Google Workspace è illegale in Danimarca?

Image of Iron Brands

Pubblicato il 14 lug 2022 e modificato il 15 ago 2023 da Iron Brands

Mentre l'Italia (Garante), la Francia (CNIL) e l'Austria (DSB) si sono concentrate su Google Analytics, la DPA danese vieta l'uso di Google Workspace, ovvero di tutti i prodotti Google. Per ora il divieto riguarda solo i comuni, dopo che il divieto di trattamento è stato abbandonato per il comune di Helsingør.

Leggete la dichiarazione completa qui (traduzione automatica in inglese)

<blockquote><h2>L'Autorità per la protezione dei dati personali ritira il divieto di trattamento nel caso dei Chromebook</h2>

Pubblicato il 14 luglio 2022 da Allan Frank. Tradotto da deepl.com.

In un caso riguardante l'uso di Chromebook nel comune di Helsingør, l'Autorità danese per la protezione dei dati (DPA) critica severamente e vieta il trasferimento a paesi terzi e l'uso di Google Workspace.

Numero del fascicolo: 2020-431-0061

<h2>Sintesi</h2>

Da tempo l'Autorità per la protezione dei dati si concentra sull'uso dei Chromebook e di Google Workspace (ex G Suite for Education) nei comuni. L'uso è diffuso a livello nazionale, ma in particolare l'Autorità per la protezione dei dati ha un caso pendente nel comune di Helsingør.

Nel settembre 2021, l'Autorità danese per la protezione dei dati ha emesso una decisione che ordinava al comune di Helsingør di effettuare una valutazione del rischio del trattamento dei dati personali da parte del comune nelle scuole primarie utilizzando Chromebook e Workspace. Sulla base della documentazione e della valutazione del rischio per gli interessati preparata dal Comune di Helsingør, l'Autorità per la protezione dei dati ha ora rilevato che il trattamento non è conforme ai requisiti del GDPR su diversi punti.

"Il Comune di Helsingør ha fatto un ottimo e abile lavoro di mappatura dell'uso dei dati personali nelle scuole elementari, ma ha anche messo in evidenza i problemi di protezione dei dati che possono sorgere con il modo in cui le grandi aziende tecnologiche svolgono il loro compito", afferma Allan Frank, specialista di sicurezza informatica e responsabile legale dell'Autorità danese per la protezione dei dati.

L'Agenzia per la protezione dei dati ritiene che il Comune non abbia valutato alcun rischio concreto in relazione al progetto del responsabile dei dati. Inoltre, l'accordo con l'incaricato del trattamento dei dati afferma che i dati possono essere trasferiti a Paesi terzi in situazioni di supporto senza il livello di sicurezza richiesto".

Alla luce della decisione del settembre 2021, l'Autorità per la protezione dei dati ha emesso una decisione. Tra le altre cose, essa contiene:

<ul><li>Sospensione dell'esecuzione da parte del Comune di Helsingør di operazioni di trattamento in cui i dati vengono trasferiti a Paesi terzi senza il livello di protezione richiesto.</li><li>Un divieto generale di trattamento con Google Workspace fino a quando non sarà stata realizzata un'adeguata documentazione e una valutazione d'impatto e fino a quando le operazioni di trattamento non saranno state rese conformi al regolamento.</li><li>Gravi critiche al trattamento dei dati personali da parte del comune</li></ul>

Il GEPD richiama l'attenzione sul fatto che molte delle conclusioni di questa decisione si applicheranno probabilmente ad altri comuni che utilizzano lo stesso progetto di trattamento. Il GEPD si aspetta pertanto che tali comuni adottino essi stessi misure adeguate alla luce della decisione, anche se il GEPD sta attualmente portando a termine una serie di casi riguardanti altri comuni.

<h2>Decisione</h2>

L'Autorità danese per la protezione dei dati ritorna sul caso in cui il comune di Helsingør ha segnalato una violazione dei dati personali all'Autorità danese per la protezione dei dati il 29 gennaio 2020. La notifica ha il seguente numero di riferimento:

<em>ce0e5422ddfb3fefaa9f621cfa0f129127058500</em>

Il 10 settembre 2021, il Garante per la protezione dei dati ha emesso una decisione sulla violazione dei dati personali. In particolare, il Garante della protezione dei dati ha riscontrato motivi per criticare seriamente il fatto che il trattamento dei dati personali da parte del Comune di Helsingør con l'utilizzo dei Chromebook di Google non sia stato effettuato in conformità all'articolo 5, paragrafo 2, del regolamento sulla protezione dei dati, cfr. articolo 5, paragrafo 1, lettere c) e f), e all'articolo 5, paragrafo 1, lettera a), cfr. articolo 6, paragrafo 1, nonché all'articolo 32, paragrafo 1, all'articolo 33, paragrafo 1, e all'articolo 35, paragrafo 1. Il Garante della protezione dei dati ha inoltre ritenuto che vi fosse una violazione dei dati personali.

Inoltre, il GEPD ha ritenuto che vi fossero motivi per emettere un'ingiunzione al Comune di Helsingør affinché il trattamento dei dati personali effettuato con i Chromebook di Google sia conforme al GDPR. A tal fine, il Comune di Helsingør dovrebbe effettuare una valutazione del rischio dell'attività di trattamento, che rifletta i flussi di dati personali che il trattamento comporta. La valutazione dei rischi deve riguardare in parte le opzioni necessarie per la configurazione del prodotto e affrontare le questioni relative all'ambito di applicazione della legge sulle scuole pubbliche per l'uso dei Chromebook che il comune richiede agli alunni. Se il rischio per i diritti e le libertà degli interessati è stato giudicato elevato, il comune è stato anche tenuto a eseguire una valutazione d'impatto come parte dell'ingiunzione.

L'ingiunzione è stata emessa ai sensi dell'articolo 58, paragrafo 2, lettera d), del regolamento sulla protezione dei dati.

Inoltre, il GEPD ha ritenuto che vi fossero motivi per lanciare un avvertimento al Comune di Helsingør, in quanto l'utilizzo delle applicazioni aggiuntive di Google G-Suite senza effettuare una valutazione d'impatto sulla protezione dei dati, come richiesto dall'articolo 35, paragrafo 1, del regolamento, potrebbe costituire una violazione del GDPR.

Infine, il GEPD ha ritenuto che vi fossero motivi per imporre una restrizione temporanea alle attività di trattamento del comune di Helsingør, se le valutazioni del rischio che il comune era tenuto a effettuare mostravano un rischio elevato per i diritti e le libertà degli interessati e il comune non aveva ridotto tali rischi a un livello meno che elevato prima della scadenza del periodo di ingiunzione. La restrizione implica che il trattamento dei dati personali che presentano un rischio elevato per i diritti e le libertà degli interessati non può essere effettuato finché i rischi non sono stati ridotti a un livello inferiore a quello elevato.

A seguito della decisione dell'Autorità per la protezione dei dati del 10 settembre 2021, il Comune di Helsingør ha presentato la sua valutazione dei rischi relativa all'uso dei Chromebook di Google e di G-Suite for Education con lettera del 10 novembre 2021, oltre a una documentazione aggiuntiva per dimostrare la liceità dell'attività di trattamento. Inoltre, il 9 dicembre 2021, il comune ha presentato ulteriori informazioni sul caso in risposta alla richiesta del GEPD del 2 dicembre 2021.

Vai al resto della dichiarazione (lunga)

<blockquote><h2>Decisione</h2>

Dopo aver esaminato la valutazione dei rischi del Comune di Helsingør e la documentazione del Comune in generale, l'Agenzia per la protezione dei dati ritiene che vi siano motivi per emettere un ordine di divieto al Comune di Helsingør per il trattamento dei dati personali utilizzando i Chromebook di Google e Workspace for Education. Il divieto si applica fino a quando il Comune di Helsingør non avrà reso l'attività di trattamento conforme al GDPR, come stabilito nella presente decisione, e non avrà prodotto una documentazione adeguata a tal fine.

Inoltre, qualsiasi trasferimento di dati personali verso gli Stati Uniti che il Comune di Helsingør ha incaricato Google Cloud EMEA Limited di effettuare in qualità di responsabile del trattamento dei dati per il Comune è sospeso fino a quando il Comune di Helsingør non sarà in grado di dimostrare la conformità al capitolo V del GDPR.

Il divieto e la sospensione avranno effetto immediato, ma al Comune di Helsingør sarà concesso un periodo fino al 3 agosto 2022 per ritirare e disattivare utenti e diritti e per cancellare i dati già trasferiti.

I divieti sono emessi ai sensi dell'articolo 58, paragrafo 2, lettere f) e j), del regolamento sulla protezione dei dati.

La violazione di un divieto emesso dal Garante per la protezione dei dati personali è punita ai sensi dell'articolo 41, paragrafo 2, comma 4, della legge sulla protezione dei dati personali con un'ammenda o con la reclusione per un periodo non superiore a sei mesi, cfr. articolo 41, comma 1.

Infine, il Garante per la protezione dei dati personali ritiene che il trattamento dei dati personali da parte del Comune di Helsingør non sia stato effettuato in conformità all'articolo 5, paragrafo 2, del regolamento sulla protezione dei dati, cfr. articolo 5, paragrafo 1, lettera a), all'articolo 24, cfr. articolo 28, paragrafo 1, all'articolo 35, paragrafo 1, e all'articolo 44, cfr. articolo 46, paragrafo 1.

<h2>Sintesi</h2>

L'11 dicembre 2019, un cittadino ha presentato un reclamo all'Autorità per la protezione dei dati personali in merito al trattamento dei dati personali da parte del Comune di Helsingør.

Con lettera del 6 gennaio 2020, il Comune di Helsingør ha confermato che un genitore aveva presentato un reclamo al Comune nel 2019 per il fatto che a suo figlio era stato assegnato - a sua insaputa - un account YouTube, consentendo la pubblicazione del nome del bambino su YouTube.

Il Comune di Helsingør ha inoltre dichiarato di ritenere improbabile che l'incidente abbia comportato un rischio per i diritti e le libertà degli interessati e pertanto non ha dato luogo a una notifica di violazione dei dati personali all'autorità di protezione dei dati, ai sensi dell'articolo 33, paragrafo 1, del GDPR.

Il 29 gennaio 2020, il Comune di Helsingør ha notificato l'incidente al DPA come una violazione dei dati personali. Allo stesso tempo, diversi altri comuni hanno effettuato notifiche simili, motivo per cui l'Autorità per la protezione dei dati ha trattato i casi congiuntamente e, con lettera dell'11 marzo 2020, ha chiesto il parere dei comuni interessati.

Il 10 settembre 2021, l'autorità di controllo della protezione dei dati ha preso una decisione sulla violazione dei dati personali in questione notificata all'autorità di controllo dal comune di Helsingør. La decisione dell'Autorità per la protezione dei dati del 10 settembre 2021 è riportata sopra nella sezione 1 ed è allegata nella sua interezza.

In risposta alla decisione del 10 settembre 2021, il Comune di Helsingør ha presentato la propria valutazione del rischio relativa all'uso dei Chromebook di Google e di G-Suite for Education con lettera del 10 novembre 2021, nonché documentazione aggiuntiva per dimostrare la liceità dell'attività di trattamento. Inoltre, il 9 dicembre 2021, il comune ha presentato ulteriori informazioni sul caso in risposta alla richiesta del GEPD del 2 dicembre 2021.

<h2>Parere del comune di Helsingør</h2><h3>Svolgimento della valutazione dei rischi, compresa la valutazione d'impatto sulla protezione dei dati, ove opportuno</h3>

Il 10 novembre 2021, il Comune di Helsingør ha presentato la valutazione dei rischi del Comune per l'utilizzo di Google Chromebook e G-Suite for Education (Google Workspace for Education).

Allo stesso tempo, il Comune di Helsingør ha informato l'Autorità per la protezione dei dati che il Comune non utilizza i servizi aggiuntivi di Google Workspace e ha quindi valutato che il Comune non è obbligato a preparare una valutazione d'impatto sulla protezione dei dati.

<h3>Trattamento dei dati personali per altri scopi</h3>

Tra i rischi identificati dal Comune di Helsingør nell'utilizzo dei Chromebook di Google, nella valutazione dei rischi compare il rischio di "utilizzo dei dati per scopi non previsti". Il rischio è descritto come segue:

<blockquote>

"Esiste il rischio che Google o altre terze parti possano utilizzare i dati personali di insegnanti e studenti per scopi di marketing o di altro tipo per i quali il Comune di Helsingør, in qualità di titolare del trattamento dei dati, non desidera che i dati personali vengano elaborati". In particolare, le informazioni di contatto, l'indirizzo IP e le tracce digitali (informazioni generali) sono rilevanti in questo contesto. Va notato che i dati personali relativi agli alunni sono soggetti a una protezione speciale ai sensi delle norme sulla protezione dei dati e pertanto l'accesso e il trattamento dei dati personali relativi agli alunni costituiscono un elemento aggiuntivo in relazione alla valutazione del rischio."

</blockquote>

Per quanto riguarda la probabilità che questo rischio si concretizzi, si afferma quanto segue:

<blockquote>

"Il comune utilizza il prodotto Google Workspace for Education Standard, dove il comune è garantito dall'accordo con il responsabile del trattamento dei dati che i dati non saranno utilizzati per altri scopi, incluso il marketing, a condizione che il comune utilizzi solo i Core Services".

Si fa riferimento all'accordo per il trattamento dei dati e alla corrispondenza del Comune di Helsingør con Google, in cui Google ha dichiarato che "le informazioni nell'ambito dell'utilizzo dei Chromebook e di Google Workspace for Education Standard non possono essere utilizzate da Google per scopi di marketing nei confronti di uno studente o degli studenti di una classe". "Nei servizi principali di Google Workspace for Education non vengono visualizzati annunci pubblicitari. Inoltre, nessuna delle informazioni personali raccolte nei servizi principali viene utilizzata per scopi pubblicitari (ii) Il nome utente degli studenti, anche in relazione all'account Google Workspace for Education creato, è accessibile solo a Google in qualità di incaricato del trattamento dei dati, e l'utilizzo dei Chromebook e di Google Workspace for Education - ad esempio la visualizzazione di video di YouTube - non porta alla pubblicazione del nome utente". "L'amministrazione della scuola può consentire agli studenti di accedere ai servizi di Google, come YouTube, che hanno funzioni che consentono agli utenti di condividere informazioni con altri o pubblicamente. Ad esempio, se si lascia una recensione su Google Play, il nome e la foto appaiono accanto all'attività svolta. Se si condivide una foto con un amico che poi ne fa una copia o la condivide di nuovo, la foto può continuare a comparire nell'account Google dell'amico anche dopo che l'utente l'ha rimossa dal proprio account Google. Ricordate che quando condividete informazioni pubblicamente, i vostri contenuti possono diventare accessibili attraverso i motori di ricerca, compresa la Ricerca Google. Per ulteriori informazioni sulle modalità di condivisione dei dati di Workspace for Education, consultare l'Informativa sulla privacy di Workspace for Education".

Servizi principali (14 servizi: Classroom, Drive/Docs, G-mail, Chat, Chrome Sync, Gruppi, Meet, Vault, Playlist, Jamboard, Calendario, Keep (stickynotes), Tasks, Sites).

I servizi aggiuntivi forniti da Google sono soggetti a termini diversi nell'accordo di elaborazione dei dati, il che significa che il Comune non può dare istruzioni a Google su come i dati personali possono essere utilizzati. Pertanto, il Comune ha disabilitato l'uso dei servizi aggiuntivi.

Conclusioni

Sulla base delle misure attuate sopra, il Comune di Elsinore ritiene che la probabilità che il rischio si concretizzi sia bassa. Tuttavia, non si può escludere completamente che Google violi gli obblighi contrattuali e utilizzi comunque i dati personali per scopi di marketing o altri scopi non previsti per i quali il Comune di Helsingør non ha dato istruzioni in conformità all'accordo sul trattamento dei dati."

</blockquote><h3>Trasferimento di dati personali a Paesi terzi</h3>

Un ulteriore rischio identificato dal Comune di Helsingør nell'uso dei Chromebook e di Workspace for Education di Google nella valutazione dei rischi è il rischio di trasferimento a Paesi terzi.

Il rischio è descritto come segue:

<blockquote>

"Esiste il rischio che i dati personali di alunni e insegnanti (in linea di massima dati personali generali, ma non si può escludere che vengano inclusi anche dati personali sensibili) vengano trasferiti a Paesi terzi insicuri senza una base adeguata per il trasferimento e senza garantire che il Paese terzo in questione garantisca diritti di protezione dei dati equivalenti a quelli di altri Paesi dell'UE."

</blockquote>

Per quanto riguarda la probabilità che questo rischio si concretizzi, si afferma quanto segue:

<blockquote>

"Il Comune di Helsingør, in qualità di responsabile del trattamento dei dati personali degli alunni, ha attuato le seguenti misure di mitigazione pertinenti al fine di ridurre la probabilità che il rischio descritto diventi realtà":

Sono stati stipulati i termini e le condizioni standard della Commissione UE (base di trasferimento), poiché esiste il rischio di accesso dagli Stati Uniti tramite supporto. È stata preparata una valutazione d'impatto sul trasferimento (TIA) separata come base aggiuntiva (misure complementari) in conformità con i requisiti dell'Autorità per la protezione dei dati e dell'EDPB. Si fa riferimento alla TIA preparata.

Si noti inoltre che il Comune di Helsingør ha optato per una soluzione in cui, come chiaro punto di partenza, i dati si trovano esclusivamente all'interno dell'UE nei centri dati interessati. È quindi solo il rischio di un accesso di supporto da un Paese terzo insicuro che può portare all'accesso da un Paese terzo insicuro:

"Le impostazioni in Regioni dati in Google Workspace for Education Standard assicurano che il centro dati sia situato all'interno dell'UE - e inoltre: ci sarà accesso online da Paesi al di fuori dell'UE, ad esempio in relazione all'assistenza".

Conclusione

Sulla base delle misure implementate sopra, il Comune di Elsinore ritiene che la probabilità che il rischio si concretizzi sia bassa".

</blockquote>

Inoltre, il Comune di Helsingør ha presentato le prove di conformità al Capitolo V del Regolamento sulla protezione dei dati nell'utilizzo di Google Workspace for Education sotto forma di "Transfer Impact Assessment" (di seguito "TIA") del Comune.

Questa dimostra che il Comune di Helsingør utilizza Google Cloud EMEA Limited come responsabile del trattamento dei dati per quanto riguarda l'utilizzo di Google Chromebook e Workspace for Education. In particolare, attraverso le impostazioni di Google Workspace for Education, il Comune si è assicurato che i dati personali siano archiviati solo in centri dati situati all'interno dell'UE/SEE.

Tuttavia, sembra che, nonostante le impostazioni di cui sopra, i dati personali possano essere trasferiti a Google LLC negli Stati Uniti nell'ambito dell'accesso remoto a fini di assistenza. Il trasferimento avviene sulla base del contratto standard della Commissione UE.

Infine, il punto 1.8 sul contesto e le finalità del trasferimento dei dati personali afferma quanto segue:

<blockquote>

"Nell'ambito della soluzione cloud di Google, il Comune di Helsingør utilizza:

Google Chromebooks e G Suite for Education (ora denominata Workspace), che viene utilizzata dal Comune di Helsingør per l'istruzione degli studenti nell'ambito dell'obbligo di diritto pubblico del Comune di Helsingør in quanto autorità pubblica locale di fornire istruzione. Helsingør Kommune ritiene che tale obbligo sia gestito al meglio da Google in qualità di fornitore dei suddetti servizi e Datatilsynet ha accettato questa premessa in base alla legge che disciplina il Folkeskoleloven.

Affinché il Comune di Helsingør possa utilizzare i servizi e i prodotti menzionati offerti da Google, è necessario che il Comune di Helsingør trasferisca i dati personali relativi agli interessati indicati nelle sezioni 1.9-1.10 di seguito al cloud di Google. Lo scopo del trasferimento è quindi quello di archiviare i dati personali nei centri dati (cloud), garantire un'elevata sicurezza dei dati personali e la gestione/supporto da parte di Google".

Nel TIA, il Comune di Helsingør ha valutato - a quanto risulta al GEPD - se la base per il trasferimento negli Stati Uniti sotto forma di contratto standard sia efficace alla luce delle circostanze del trasferimento, valutando anche se negli Stati Uniti esistano leggi e/o prassi che incidano sull'efficacia del contratto standard concluso.

</blockquote>

Di conseguenza, il paragrafo 2.4 del TIA afferma che:

<blockquote>

"Sulla base delle statistiche e di altre argomentazioni dell'importatore/destinatario dei dati, quanti anni ci vorranno, oltre al periodo di valutazione, prima che la probabilità di accesso da parte di un'autorità pubblica (che è lecita nel Paese terzo) sia ancora solo del 50:50?".

Sulla base delle seguenti statistiche e argomentazioni, il Comune di Helsingør ritiene che anche se si aggiungessero altri 50 anni al periodo di valutazione di 5 anni, la probabilità di un accesso da parte di un'autorità pubblica statunitense (che sia legale negli Stati Uniti) che violi il diritto dell'UE, come stabilito nella sentenza Schrems II, è ancora solo del 50% di probabilità di verificarsi entro questo periodo di 55 anni e quindi il rischio di un accesso legale nel periodo di valutazione di 5 anni è di natura più teorica che pratica:

<ul><li>A) Google esaminerà attentamente ogni richiesta per assicurarsi che sia conforme alle leggi applicabili. Se una richiesta richiede troppe informazioni, Google cercherà di restringerla e in alcuni casi si opporrà a produrre qualsiasi informazione. Google condividerà il numero e i tipi di richieste ricevute nel Rapporto sulla trasparenza.</li><li>B) Quando Google riceve una richiesta da un'agenzia governativa, prima di divulgare le informazioni invia un'e-mail all'account dell'utente. Se l'account è gestito da un'organizzazione, Google ne darà comunicazione all'amministratore dell'account. Se a Google è vietato per legge di dare un preavviso, non lo farà. In tal caso, Google fornirà l'avviso dopo la revoca del divieto legale, ad esempio allo scadere di un periodo di divieto imposto dalla legge o dal tribunale.</li><li>C) Quando un'entità di Google all'interno dell'UE, come nel caso in questione, riceve richieste di divulgazione dei dati da parte delle autorità governative statunitensi, Google fornirà i dati personali solo se ciò è conforme a quanto segue: (i) la legge nazionale dello Stato membro di stabilimento, comprese le leggi dell'UE applicabili, come il GDPR. Pertanto, Google richiederà all'autorità di seguire la stessa procedura e gli stessi requisiti legali che si applicherebbero se la richiesta fosse fatta a un fornitore locale di un servizio simile. (ii) Norme internazionali, il che significa che Google fornirà dati personali solo in risposta a richieste che soddisfano i Principi sulla libertà di espressione e sulla privacy della Global Network Initiative e le relative linee guida di attuazione nelle politiche di Google. Ciò include tutti i termini di servizio e le politiche sulla privacy applicabili, nonché le politiche relative alla protezione della libertà di espressione.</li><li>D) Per quanto riguarda le richieste di informazioni in situazioni di emergenza, ad esempio se Google ritiene ragionevolmente che la divulgazione possa evitare che qualcuno muoia o subisca gravi danni fisici, Google può fornire informazioni a un'agenzia governativa. Ciò include minacce di bombe, sparatorie nelle scuole, rapimenti, prevenzione del suicidio e casi di persone scomparse. Google prenderà comunque in considerazione tali richieste alla luce delle leggi vigenti e delle nostre politiche.</li><li>F) Statistiche</li></ul>

Richieste di accesso a Google GCP/G-Suite / divulgate Danimarca 2019-2020: 0 / 0

Richieste di accesso a Google Workspace / divulgate Danimarca 2019-2020: 1 / 0

Richieste di Google Global Diplomatic Legal: 1

Richieste di dati utente di Google Global / percentuale divulgata Danimarca 2019-2020:

30 giugno 2019 Emergenza 2 / 50%. Altre richieste legali 29 / 52%. Conservazione 8 / 45%. 31 dicembre 2019 Emergenza 3 / 0%. Altro legale 48 / 38%. Conservazione 12 / 41%.

30 giugno 2020 Emergenza 5 / 100%.

Altro legale 80 / 58%. Conservazione 34 / 63%. 31 dicembre 2020 Emergenza 1 / 100%. Altro legale 87 / 75%. Conservazione 32 / 41%.

Richieste di Google National Security Letter (NSL) e rilasciate 2019/2020 numero totale tutti i Paesi: 21

Conclusioni

Sulla base di questo approccio legale e di queste statistiche, è chiaro che:

<ul><li>È statisticamente improbabile che il Comune di Helsingør sia oggetto di una richiesta relativa all'uso di GCP e G-Suite (ora denominato Workspace).</li><li>Per gli altri servizi il rischio è minimo, dato il numero di richieste/divulgazione e il numero totale di utenti che utilizzano i servizi forniti da Google in Danimarca.</li><li>Il numero di richieste NSL è talmente basso da essere statisticamente irrilevante.</li><li>Se i dati personali sono oggetto di una richiesta, Google effettuerà una valutazione onesta della legalità in base al diritto dell'UE. Questo è supportato dalle statistiche sulle divulgazioni effettive".</li></ul></blockquote>

Il TIA afferma inoltre al par. 3.4 che i dati personali trasferiti a Google LLC negli Stati Uniti saranno disponibili a Google LLC in chiaro:

<blockquote>

"I dati personali in questione sono accessibili nella giurisdizione di destinazione in chiaro da parte dell'importatore/destinatario dei dati o di terzi (cioè i dati non sono adeguatamente crittografati o è possibile accedere alle chiavi per decifrarli)?".

I dati personali di Helsingør Kommune sono sempre crittografati quando sono a riposo, poiché Google utilizza diversi livelli di crittografia per proteggere i dati dei clienti a riposo nei prodotti Google Cloud, utilizzando uno o più meccanismi di crittografia. I dati per l'archiviazione vengono suddivisi in pezzi e ogni pezzo viene crittografato con una chiave di crittografia dei dati unica. Queste chiavi di crittografia dei dati vengono memorizzate insieme ai dati, crittografate con ("avvolte" da) chiavi di crittografia che vengono memorizzate e utilizzate esclusivamente all'interno del servizio centrale di gestione delle chiavi di Google. Il servizio di gestione delle chiavi di Google è ridondante e distribuito a livello globale.

Tutti i dati memorizzati in Google Cloud sono crittografati a livello di archiviazione utilizzando AES256. A questo proposito, Google utilizza una libreria crittografica comune, Tink, che incorpora il modulo BoringCrypto convalidato da FIPS 140-2, per implementare la crittografia in modo coerente in quasi tutti i prodotti Google Cloud. L'uso coerente di una libreria comune significa che solo un piccolo team di crittografi deve implementare e mantenere questo codice strettamente controllato e revisionato.

Tuttavia, questa crittografia non impedisce al personale di Google di accedere ai dati personali di Helsingør Kommune, perché Google possiede la chiave per decifrare i dati. Google LLC negli Stati Uniti non è invece in possesso della chiave di decodifica. Ciò implica che Google negli Stati Uniti o altre entità Google al di fuori dell'UE/SEE o terzi non possono accedere ai dati personali di Helsingør Kommune senza l'approvazione dell'entità Google applicabile con sede nell'UE (Google Ireland).

Sebbene la crittografia - e la pseudonimizzazione, anch'essa utilizzata da Google - non garantisca a Helsingør Kommune il controllo completo dell'accesso ai dati personali nel data center dell'UE, essa funge da fattore di attenuazione per soddisfare gli obblighi normativi o di conformità, ossia in conformità alle linee guida dell'EDPB".

</blockquote>

Inoltre, il TIA afferma al par. 3.5 in merito alla base di trasferimento stabilita:

<blockquote>

"Come indicato nella sezione 1.7 di cui sopra, dall'emendamento di Google sul trattamento dei dati di Google Workspace e/o dall'accordo sui prodotti complementari modificato il 24 settembre 2021 risulta che l'SCC del 2021 sarà la base giuridica per i trasferimenti (compreso l'accesso online come parte del supporto online) verso paesi al di fuori dell'UE/SEE senza una decisione di adeguatezza. A questo proposito Google è contrattualmente obbligata, in qualità di incaricato del trattamento, a rispettare gli obblighi ad essa applicabili ai sensi della legge europea sulla protezione dei dati per quanto riguarda il trattamento dei dati personali di Helsingør Kommune.

Helsingør Kommune non ha motivo di credere che qualsiasi entità di Google non rispetterà l'SCC.

Inoltre, Helsingør Kommune valuterà e monitorerà costantemente la conformità di Google alla SCC 2021 esaminando, ad esempio, le relazioni di audit e le certificazioni standard rese disponibili. Helsingør Kommune ha inoltre il diritto di effettuare un audit speciale da parte di terzi, se ritenuto necessario, ai sensi del DPA".

</blockquote>

Infine, il TIA afferma al par. 4.1.1 per quanto riguarda la legislazione e/o la prassi negli Stati Uniti che influisce sull'efficacia del contratto standard stipulato:

<blockquote>

"L'importatore/destinatario dei dati non è soggetto a un interesse superiore da parte di un'autorità pubblica straniera nel richiedere l'accesso ai dati personali (ossia, l'importatore o il potenziale destinatario dei dati non è soggetto a una legge nazionale che facilita la sorveglianza di massa)".

Sezione 702 FISA

L'entità statunitense Google LLC può essere vista in pratica come la società madre per le entità dell'UE che forniscono i servizi al comune di Helsingør. Google LLC. può qualificarsi come fornitore di servizi di comunicazione elettronica ai sensi della Sezione 702 FISA per i suoi clienti statunitensi, in quanto il termine è inteso in senso lato: "qualsiasi altro fornitore di servizi di comunicazione che abbia accesso a comunicazioni elettroniche o via cavo mentre tali comunicazioni vengono trasmesse o memorizzate".

Tuttavia, è molto probabile che i dati accessibili a Google LLC siano di per sé esclusi dall'accesso ai sensi della Sezione 702 FISA, in quanto si tratta di dati che non vengono trasmessi da Google, ma ad essa per fornire un servizio di assistenza. Si tratta quindi di una comunicazione rivolta a una "persona statunitense" per la quale le ricerche di intelligence sono vietate (cfr. Alan Charles Raul, "Why Schrems II Might Not Be a Problem for EU-U.S. Data Transfers", 21 dicembre 2020, disponibile all'indirizzo https://bit.ly/3qHNMy7 e un articolo completo dello stesso autore all'indirizzo https://bit.ly/2V9veez con il post successivo "Transferring EU Data To US After New Contractual Safeguards" del 17 maggio 2021, disponibile all'indirizzo https://bit.ly/3l12oHZ). Inoltre, i dati personali di Helsingør Kommune non comprendono dati personali di "persone statunitensi" e le autorità statunitensi non possono quindi accedere ai dati ai sensi della Sezione 702 FISA anche per questo motivo.

Pertanto, è probabile che i dati personali di Helsingør Kommune nei centri dati dell'UE non siano soggetti alla Sezione 702 FISA.

Ci rendiamo conto che questa argomentazione potrebbe non essere condivisa da tutti e che potrebbero comunque verificarsi richieste in relazione a Google; per questo motivo, per sicurezza, valutiamo la probabilità che questa argomentazione sia valida in modo molto prudente.

ORDINE ESECUTIVO 12.333

L'Executive Order 12.333 (EO 12.333) autorizza le agenzie di intelligence statunitensi a raccogliere informazioni di "signals intelligence" straniere, ovvero informazioni raccolte da comunicazioni e altri dati trasmessi o accessibili via radio, filo e altri mezzi elettromagnetici (ovvero tutti i dati provenienti da infrastrutture di telecomunicazione e IT). L'EO 12.333 consente quindi la "sorveglianza in transito", come l'accesso a dati non adeguatamente criptati durante il passaggio sui cavi transatlantici. Come descritto nella sezione 3.3., tutti i dati personali saranno trasmessi con una crittografia forte e necessaria durante il transito. Pertanto, secondo la nostra valutazione, la misura tecnica richiesta attraverso la crittografia significa che l'EO 12.333 non comporterà un rischio maggiore per le autorità statunitensi di sorveglianza di massa".

</blockquote>

Di seguito si legge che il Comune di Helsingør ha valutato la probabilità che la valutazione di cui sopra sia accurata al 40%.

Sulla base della lettera del Comune di Helsingør del 10 novembre 2021 con i relativi allegati, il 2 dicembre 2021 l'Autorità per la protezione dei dati ha richiesto ulteriori informazioni al Comune. L'Autorità per la protezione dei dati ha dichiarato che qualsiasi trasferimento di dati personali verso gli Stati Uniti nell'ambito del sostegno è stato - secondo l'Autorità per la protezione dei dati - intenzionale, sebbene il Comune abbia valutato questo come un rischio di sostegno proveniente dagli Stati Uniti.

Il Garante per la protezione dei dati personali ha richiesto, tra l'altro, una copia della base di trasferimento del Comune, eventuali modifiche all'istruzione e all'accordo di trattamento dei dati con Google e una revisione di eventuali misure aggiuntive che il Comune ha ritenuto necessarie.

Con lettera del 9 dicembre 2021, il Comune di Helsingør ha dichiarato - a chiarimento del rischio di cui sopra - quanto segue:

<blockquote>

"Il possibile trasferimento a Google - e il rischio associato - è legato alla configurazione di Google. In altre parole, anche se il comune ha scelto un cloud dell'UE, Google ha garantito nell'accordo di trattamento dei dati il diritto di ottenere potenzialmente il supporto da paesi terzi. Questo è anche il motivo per cui Google ha stabilito una base di trasferimento nell'ambito del nuovo SCC (da giugno 2021), che il comune utilizza nella sua valutazione del rischio.

In generale, per quanto riguarda il rischio di supporto in particolare, si possono prendere in considerazione i seguenti fatti: in situazioni di supporto molto specifiche da parte di un paese terzo insicuro, ci sarà una finestra molto limitata in cui il sostenitore può potenzialmente accedere ai dati personali in chiaro. È molto improbabile che in questa finestra limitata il sostenitore sia obbligato dal governo [del paese terzo insicuro] a fornire i dati personali.

Il Comune osserva inoltre che il TIA preparato afferma che il Comune ha valutato che l'uso di Google Workspace for Education è necessario per l'adempimento dei doveri del Comune ai sensi della legge sull'istruzione, che l'opzione del supporto di un paese terzo non può essere esclusa quando Google è il responsabile del trattamento dei dati e che il Comune ha quindi valutato il rischio di utilizzare Google.

La base di trasferimento è, come detto, il nuovo SCC (da giugno 2021)".

</blockquote>

Per quanto riguarda le fonti di dati utilizzate, il Comune di Helsingør ha fornito le seguenti informazioni:

<blockquote>

"Ci sono diverse "fonti di dati" in relazione alla valutazione del rischio e alla TIA. La valutazione del rischio si basa sul fatto che l'accordo con il responsabile del trattamento dei dati descrive il rapporto tra le parti in modo più dettagliato, vale a dire che Google è il responsabile del trattamento dei dati per il comune e che Google si riserva il diritto di fornire assistenza da paesi terzi, e che il comune ha assicurato che il servizio è fornito da un cloud dell'UE.

La TIA si basa sui documenti e sui link forniti nella sottotabella della TIA".

</blockquote>

Inoltre, il Comune di Helsingør ha fornito le seguenti informazioni in merito alle sue valutazioni come indicato nel TIA:

"Le valutazioni della TIA sulla probabilità di tenuta di ogni argomento legale sono stime. A questo proposito, il Comune ritiene che le probabilità stabilite siano conservative, ossia che il Comune abbia tenuto conto dei dubbi nell'interesse dei diritti e delle libertà degli interessati. Se il GEPD ha una valutazione diversa e motivata della probabilità che le singole argomentazioni siano valide, il Comune sarà lieto di sentirla. Si fa inoltre presente, a fini di buon ordine, che il rischio complessivo calcolato - sulla base, tra l'altro, di queste argomentazioni, delle circostanze del possibile trasferimento, delle statistiche pubblicate da Google, delle prassi e delle misure di attenuazione - è piuttosto basso. Il Comune si impegna inoltre a monitorare e valutare costantemente la probabilità della validità di queste argomentazioni.

La legalità dell'uso di Google Workspace for Education in queste circostanze non dipende quindi dalla valutazione della probabilità di validità di un singolo argomento che non è mosso da argomentazioni motivate".

Infine, il Comune di Elsinore ha presentato un'ampia documentazione relativa all'accordo di trattamento dei dati con Google Cloud EMEA Limited, tra cui l'accordo di trattamento dei dati "Data Processing Amendment to Google Workspace and/or Complementary Product Agreement" del 24 settembre 2021.

<h2>Motivazione della decisione del Garante per la protezione dei dati personali</h2>

In generale, il GEPD ritiene che un responsabile del trattamento che si avvale di un incaricato del trattamento - per tutte le operazioni di trattamento - debba rispettare ed essere in grado di dimostrare la conformità al GDPR e alla legge sulla protezione dei dati, indipendentemente dal punto della catena di trattamento dei dati in cui avviene il trattamento.

Ciò deriva dall'articolo 5, paragrafo 2, del GDPR, che stabilisce che il responsabile del trattamento è responsabile e deve essere in grado di dimostrare la conformità al paragrafo 1. Ciò significa, tra l'altro, che il responsabile del trattamento è responsabile e deve essere in grado di dimostrare la conformità al paragrafo 2. Ciò significa, tra l'altro, che il responsabile del trattamento è responsabile e deve essere in grado di dimostrare che i dati personali sono trattati in modo lecito, equo e trasparente, conformemente all'articolo 5, paragrafo 1, lettera a).

Inoltre, l'articolo 24, paragrafo 1, del regolamento prevede che il responsabile del trattamento metta in atto misure tecniche e organizzative adeguate per garantire e poter dimostrare che il trattamento è conforme al regolamento. Ciò deve avvenire tenendo conto della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento in questione, nonché dei rischi di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, e le misure devono essere riesaminate e aggiornate se necessario.

Con questa decisione, l'Autorità per la protezione dei dati si è limitata a stabilire se - e in che misura - il Comune di Helsingør, in qualità di responsabile del trattamento, tratta i dati personali in conformità alle norme sulla protezione dei dati. La competenza dell'Autorità per la protezione dei dati deriva dall'articolo 27 della legge sulla protezione dei dati e dai capitoli VI e VII del regolamento sulla protezione dei dati, compreso l'articolo 55, paragrafo 2, dello stesso.

<h3>Utilizzo di Google Chromebook e Google Workspace for Education</h3>

L'articolo 2, paragrafo 1, della legge sull'istruzione stabilisce che l'autorità locale è responsabile dell'istruzione dei bambini.

Per le scuole elementari, dall'articolo 18, paragrafo 1, e dall'articolo 19 della legge si evince che l'organizzazione dell'insegnamento, compresa la scelta dei metodi di insegnamento e di lavoro, dei materiali didattici e la selezione delle materie, nonché il relativo pagamento, in tutte le materie deve essere conforme agli scopi, agli obiettivi e alle materie della scuola elementare e deve essere variata in modo da corrispondere alle esigenze e ai requisiti del singolo alunno.

Il GEPD è del parere che sia la scelta di utilizzare le tecnologie informatiche nell'insegnamento, sia la marca e il software da utilizzare, rientrino in questo margine.

A questo proposito, il GEPD osserva che le norme sulla protezione dei dati sono neutre dal punto di vista tecnologico e che il GEPD può solo valutare le circostanze in cui vengono trattati i dati personali, ai sensi dell'articolo 2, paragrafo 1, del GDPR.

Sebbene la legge sulla scuola pubblica - secondo il GEPD - conferisca al consiglio comunale la competenza di decidere se - e in caso affermativo - quali apparecchiature informatiche debbano essere utilizzate per l'istruzione, tale uso deve continuare a essere effettuato nel quadro del GDPR e della legge sulla protezione dei dati.

I diritti dei bambini e dei giovani godono di una protezione speciale ai sensi delle norme sulla protezione dei dati. Il GEPD ritiene che questa considerazione sia inclusa nella valutazione di quali operazioni di trattamento possono essere effettuate sulla base giuridica fornita dalla legge sulle scuole pubbliche a ciascun comune.

Come indicato anche nella decisione del 10 settembre 2021 dell'Ispettorato per la protezione dei dati, l'Ispettorato ritiene che il comune di Helsingør possa determinare quali strumenti siano utilizzati nelle scuole primarie del comune, ai sensi dell'articolo 6, paragrafo 1, lettera e), del regolamento sulla protezione dei dati.

Tuttavia, rimane una condizione essenziale che il regolamento e la legge sulla protezione dei dati siano altrimenti rispettati nel trattamento dei dati personali che avviene.

<h3>Rischio e conseguenze</h3>

In generale, il GEPD ritiene che la valutazione dei rischi del Comune di Helsingør in merito all'uso di Google Chromebooks e Workspace for Education affronti gli scenari e le minacce principali.

Tuttavia, il GEPD ritiene che l'uso di tecnologie nuove e complesse, compreso il software, soprattutto nel settore dell'istruzione, in cui gli interessati sono bambini e giovani, comporti solitamente un rischio elevato per i diritti e le libertà di questi alunni.

Nel caso specifico, è risaputo che le tecnologie utilizzate per l'erogazione e il supporto di sistema del servizio scelto - Google Chromebooks e Workspace for Education - sono utilizzate anche per l'erogazione di altre parti dei prodotti di Google, che vengono utilizzate per la raccolta di informazioni, il marketing mirato e la vendita di tali informazioni. Tali aspetti devono pertanto essere presi in considerazione nella valutazione dei rischi per i diritti e le libertà degli interessati nell'utilizzo di Google Workspace for Education.

Il GEPD ritiene che la valutazione dei rischi del Comune di Helsingør non documenti in modo esauriente gli scenari di rischio che possono verificarsi a seguito della progettazione dell'elaboratore di dati e delle scelte di sistema effettuate. Ciò vale in particolare per (i) il modo in cui i dispositivi e le applicazioni utilizzati trattano effettivamente i dati personali raccolti, nonché (ii) il modo in cui il comune di Helsingør controlla l'accesso di Google ai dati personali, compreso in particolare l'uso ordinario del sistema operativo dei Chromebook di Google e l'interazione di Google Workspace con il backend di Google in relazione alle possibilità di separazione dei dati personali che devono avvenire ai sensi della legge sul trattamento dei dati.

Il GEPD ritiene che l'esecuzione di una valutazione concreta dei rischi e dell'impatto - prima di fornire apparecchiature informatiche agli alunni e di trattare i dati degli alunni - sia un prerequisito per stabilire e mantenere un livello di sicurezza adeguato. Questo perché un livello di sicurezza adeguato deve essere visto alla luce dei rischi, comprese le conseguenze, che il trattamento dei dati personali degli alunni può avere per loro. Il GEPD rileva che molte delle suddette inosservanze delle norme sulla protezione dei dati avrebbero potuto essere evitate se il Comune di Helsingør avesse valutato i rischi del trattamento e adottato misure adeguate alla luce di tali rischi.

Alla luce di quanto sopra, il GEPD ritiene che il comune di Helsingør - i) non avendo incluso nella sua valutazione dei rischi gli scenari di rischio che possono derivare dalla progettazione dell'elaboratore di dati e dalle scelte di sistema effettuate, ii) non avendo sufficientemente testato la portata e il funzionamento dell'hardware e del software utilizzati e iii) non essendo in grado di documentare come il comune controlla l'accesso di Google ai dati personali, in particolare attraverso l'uso ordinario del sistema operativo Google Chromebooks e l'interazione di Google Workspace con il backend di Google in relazione alle possibilità di separazione dei dati personali che possono verificarsi ai sensi della Direttiva sui Responsabili del Trattamento, - non ha dimostrato che i dati personali sono trattati in modo lecito, equo e trasparente in relazione all'interessato ai sensi della Direttiva sui Responsabili del Trattamento. Articolo 5(2) della legge sulla protezione dei dati, cfr. articolo 5(1)(a).

<h3>Utilizzo dei dati per altri scopi</h3>

L'Autorità per la protezione dei dati ritiene che il trattamento dei dati personali da parte del Comune di Helsingør ai sensi della legge sulle scuole elementari, cfr. articolo 6, paragrafo 1, lettera e), del regolamento, non comprenda situazioni in cui i dati personali sono trattati per scopi diversi da quelli previsti dalla legge sulle scuole elementari. I dati non possono quindi essere legittimamente comunicati ad altri responsabili del trattamento per i loro scopi, se questi non sono previsti dalla legge sulla scuola elementare. Ciò include anche il trattamento dei dati personali che può avvenire attraverso l'uso delle attrezzature e del software da parte degli alunni, compresi i dati metadati utilizzati per scopi di marketing e di profilazione, sia che i dati siano utilizzati per il marketing diretto al singolo alunno o indirettamente come parte di un gruppo (classe, anno, scuola, ecc.).

Il GEPD ritiene che il Comune di Helsingør non utilizzi i prodotti aggiuntivi di Google Workspace for Education.

Dalla valutazione dei rischi del Comune di Helsingør risulta che i dati personali raccolti nei servizi di base - in base all'accordo con il responsabile del trattamento dei dati - non vengono utilizzati per scopi di marketing.

Il Garante per la protezione dei dati personali ritiene che il Comune di Helsingør, in qualità di responsabile del trattamento dei dati, abbia valutato che "non si può escludere completamente che Google violi gli obblighi contrattuali e utilizzi comunque i dati personali per scopi di marketing o altri scopi non previsti per i quali il Comune di Helsingør non ha dato istruzioni in conformità all'accordo sul trattamento dei dati".

Il GEPD ritiene inoltre che il Comune di Helsingør tratti anche categorie speciali di dati personali, di cui all'articolo 9 del regolamento, quando utilizza Google Workspace for Education.

In questo contesto, il GEPD desidera sottolineare in termini generali che, ai sensi dell'articolo 28, paragrafo 1, del regolamento, un responsabile del trattamento può avvalersi solo di incaricati del trattamento in grado di fornire le necessarie garanzie circa il rispetto delle norme sulla protezione dei dati durante il trattamento dei dati per conto del responsabile del trattamento.

Ciò implica che l'aspettativa da parte del responsabile del trattamento che l'incaricato del trattamento scelto agisca in violazione dell'accordo concluso con l'incaricato del trattamento - di per sé - implica che il responsabile del trattamento non può utilizzare tale incaricato del trattamento, ai sensi dell'articolo 28, paragrafo 1, del regolamento.

Tuttavia, il GEPD si è basato sul fatto che, nel valutare questo rischio, il comune di Helsingør considera il rischio che l'incaricato del trattamento agisca in violazione dell'accordo di trattamento dei dati solo come ipotetico e non come realmente prevedibile.

Il GEPD ritiene che il Comune di Helsingør - nella sua valutazione di questo rischio - non abbia dimostrato che in questa situazione il Comune di Helsingør si avvale di un incaricato del trattamento dei dati in grado di fornire le necessarie garanzie di conformità ai requisiti del GDPR, come previsto dall'articolo 24 del Regolamento, cfr. articolo 28, paragrafo 1.

Il GEPD ha prestato particolare attenzione al fatto che vi sarebbe un'invadente perdita di diritti per gli interessati se il rischio in questione si concretizzasse e che il comune non ha indicato nella sua valutazione del rischio alcuna reale misura correttiva tecnica o organizzativa per mitigare tale rischio. In particolare, il GEPD ritiene che il riferimento fatto dal Comune di Helsingør al fatto che il Comune ha fiducia nel rispetto generale del contratto da parte del fornitore non costituisca un'attenuazione sufficiente di tale rischio.

Inoltre, il GEPD rileva che qualsiasi rischio che comporti un impatto elevato sui diritti e le libertà degli interessati - anche con probabilità relativamente basse che il rischio si concretizzi - è probabile che comporti un rischio elevato per i diritti degli interessati, facendo scattare l'obbligo di effettuare una valutazione d'impatto sulla protezione dei dati ai sensi dell'articolo 35, paragrafo 1, del regolamento.

Alla luce di ciò - e della valutazione del Comune di Helsingør secondo cui non si può escludere che l'incaricato del trattamento agisca in violazione dell'accordo con il responsabile del trattamento - il GEPD ritiene che il rapporto faccia scattare l'obbligo di effettuare una valutazione d'impatto sulla protezione dei dati, ai sensi dell'articolo 35, paragrafo 1, del regolamento.

In questo contesto - e dato che il Comune di Helsingør ha dichiarato di non aver effettuato una valutazione d'impatto sulla protezione dei dati - il GEPD ritiene che il trattamento dei dati personali da parte del Comune di Helsingør non sia stato effettuato in conformità all'articolo 35, paragrafo 1, del regolamento.

<h3>Trasferimenti di dati personali verso paesi terzi</h3><h3>Trasferimento di dati personali da parte dell'infrastruttura cloud</h3>

Il GEPD ha innanzitutto rilevato che il Comune di Elsinore ritiene di aver configurato l'utilizzo di Google Workspace for Education in modo tale che "i dati si trovino, come chiaro punto di partenza, solo all'interno dell'UE nei centri dati interessati". È quindi solo il rischio di un accesso di supporto da un Paese terzo insicuro che può portare all'accesso da un Paese terzo insicuro".

Il quadro contrattuale del Comune di Helsingør con Google, che regola l'attività di trattamento, comprende l'"Emendamento sul trattamento dei dati per l'accordo su Google Workspace e/o prodotti complementari" (Addendum all'accordo), datato 24 settembre 2021.

L'Addendum stabilisce, tra l'altro, che:

<blockquote>

"10.1 Strutture per l'archiviazione e l'elaborazione dei dati. Fatti salvi gli impegni di Google in materia di ubicazione dei dati ai sensi dei Termini specifici del servizio e il resto della presente Sezione 10 (Trasferimenti di dati), i Dati del Cliente possono essere elaborati in qualsiasi paese in cui Google o i suoi Subprocessori dispongano di strutture. [...]

<ol start="11"><li>Subprocessori</li></ol>

11.1 Consenso all'assunzione di Subprocessori. Il Cliente autorizza specificamente l'assunzione come Subprocessori delle entità elencate alla Data di entrata in vigore dell'Emendamento all'URL specificato nella Sezione 11.2 (Informazioni sui Subprocessori). Inoltre, fatta salva la Sezione 11.4 (Opportunità di opporsi alle modifiche del Subprocessore), il Cliente autorizza in generale l'assunzione come Subprocessori di qualsiasi altra terza parte ("Nuovi Subprocessori").

11.2 Informazioni sui Subprocessori. Le informazioni sui Subprocessori, comprese le loro funzioni e sedi, sono disponibili all'indirizzo: https://workspace.google.com/intl/en/terms/subprocessors.html (come può essere aggiornato da Google di volta in volta in conformità con il presente Emendamento sul trattamento dei dati)."

</blockquote>

La sezione 11.2 dell'Accordo fa riferimento a un elenco di subprocessori utilizzati allo scopo di fornire Google Workspace for Education. L'elenco comprende un'ampia gamma di subprocessori utilizzati per fornire assistenza tecnica, situati sia nell'UE che in paesi terzi, compresi i paesi terzi in cui la Commissione UE non ha preso una decisione sul livello di protezione dei paesi ai sensi dell'articolo 45. L'elenco comprende anche un gran numero di subprocessori utilizzati per fornire assistenza tecnica.

L'elenco comprende anche un gran numero di filiali di Google utilizzate per attività limitate come Google Workspace, anch'esse situate sia all'interno che all'esterno dell'UE/SEE.

Nella presente decisione, l'autorità di protezione dei dati non ha preso posizione sulla misura in cui il Comune di Helsingør, utilizzando Google Workspace per l'istruzione - oltre agli Stati Uniti, si veda più avanti nella sezione 4.6 - trasferisce dati personali ad altri Paesi terzi, anche se i dati sono "memorizzati" all'interno dell'UE/SEE.

Tuttavia, il GEPD raccomanda che il Comune di Elsinore si assicuri - tra l'altro, esaminando i "Termini specifici del servizio" di Google Workspace di cui al paragrafo 10.1 dell'addendum all'accordo - che i dati, nell'ambito di un trattamento diverso dalla "memorizzazione", ad esempio nell'ambito dell'assistenza generale e del supporto dell'infrastruttura cloud sottostante, ecc.

L'Autorità per la protezione dei dati ritiene che il responsabile del trattamento debba fornire una base valida per il trasferimento a tutti i Paesi terzi verso i quali i dati personali possono essere trasferiti nell'ambito della fornitura di un servizio su base contrattuale, compresi i servizi di assistenza e supporto.

<h3>Trasferimento di dati personali negli Stati Uniti</h3>

Inizialmente, il GEPD rileva che - a suo parere - esiste un trasferimento intenzionale e istruito verso gli Stati Uniti per il Comune di Helsingør in conseguenza della possibilità concordata di fornire assistenza - negli o dagli Stati Uniti - con accesso ai dati personali.

Le norme sul trasferimento verso paesi terzi, compresi i possibili motivi del trasferimento, sono stabilite nel capitolo V del regolamento sulla protezione dei dati.

La regola principale per i trasferimenti di dati personali a paesi terzi è stabilita nel principio generale dell'articolo 44 del GDPR. Questo stabilisce che:

<blockquote>

"Qualsiasi trasferimento di dati personali oggetto di trattamento o destinati al trattamento a seguito di un trasferimento verso un paese terzo o un'organizzazione internazionale può avvenire solo se le condizioni di cui [al capo V] sono soddisfatte, fatte salve le altre disposizioni del presente regolamento, dal responsabile del trattamento e dall'incaricato del trattamento, anche mediante il successivo trasferimento di dati personali da tale paese terzo o organizzazione internazionale a un altro paese terzo o organizzazione internazionale. Tutte le disposizioni del presente capo si applicano per garantire che il livello di protezione garantito alle persone dal presente regolamento non sia compromesso".

</blockquote>

Qualsiasi trasferimento di dati personali può quindi avvenire solo se sono soddisfatte le condizioni del capo V del regolamento.

Il GEPD intende l'articolo 44 del regolamento come un obbligo sia per il responsabile del trattamento che per l'incaricato del trattamento. Entrambe le parti sono pertanto tenute a garantire che sia fornita una base efficace per il trasferimento alla luce di tutte le circostanze del trasferimento stesso. Ciò vale anche nel caso in cui sia l'incaricato del trattamento a concludere un contratto standard ai sensi dell'articolo 46, paragrafo 2, lettera c), del regolamento con eventuali subincaricati in paesi terzi. In questo caso, l'obbligo per il responsabile del trattamento è in pratica quello di garantire - ed essere in grado di dimostrare al GEPD - che l'incaricato del trattamento ha stabilito la necessaria base di trasferimento e che tale base di trasferimento è efficace alla luce di tutte le circostanze del trasferimento, compresa l'attuazione di misure supplementari, se necessario.

Inoltre, il GEPD ritiene che, fatte salve le eccezioni di cui all'articolo 49 del regolamento, la formulazione dell'articolo 44, secondo cui il trasferimento di dati personali può avvenire solo se sono soddisfatte le condizioni di cui al capo V, in combinato disposto con il principio secondo cui il livello di protezione garantito dal regolamento non deve essere compromesso, deve essere intesa nel senso che qualsiasi trasferimento deve essere soggetto a garanzie adeguate. Pertanto, non è sufficiente che quasi tutti i trasferimenti o una percentuale di trasferimenti godano della protezione prevista dal Regolamento, a meno che ciò non sia previsto dal Regolamento stesso.

Uno dei modi per fornire una base valida per i trasferimenti ai sensi del capitolo V è la conclusione di un contratto standard adottato dalla Commissione europea con l'organizzazione del Paese terzo verso cui i dati sono trasferiti, come previsto dall'articolo 46, paragrafo 1, lettera c), del regolamento.

In particolare, il caso mostra che il Comune di Helsingør ha incaricato il suo responsabile del trattamento dei dati - Google Cloud EMEA Limited in Irlanda - di trasferire i dati personali a un subprocessore - Google LLC - negli Stati Uniti. Il trasferimento avviene sulla base di un contratto standard della Commissione europea tra Google Cloud EMEA Limited e Google LLC negli Stati Uniti. Questo contratto standard è stato utilizzato come base per i trasferimenti verso gli Stati Uniti dalla fine di settembre 2021.

Nella causa C-311/18, Schrems II, la Corte di giustizia europea ha chiarito che l'uso dei contratti standard della Commissione europea presuppone che nel Paese terzo interessato possa essere garantito un livello di protezione dei dati personali sostanzialmente equivalente a quello esistente nell'UE/SEE[1].

La CGUE ha inoltre osservato che vi possono essere situazioni in cui il contratto standard della Commissione UE non costituisce "un mezzo adeguato per garantire in pratica l'effettiva protezione dei dati personali trasferiti al paese terzo in questione". Ciò avviene, in particolare, quando la legislazione del paese terzo consente alle sue autorità pubbliche di interferire con i diritti degli interessati in relazione a tali dati"[2].

In questi casi, quando il contratto standard, per sua natura, non può fornire garanzie che vadano oltre l'obbligo contrattuale di assicurare il necessario livello di protezione, possono essere necessarie misure aggiuntive, a seconda delle circostanze nel paese terzo, per assicurare il necessario livello di protezione[3] Tali misure aggiuntive possono essere tecniche, organizzative o contrattuali[4].

È quindi necessario esaminare - caso per caso - se la legislazione del Paese terzo garantisce un livello adeguato di protezione dei dati personali trasferiti sulla base del contratto standard e, se necessario, adottare misure aggiuntive rispetto al contratto standard[5].

La CGUE ha anche valutato se una determinata legislazione statunitense - la sezione 702 del Foreign Intelligence Surveillance Act (FISA) e l'Executive Order 12 333 (E.O. 12 333) - consenta alle autorità pubbliche statunitensi di interferire con i diritti degli interessati in misura non conforme ai requisiti minimi del diritto dell'UE.

La sezione 702 della FISA (FISA 702) autorizza il governo degli Stati Uniti a ottenere informazioni su persone che non sono cittadini statunitensi, ecc. ("persone non statunitensi"), e che si può ragionevolmente ritenere si trovino al di fuori degli Stati Uniti, allo scopo di raccogliere informazioni di intelligence straniera ("informazioni di intelligence straniera"). A tal fine vengono impartite direttive ai "fornitori di servizi di comunicazione elettronica" affinché forniscano o facciano fornire informazioni personali inviate o ricevute da un "selettore", mentre una parte di queste comunicazioni viene divulgata anche alle autorità preposte all'applicazione della legge[6].

Per quanto riguarda l'E.O. 12333, questa base legale consente alle forze dell'ordine di accedere alle informazioni "in transito" verso gli Stati Uniti accedendo ai cavi sottomarini, e di raccogliere e conservare tali informazioni prima che raggiungano gli Stati Uniti e diventino soggette alle disposizioni FISA.[7]

La CGUE ha quindi affermato che né la sezione 702 della FISA né la E.O. 12 333, letta in combinazione con la Presidential Policy Directive-28 (PPD-28), soddisfano il requisito di proporzionalità del diritto dell'UE, con il risultato che i programmi di sorveglianza basati su queste disposizioni non possono essere considerati limitati allo stretto necessario. La Corte ha inoltre affermato che il FISA 702 o l'E.O. 12 333, in combinato disposto con la PDD-28, non conferiscono alle persone interessate diritti opponibili alle autorità statunitensi dinanzi ai tribunali[8].

Nel valutare se negli Stati Uniti esistano circostanze che impediscono al contratto standard utilizzato come base per il trasferimento di essere un mezzo sufficiente per garantire un livello di protezione sostanzialmente equivalente a quello all'interno dell'UE/SEE, il Comune di Elsinore ha dichiarato che è probabile che Google LLC debba essere considerato un "fornitore di servizi di comunicazione elettronica", come tale termine è definito nel 50 U.S.C. § 1881(b)(4).

Allo stesso modo, la DPA ritiene che Google LLC - nel fornire il servizio (assistenza, ecc.) che dà luogo al trasferimento di dati personali - debba essere considerato un "fornitore di servizi di comunicazione elettronica" e quindi possa essere soggetto a direttive di applicazione della legge ai sensi del FISA 702.

Inoltre, il Comune di Helsingør ha sostenuto che vi è un'alta probabilità che le informazioni disponibili a Google LLC di per sé non siano accessibili ai sensi del FISA 702, poiché i dati personali non sono trasferiti da Google LLC, ma a Google LLC allo scopo di fornire assistenza. In particolare, il Comune di Elsinore ha sostenuto che si tratta di una comunicazione elettronica a una "persona statunitense" e che alle autorità di polizia è quindi precluso ottenere queste informazioni alla luce delle restrizioni previste dal FISA 702. Inoltre, il Comune sostiene che le informazioni personali trasferite a Google LLC non costituiscono informazioni personali di "persone statunitensi" e che, per questo motivo, le autorità preposte all'applicazione della legge non possono raccogliere tali informazioni ai sensi del FISA 702.

Dopo aver esaminato le restrizioni legali alla raccolta di informazioni ai sensi della norma FISA 702[9], il GEPD è del parere che tali restrizioni siano volte a impedire la raccolta - sia diretta che indiretta - di informazioni su persone statunitensi, comprese le società, quando tali persone sono l'obiettivo della raccolta.

Pertanto, secondo la FSA, le restrizioni non si applicano se e nella misura in cui i cittadini danesi o la municipalità di Helsingør nel suo complesso diventano oggetto della raccolta di informazioni ai sensi del FISA 702.

Inoltre, il DPA ritiene che il FISA 702, per il suo scopo, fornisca una base giuridica alle autorità statunitensi preposte all'applicazione della legge per ottenere informazioni su persone straniere che si può ragionevolmente ritenere si trovino al di fuori degli Stati Uniti allo scopo di raccogliere informazioni di intelligence straniera.

In questo contesto, il GEPD ritiene che i dati personali trasferiti a Google LLC possano essere ottenuti dalle autorità statunitensi preposte all'applicazione della legge. Nel fare ciò, il GEPD ha posto l'accento sul fatto che Google LLC deve essere considerato un "fornitore di servizi di comunicazione elettronica" e che i dati personali trasferiti a Google LLC riguardano gli alunni e i dipendenti del comune, ossia cittadini danesi.

L'Autorità per la protezione dei dati ritiene quindi che il trasferimento dei dati in questione sia soggetto a condizioni negli Stati Uniti che impediscono al contratto standard utilizzato come base per il trasferimento di essere un mezzo sufficiente per garantire un livello di protezione sostanzialmente equivalente a quello all'interno dell'UE/SEE. Il Comune di Helsingør è pertanto tenuto a garantire l'adozione di misure aggiuntive per portare il livello di protezione al livello richiesto.

In particolare, il GEPD rileva che le misure integrative contrattuali e organizzative non sono generalmente in grado di contrastare l'accesso o la raccolta di dati personali da parte delle autorità statunitensi preposte all'applicazione della legge a fini di sorveglianza. Pertanto, saranno necessarie ulteriori misure tecniche.

Il Comune di Helsingør ha dichiarato che i dati personali sono criptati sia in transito che a riposo quando vengono trasferiti ed elaborati da Google LLC. Tuttavia, il Comune ha anche indicato che Google LLC può accedere ai dati in chiaro.

Il GEPD ritiene che la cifratura possa essere una misura supplementare efficace, adatta a integrare il contratto standard della Commissione UE e a portare il livello di protezione in un paese terzo al livello europeo richiesto.

Tuttavia, il GEPD ritiene che, nel caso in questione, la cifratura non sia adatta a risolvere le condizioni degli Stati Uniti che impediscono al contratto standard di essere un mezzo sufficiente per garantire l'effettiva protezione dei dati personali trasferiti.

A tale proposito, il GEPD ha tenuto conto del fatto che la raccolta di dati personali da parte delle autorità statunitensi preposte all'applicazione della legge ai sensi della norma FISA 702 viene effettuata impartendo direttive ai fornitori di servizi di comunicazione elettronica e richiede pertanto la loro assistenza, e che in tali circostanze i dati personali trasferiti possono essere ottenuti ai sensi della norma FISA 702, in quanto Google LLC ha accesso ai dati in chiaro.

Di conseguenza, il GEPD ritiene che i dati personali che il Comune di Helsingør ha incaricato Google Cloud EMEA Limited di trasferire negli Stati Uniti non godano di un livello di protezione sostanzialmente equivalente a quello dell'UE/SEE e che il Comune di Helsingør non abbia adottato le misure supplementari necessarie per portare il livello di protezione a quello richiesto.

Il GEPD ritiene pertanto che il trasferimento di dati personali che il comune di Helsingør ha incaricato Google Cloud EMEA Limited di effettuare non sia conforme all'articolo 44 del regolamento sulla protezione dei dati, cfr. articolo 46, paragrafo 1, lettera c).

<h3>Sintesi</h3>

Alla luce dell'ingiunzione emessa il 10 settembre 2021 e della limitazione del trattamento emessa nella stessa data, e a seguito di un esame della valutazione dei rischi effettuata dal Comune di Helsingør e della documentazione del Comune in generale, il Garante per la protezione dei dati personali ritiene che vi siano motivi per vietare al Comune di Helsingør di trattare i dati personali utilizzando i Chromebook e Workspace for Education di Google. Il divieto si applica fino a quando il Comune di Helsingør non avrà reso l'attività di trattamento conforme al GDPR, come stabilito nella presente decisione, e non avrà prodotto una documentazione adeguata a tal fine.

Inoltre, qualsiasi trasferimento di dati personali verso gli Stati Uniti che il Comune di Helsingør ha incaricato Google Cloud EMEA Limited di effettuare in qualità di responsabile del trattamento dei dati per il Comune è sospeso fino a quando il Comune di Helsingør non sarà in grado di dimostrare la conformità al capitolo V del GDPR.

Il divieto e la sospensione avranno effetto immediato, ma al Comune di Helsingør sarà concesso un periodo fino al 3 agosto 2022 per ritirare e terminare utenti e diritti, nonché per cancellare i dati già trasferiti.

I divieti sono emessi ai sensi dell'articolo 58, paragrafo 2, lettere f) e j), del regolamento sulla protezione dei dati.

La violazione di un divieto emesso dall'Autorità per la protezione dei dati personali è punibile ai sensi dell'articolo 41, paragrafo 2, comma 4, della legge sulla protezione dei dati con un'ammenda o con la reclusione per un periodo non superiore a sei mesi, cfr. articolo 41, paragrafo 1.

Infine, il Garante per la protezione dei dati personali trova motivi per criticare seriamente il fatto che il trattamento dei dati personali da parte del Comune di Helsingør non sia stato effettuato in conformità all'articolo 5, paragrafo 2, del regolamento sulla protezione dei dati, cfr. articolo 5, paragrafo 1, lettera a), articolo 24, cfr. articolo 28, paragrafo 1, articolo 35, paragrafo 1, e articolo 44, cfr. articolo 46, paragrafo 1.

<h3>Scelta delle misure correttive</h3>

Nella scelta del rimedio, il GEPD ha posto l'accento sulla necessità di porre rapidamente fine alla situazione illecita. Inoltre, il GEPD ha attribuito un peso attenuante al fatto che il comune di Helsingør - in tutte le fasi del trattamento del caso - ha contribuito in modo positivo e responsabile a fornire la documentazione necessaria e la chiarezza sulle operazioni di trattamento, e ha dato particolare importanza al fatto che i trasferimenti di dati personali in questione verso gli Stati Uniti erano precedentemente soggetti a un accertamento di adeguatezza ai sensi dell'articolo 45 del regolamento, che è scaduto.

<h2>Osservazioni conclusive</h2>

Il GEPD rileva che spetta al Comune di Helsingør rettificare e cancellare i dati in conformità alla decisione. Il comune deve pertanto contattare i genitori dei bambini interessati per effettuare le rettifiche, le anonimizzazioni o le cancellazioni dei dati personali registrati che i genitori stessi non possono effettuare nei sistemi in cui i dati personali degli alunni sono stati inavvertitamente pubblicati o trasmessi.

</blockquote>

Vedi la fonte su datatilsynet.dk (danese).

</blockquote>

Solo due settimane dopo l'Italia, la Danimarca diventa il quarto Paese a sanzionare Google. Come previsto, sempre più Paesi membri dell'UE giungono alla stessa conclusione: I prodotti di Google violano la legge dell'UE.

  1. La Danimarca vieta Google Workspace ai comuni
  2. Perché gli Stati membri dell'UE stanno vietando Google Analytics?
  3. Perché non c'è un nuovo scudo per la privacy con gli Stati Uniti?
  4. Aggiornamenti
  5. Cosa ci riserverà il futuro?
Logo of the Government of the United KingdomThe UK Government chose Simple AnalyticsJoin them

La Danimarca vieta Google Workspace ai comuni

Nella sua dichiarazione, l'Autorità danese per la protezione dei dati (DPA) ha esaminato un caso specifico, ovvero l'uso di Chromebook e Workspace da parte del comune di Helsingør.

Nel settembre 2021, l'autorità danese per la protezione dei dati ha emesso una decisione che ordinava al comune di Helsingør di condurre una valutazione dei rischi relativi al trattamento dei dati personali nelle scuole elementari.

Sulla base dei risultati della valutazione, il DPA ha rilevato che il trattamento non è conforme ai requisiti del GDPR. Il DPA ha concluso che i dati potrebbero essere trasferiti a Paesi terzi (leggi Stati Uniti) senza il livello di sicurezza richiesto.

Alla luce di questa conclusione, il comune di Helsingør è stato sospeso dalle operazioni di trattamento che comportano il trasferimento di dati personali negli Stati Uniti. Inoltre, ha ricevuto un divieto generale di trattamento con Google Workspace dalla DPA danese.

La DPA ha aggiunto che le decisioni saranno probabilmente applicate ad altri comuni che utilizzano lo stesso progetto di trattamento.

La sospensione avrà effetto immediato, ma il comune di Helsingør ha tempo fino al 3 agosto 2022 per cancellare i dati già trasferiti.

Nella dichiarazione di Datatilsynet DK, le sanzioni si applicano solo ai comuni. Abbiamo contattato Allan Frank, che ha redatto questa dichiarazione in qualità di specialista di sicurezza informatica e avvocato presso l'agenzia danese per la protezione dei dati (Datatilsynet DK). Abbiamo chiesto se le sanzioni si applicano solo ai comuni o in generale. La sua risposta è stata:

"Sia sì che no, questa dichiarazione riguarda i chromebook e lo spazio di lavoro nelle scuole pubbliche danesi. Ma questi principi si applicano a tutti i servizi forniti in cloud, ma in Danimarca prendiamo decisioni in casi specifici. Possono essere applicati ad altre situazioni (simili) solo se il fatto giuridico può essere considerato lo stesso".

Riteniamo che la base giuridica per le aziende sia la stessa. Esse inviano i dati personali negli Stati Uniti, soprattutto perché non è la prima agenzia di protezione dei dati nell'UE a vietare i prodotti di Google. Tuttavia, non è ancora stata presa una decisione formale per le aziende regolari.

Denmark bans Google Products

Perché gli Stati membri dell'UE stanno vietando Google Analytics?

Dobbiamo risalire al luglio 2020, quando NOYB (una ONG per i diritti digitali) ha presentato un reclamo in cui sosteneva che il trasferimento dei dati verso gli Stati Uniti violava il GDPR. Questo è diventato noto come Schrems II.

L'unico mandato del GDPR è quello di proteggere la privacy dei cittadini dell'UE. Quando i dati personali vengono trasferiti negli Stati Uniti, questo non è più garantito. Google (e molti altri) si qualifica come "fornitore di servizi di comunicazione elettronica", il che significa che Google è obbligato a rivelare i dati ai servizi segreti statunitensi (se richiesto). Di conseguenza, i dati personali dei cittadini europei non sono sufficientemente protetti quando vengono trasferiti all'estero.

Il NOYB ha invalidato con successo lo scudo per la privacy (messo in atto per salvaguardare il trasferimento dei dati) e ulteriori misure di Google sono state dichiarate insufficienti.

La Francia (CNIL) ha vietato Google Analytics a febbraio di quest'anno e ha fornito nuove linee guida a giugno. Nel periodo intercorso tra questi eventi, Google ha proposto diverse soluzioni che sono state tutte gettate alle ortiche:

  • Soluzione 1: l'anonimizzazione dei dati personali.
  • Soluzione 2: l'uso di identificatori unici.

In primo luogo, Google non ha potuto dimostrare che l'anonimizzazione dei dati è avvenuta prima del trasferimento dei dati negli Stati Uniti. In secondo luogo, Google può arricchire gli identificatori unici e combinarli con altri dati. La CNIL ha concluso che è ancora tecnicamente impossibile utilizzare Google Analytics in modo conforme al GDPR.

Finché i dati personali dei cittadini dell'UE non saranno pienamente protetti, i prodotti di Google violeranno la legge dell'UE.

Perché non c'è un nuovo scudo per la privacy con gli Stati Uniti?

Poco dopo che la Francia (CNIL) ha vietato Google Analytics a febbraio, l'UE e gli USA hanno raggiunto un accordo. È possibile leggere entrambe le dichiarazioni qui e qui. L'accordo, tuttavia, era di natura politica, senza alcun documento legale. In altre parole, l'accordo non ha alcun valore legale.

Per raggiungere un accordo che funzioni, abbiamo bisogno di un documento legale che gli avvocati possano analizzare. La sua stesura potrebbe richiedere un po' di tempo. Il secondo passo è che la Commissione europea dovrà prendere una "decisione di adeguatezza" in merito, che dovrà essere esaminata prima dall'EDPD (European Data Protection).

Dall'altra parte dell'oceano, il Presidente Biden deve firmare un ordine esecutivo. Anche questo processo richiederà diversi mesi e potrà essere avviato solo in presenza di un documento legale. Infine, l'accordo deve essere formalmente approvato prima che le organizzazioni possano utilizzarlo.

Il recente annuncio ha fatto sembrare un accordo molto vicino, ma siamo ancora lontani da un accordo valido. Nel frattempo, continuare a utilizzare i prodotti Google è contrario alla legge dell'UE.

Aggiornamenti

Il nuovo quadro per il trasferimento dei dati con gli Stati Uniti è in dirittura d'arrivo. La Commissione europea ha pubblicato una bozza di proposta. L'approvazione degli Stati membri è quasi certa, ma la bozza sarà sicuramente contestata dalla Corte di giustizia. In altre parole, si prospetta una sentenza Schrems III. È difficile dire come andrà a finire, quindi il futuro dei trasferimenti di dati rimane incerto.

Ci sono aggiornamenti anche sul caso Google Workspace:

  • la DPA ha preso un'altra decisione sul caso nell'agosto 2022, confermando la sua posizione
  • nel settembre 2022 la DPA ha ordinato ad altri 50 comuni di rendere conforme il loro trattamento dei dati. Nel frattempo, l'ordine di non utilizzare Google Workspace è stato sospeso per il Comune di Helsingor.
  • i comuni e Google hanno discusso le questioni relative alla privacy e hanno fornito alla DPA una nuova documentazione su Google Workspace. La DPA esaminerà nuovamente il caso.

La DPA ha inoltre pubblicato un comunicato stampa sull'uso di Google Analytics nel settembre 2022. In termini pratici, la DPA ha sostanzialmente vietato l'uso di Google Analytics in Danimarca, seguendo l'esempio delle autorità austriache, francesi e italiane. Per saperne di più sul comunicato stampa, cliccate qui.

Cosa ci riserverà il futuro?

Prima di parlare del futuro, diamo uno sguardo al passato. Finora abbiamo visto:

  • Agosto 2020: Schrems ii invalida il Privacy Shield
  • Dicembre 2021: Austria (DSB) vieta Google Analytics
  • Febbraio 2022: la Francia (CNIL) vieta Google Analytics
  • Marzo 2022: UE e USA raggiungono un accordo politico
  • Giugno 2022: l'Italia vieta Google Analytics
  • Giugno 2022: la DPA irlandese si avvicina al divieto UE per Facebook
  • Luglio 2022: la Danimarca vieta i prodotti Google.

Le agenzie per la protezione dei dati stanno finalmente mostrando i denti vietando Google Analytics fino a quando non verranno adottate misure adeguate.

La lotta per la privacy è in corso e, finché non si raggiungerà un accordo, vedremo sempre più Stati membri dell'UE concludere che i trasferimenti di dati verso gli Stati Uniti violano la legge GDPR.

Ovviamente siamo un po' prevenuti su questa notizia, perché gestiamo un concorrente di Google Analytics. Ma lo facciamo perché ci interessa. Crediamo davvero che sia possibile fornire valore anche senza tracciare le persone. Ecco perché abbiamo creato Simple Analytics, uno strumento di analisi incentrato sulla privacy. Volete sapere come siamo messi? Leggete il nostro post sul blog o provateci. Grazie per la lettura e lottiamo per un futuro più privato!

GA4 è complesso. Prova Simple Analytics

GA4 è come sedersi in cabina di un aereo senza licenza di pilota

Inizia prova di 14 giorni