utilizzava Google Analytics e inoltrava le informazioni personali ai server di Google negli Stati Uniti per l'elaborazione. Il centro consumatori ha sostenuto l'ovvio: alla luce della sentenza Schrems II, questo trasferimento di dati non era conforme al GDPR.
Non sorprende che la Corte sia stata d'accordo e abbia ordinato a Deutsche Telekom di interrompere l'invio di informazioni personali agli Stati Uniti per scopi di marketing e analisi web. In pratica, ciò equivale a un ordine di non utilizzo di Google Analytics.
L'azione legale riguardava anche altre questioni relative alla privacy, tra cui il design confuso del banner dei cookie del sito web e la trasmissione di dati personali alle agenzie di credito. Solo i reclami relativi a Google Analytics sono stati accolti.
Date le risorse di Deutsche Telkom e la quantità di dati personali coinvolti, ci aspettiamo che l'azienda ricorra in appello contro la decisione.
La decisione austriaca
La decisione austriaca deriva da uno dei 101 reclami della ONG noyb, di cui abbiamo già parlato in modo approfondito. Si tratta di un ricorso contro una precedente decisione presa dall'autorità austriaca per la privacy (DSB) - di fatto, la prima decisione contro i trasferimenti di dati di Google Analytics da parte di un'autorità europea per la privacy.
Per quanto riguarda i fatti, un individuo rappresentato da noyb ha denunciato che un sito web senza nome ha violato le norme del GDPR sul trasferimento dei dati trasferendo i suoi dati personali negli Stati Uniti attraverso Google Analytics senza sufficienti garanzie. Il reclamo è stato accolto dalla DPA austriaca e la decisione è stata impugnata dal proprietario del sito web.
Il Tribunale amministrativo federale austriaco ha confermato la decisione del DSB e ha respinto le difese del proprietario del sito web, compreso il controverso** approccio basato sul rischio** ai trasferimenti di dati.
Secondo il Gdprhub, il proprietario del sito web intende impugnare nuovamente la decisione davanti alla Corte amministrativa suprema austriaca.
Il risultato
Le due decisioni non aggiungono nulla di nuovo dal punto di vista legale, ma dimostrano che l'applicazione di Schrems II non è limitata alle autorità per la privacy: anche i tribunali stanno intervenendo.
Qualcosa di simile è già accaduto qualche tempo fa, quando un tribunale amministrativo tedesco si è pronunciato contro l'uso di Google Analytics. La decisione è stata però motivata in modo approssimativo ed è stata annullata in appello.
Queste due sentenze sono diverse. Hanno una motivazione chiara e ben motivata e, a nostro avviso, hanno buone possibilità di essere confermate se impugnate.
E naturalmente la decisione austriaca, essendo un appello, suggerisce che l'approccio del DSB alla questione dei trasferimenti di dati è solido. D'altra parte, questo era già evidente. Le autorità italiane, francesi, finlandesi e norvegesi hanno adottato decisioni praticamente identiche, e l'autorità irlandese e il Comitato europeo per la protezione dei dati hanno utilizzato gli stessi criteri nel valutare i trasferimenti di dati di Meta.
Le questioni giuridiche fondamentali
Le decisioni non sono affatto nuove e si limitano ad applicare i criteri già stabiliti nella famosa sentenza Schrems II della Corte di giustizia dell'UE. I trasferimenti di dati sono una lunga storia che abbiamo già trattato in dettaglio, quindi in questa sede saremo brevi.
IlGDPR richiede che i trasferimenti di dati extra-UE siano sicuri. Tuttavia, i dati europei (così come tutti i dati stranieri) trasferiti negli Stati Uniti sono soggetti a un'ampia sorveglianza da parte dello Stato, come dimostrano i file riservati trapelati da Edward Snowden. Questo sistema di sorveglianza rende difficile per le organizzazioni europee trasferire dati negli Stati Uniti in modo lecito e sicuro.
In entrambi i casi in questione, il trasferimento dei dati è avvenuto tra Google Ireland e la società madre Google LLC, con sede negli Stati Uniti. Per rendere questo trasferimento di dati sicuro e legale, Google ha utilizzato una salvaguardia specifica chiamata clausole contrattuali standard (SCC).
Le SCC sono un meccanismo di trasferimento dei dati istituito dal GDPR. In poche parole, sono clausole che indicano alle aziende cosa possono o non possono fare con i dati personali che ricevono. Le SCC sono inserite in un contratto e sono vincolanti per l'azienda che riceve i dati. Grazie alla loro natura vincolante, le SCC possono sopperire alla mancanza di una legislazione sulla privacy per il settore privato.
Tuttavia, la sentenza Schrems II ha evidenziato un problema fondamentale delle SCC: esse non sono vincolanti per gli Stati Uniti o per qualsiasi altro Stato estero. Da sole, le SCC non possono proteggere i dati personali dalla sorveglianza dello Stato.
Per questo motivo, la sentenza Schrems II richiede alle organizzazioni di adottare misure supplementari quando trasferiscono i dati negli Stati Uniti e in altri Paesi con un'ampia sorveglianza elettronica. Ma questo è difficile per molti servizi e del tutto impossibile per Google Analytics, perché Google LLC ha bisogno di accedere e analizzare i dati in chiaro per fornire il servizio.
Questa mancanza di misure supplementari è alla base di ogni decisione contro il trasferimento dei dati di Google Analytics. Ogni volta che viene sollevata la questione del trasferimento dei dati, le autorità preposte alla tutela della privacy si attengono alle norme Schrems II ed esaminano le misure supplementari. E le hanno sempre trovate carenti, perché semplicemente non esistono misure in grado di mantenere riservati i trasferimenti di dati per Google Analytics.
Garanzie supplementari: un problema generale
I trasferimenti di dati e le misure supplementari sono problemi di ampia portata. L'implementazione di misure di protezione adeguate è difficile per alcuni servizi e del tutto impossibile per altri.
Questo è il caso anche di Google Analytics. In base alla legislazione statunitense, le agenzie di sorveglianza possono richiedere ai fornitori di comunicazioni statunitensi (tra cui Google) di fornire tutti i dati esteri che controllano.
La crittografia può aiutare, ma non per Google Analytics. Per far funzionare il servizio, Google ha bisogno di accedere ai dati in chiaro per poterli analizzare. Inoltre, in base alla legislazione statunitense, Google può essere obbligata a fornire una chiave di crittografia al governo. Quindi, qualsiasi dato a cui Google può accedere in chiaro, anche il governo può accedervi in chiaro.
Esistono misure supplementari diverse dalla crittografia, ma quando si tratta di Google, nessuna di queste è davvero adatta, come abbiamo spiegato qui.
In poche parole, nessuna soluzione funziona per Google Analytics. Lo abbiamo visto più volte con le decisioni contro Google Analytics. Le sentenze delle autorità austriache, francesi, italiane, norvegesi e finlandesi per la protezione dei dati dicono tutte la stessa cosa: Google Analytics non può trasferire i dati in modo sicuro.
Inoltre, tutte queste decisioni derivano da un approccio coordinato al problema a livello europeo. Lo stesso approccio ha recentemente portato a una decisione storica e a una multa record contro Meta, per gli stessi problemi legali che affliggono Google Analytics.
L'ordine emesso contro Meta è la prova che per alcuni servizi non c'è soluzione per rendere sicuro il trasferimento dei dati finché non cambia la situazione legale. Meta è una delle più grandi e ricche multinazionali del mondo, con accesso a tutte le competenze legali e tecniche possibili. L'azienda aveva 1,2 miliardi di buone ragioni per rendere sicuri i suoi trasferimenti di dati, ma non è riuscita a farlo e ora rischia un blackout di Facebook in tutta l'UE.
Naturalmente, siete liberi di cercare di fare meglio di Meta. Ma a quanti milioni ammonta il vostro budget per la conformità?
E adesso?
A prescindere dall'esito del caso, i tribunali stanno iniziando a recepire la dura posizione sui trasferimenti di dati già adottata dalle autorità di protezione dei dati. Se la tendenza continua, Google Analytics rappresenterà un rischio di conformità sempre maggiore per le aziende.
Il messaggio è molto chiaro: la ricreazione è finita. D'ora in poi l'applicazione delle norme si farà seria.
L'UE sta cercando di risolvere il problema del trasferimento dei dati con l'adozione di un nuovo quadro normativo per il trasferimento dei dati tra l'UE e gli Stati Uniti (il Trans-Atlantic Data Privacy Framework). Ma il quadro non è ancora in vigore e sarà sicuramente impugnato davanti alla Corte di giustizia. È difficile dire come andranno le cose, ma c'è la concreta possibilità che la Corte bocci il nuovo quadro, proprio come ha fatto con i quadri Safe Harbor e Privacy Shield nelle sentenze Schrems I e II.
In conclusione, il futuro dei trasferimenti di dati rimane incerto.
Conclusioni
Tra gli interminabili problemi legali di Google Analytics con i trasferimenti di dati e l'imminente estinzione di Universal Analytics, questo è un buon momento per abbandonare Google Analytics a favore di un altro fornitore. E noi abbiamo quello che fa per voi!
Noi di Simple Analytics crediamo che l'analisi web possa essere sia rispettosa della privacy che etica. Per questo motivo costruiamo il nostro servizio in modo da fornire ai nostri clienti grandi informazioni senza raccogliere alcun dato personale dai loro visitatori! Se vi sembra una buona idea, non esitate a provarci.