L'autorità finlandese per la protezione dei dati (Data Protection Ombudsman) si è pronunciata contro l'uso di Google Analytics da parte di quattro biblioteche dell'area metropolitana di Helsinki. Forse ne avete già sentito parlare, perché anche le autorità di Austria, Francia, Italia e Danimarca hanno ritenuto che l'uso di Google Analytics non sia compatibile con il GDPR. (Aggiornamento: l 'autorità norvegese ha seguito, anche se la sua decisione è ancora preliminare).
Potete leggere il comunicato stampa qui.
Discuteremo prima il caso in breve e poi daremo uno sguardo al quadro generale dietro la decisione. Immergiamoci!
I Moomins in fuga. Finitura in stile fumetto di Tove Jansson
La decisione
L'autorità ha riscontrato diverse violazioni in materia di consenso e trasparenza, ma le metteremo da parte e ci concentreremo sul trasferimento dei dati personali.
L'autorità non ha detto nulla di nuovo a questo proposito. Ha chiarito che gli Stati Uniti non sono una destinazione sicura per i trasferimenti di dati, in linea con la sentenza Schrems II della Corte di giustizia dell'UE. Ha inoltre rilevato che le biblioteche non hanno implementato sufficienti garanzie per i trasferimenti di dati richiesti da Google Analytics, il che costituisce una violazione delle norme del GDPR in materia di trasferimenti di dati. Questo è esattamente ciò che hanno affermato altre autorità europee in casi simili e creerà un precedente contro Google Analytics in un altro Stato membro dell'UE.
Per essere chiari, questa decisione riguarda tecnicamente uno specifico responsabile del trattamento dei dati (le biblioteche), ma ha implicazioni generali per la Finlandia. In teoria, un altro responsabile del trattamento potrebbe implementare migliori garanzie e utilizzare Google Analytics in modo legale. Ma la parola chiave è teoria, perché in pratica ciò è semplicemente impossibile.
I responsabili del trattamento dei dati accettano tutti gli stessi termini standardizzati da Google, comprese le stesse clausole di protezione dei dati. Non hanno spazio per negoziare condizioni diverse. E non possono implementare da soli sufficienti garanzie tecniche, perché non esistono per Google Analytics.
La crittografia end-to-end non funziona perché Google Analytics deve elaborare gli ID dei cookie in chiaro. La crittografia non end-to-end è insufficiente perché il governo statunitense può richiedere a Google di fornire la chiave di decodifica. L'implementazione sul lato server di Google Analytics potrebbe funzionare in teoria, ma è onerosa e comprometterebbe gravemente le prestazioni dello strumento.
In breve: se l'autorità finlandese mantiene la sua posizione, Google Analytics è praticamente vietato in Finlandia.
Il quadro generale
Schrems I e II
Google Analytics è già stato praticamente vietato nei Paesi dell'UE. Ma la storia dei trasferimenti di dati è ancora più lunga e un piccolo riassunto può chiarire i retroscena della decisione finlandese.
Tutto è iniziato nel 2012, quando i file di Snowden hanno rivelato l'esistenza di programmi di sorveglianza estesi e indiscriminati su dati stranieri negli Stati Uniti. Un anno dopo, il cittadino austriaco Max Schrems (oggi noto attivista per la privacy) ha presentato una denuncia contro Facebook Irlanda. Egli sosteneva che il trasferimento dei suoi dati personali alla società madre statunitense Facebook li esponeva alla sorveglianza degli Stati Uniti ed era quindi illegale ai sensi della legge sulla protezione dei dati dell'UE. Questo è stato l'inizio di una lunga battaglia legale: il caso è stato deferito due volte alla Corte di giustizia dell'UE, portando all'invalidazione di due accordi di trasferimento di dati tra l'UE e gli USA nelle storiche sentenze Schrems I e II.
La sentenzaSchrems II è stata emessa nel 2020 e ha avuto un impatto enorme sui trasferimenti di dati per due motivi. In primo luogo, la Corte ha invalidato il quadro dello Scudo per la privacy, che in precedenza consentiva di trasferire facilmente i dati dall'UE agli Stati Uniti. In secondo luogo, la Corte ha esaminato le clausole contrattuali standard, un meccanismo di conformità comune per le aziende che desiderano trasferire dati.
È necessario spendere qualche parola sulle clausole contrattuali standard (SCC). Le SCC sono una serie di clausole standardizzate redatte dalla Commissione e destinate a essere incorporate in un accordo vincolante con un destinatario. In altre parole, se si desidera trasferire dati al di fuori dell'UE, è possibile implementare le SCC in un contratto e le clausole indicheranno alla controparte cosa può o non può fare con i dati. Questo è un modo per garantire che i dati personali siano trasferiti in modo sicuro e confidenziale al di fuori dell'Unione. Ma c'è un problema: queste clausole vincolano solo le parti del contratto e non fanno nulla per impedire la sorveglianza dello Stato.
Con Schrems II la Corte non ha invalidato le SCC come meccanismo di trasferimento dei dati, ma ha stabilito che devono essere integrate da ulteriori garanzie, quando necessario, come nel caso degli Stati Uniti. Non si può quindi fare un semplice copia-incolla, far firmare il contratto e chiudere la faccenda. Dovete assicurarvi che le SCC funzionino effettivamente per il vostro trasferimento di dati e, se non funzionano, dovete compensare la mancanza di protezione in qualche altro modo. Il problema è che questo è difficile e talvolta impossibile da fare quando si ha a che fare con la sorveglianza di Stato.
I 101 reclami
Subito dopo la sentenza Schrems II, l'ONG per la privacy noyb (presieduta da Schrems) ha presentato una serie di 101 reclami strategici contro Google Analytics e Facebook Connect, nel tentativo di spingere le autorità europee a una rigorosa applicazione della sentenza Schrems II.
Leautorità hanno coordinato il loro approccio alle denunce a livello europeo. Di conseguenza, le autorità di vigilanza sulla privacy austriaca, francese** e** italiana si sono pronunciate contro Google Analytics quando hanno deciso i reclami di noyb, e l'autorità danese ha assunto una posizione simile in un comunicato stampa. Le decisioni sono tutte uguali e quella finlandese non è diversa. Tutte queste autorità dicono esattamente la stessa cosa: Google Analytics non è in grado di garantire la sicurezza dei dati personali.
Con il coordinamento a livello europeo, e con le influenti autorità francesi e italiane a fare da apripista, è probabile che altre autorità seguiranno.
E adesso?
Il problema dei trasferimenti di dati è più ampio del solo Google Analytics: l'applicazione rigorosa della logica di Schrems II renderà difficile o impossibile affidarsi a molti fornitori di servizi statunitensi. Per questo motivo l'UE e gli USA stanno cercando di trovare una soluzione politica.
L'Unione europea e gli Stati Uniti hanno negoziato un nuovo accordo sul trasferimento dei dati denominato Trans Atlantic Privacy Framework. Il Presidente degli Stati Uniti Joe Biden ha firmato un ordine esecutivo per rendere possibile il quadro. La Commissione europea ha redatto una decisione di adeguatezza, un atto che facilita il trasferimento dei dati. Gli Stati membri devono ancora approvare la bozza di decisione prima che entri in vigore.
Quindi è tutto a posto? Non proprio: l'imminente decisione sarà sicuramente impugnata davanti alla Corte di giustizia dell'UE.
Ai sensi del GDPR, la Commissione europea non può emettere una decisione di adeguatezza per un Paese solo perché le piace. La decisione è una valutazione dell'ordinamento giuridico di uno Stato e deve soddisfare determinati criteri. La Corte ha già invalidato due accordi di trasferimento dati in passato per questo motivo (sentenze Schrems I e II). Si prospetta quindi una sentenza Schrems III, ed è difficile dire come si svolgerà.
Il nuovo quadro normativo è piuttosto complesso. È un passo avanti rispetto al passato, ma è potenzialmente problematico sotto alcuni aspetti e potrebbe non sopravvivere all'esame legale della Corte. Per il momento, il futuro dei trasferimenti di dati rimane incerto.
Conclusioni
Dopo questa lunga deviazione, possiamo fare alcune considerazioni finali sul caso. In primo luogo, la decisione dell'autorità finlandese non ha nulla a che vedere con i 101 reclami. Quindi i reclami stanno influenzando il modo in cui vengono gestiti altri casi di trasferimento di dati, che è esattamente ciò che la Noyb intendeva ottenere con i suoi reclami. In secondo luogo, la decisione arriva ben dopo che il Presidente degli Stati Uniti Joe Biden ha emanato il suo ordine esecutivo. Ciò suggerisce che l'applicazione di Schrems II non sarà messa in pausa dai negoziati politici sulla decisione di adeguatezza.
Posso immaginare che vi stiate stancando di dare un senso a questi cambiamenti legislativi, ma dal punto di vista della privacy sono necessari. Se volete evitare tutto questo, le opzioni di analisi rispettose della privacy vi forniscono comunque le informazioni necessarie sulle prestazioni del vostro sito web. Simple Analytics è una di queste. Crediamo che Internet debba essere un luogo indipendente e accogliente per i visitatori dei siti web. Se questo concetto vi convince, provate Simple Analytics. È il modo più semplice per rispettare la privacy dei vostri clienti".