La panoramica completa: Dai 101 reclami noyb al divieto di Google Analytics

Image of Carlo Cilento

Pubblicato il 16 ago 2022 e modificato il 15 ago 2023 da Carlo Cilento

Il 2022 è stato un anno molto caldo per la protezione dei dati, con autorità di controllo che si sono pronunciate a destra e a manca contro Google Analytics. Abbiamo fatto del nostro meglio per aggiornarvi su tutti gli eventi in corso, ma anche per noi è difficile tenere il passo. Ecco una panoramica della lunga vicenda del trasferimento dei dati a partire da Schrems II nel 2020 fino a oggi. Lo scopo è quello di fornire una migliore comprensione di dove siamo ora e forse intravedere un po' la direzione che stiamo prendendo.

  1. Calendario
  2. I trasferimenti di dati in breve
  3. Schrems II e Privacy Shield
  4. I 101 reclami di Noyb e la task force EDPB
  5. Austria, Francia e Italia vietano Google Analytics
  6. Il GEPD rimprovera il Parlamento europeo
  7. L'Irlanda (DPC) ordina a Meta di sospendere i trasferimenti di dati
  8. La Camera degli appalti del Baden-Württemberg
  9. La decisione della DPA danese
  10. I negoziati sull'accordo di trasferimento dei dati
  11. Riflessioni finali
Logo of the Government of the United KingdomThe UK Government chose Simple AnalyticsJoin them

Scaviamo!

Calendario

  • Luglio 2020: la CGUE emette il rinvio pregiudiziale Schrems II
  • Agosto 2020: la noyb presenta i 101 reclami
  • Settembre 2020: il Comitato europeo per la protezione dei dati istituisce una task force
  • Dicembre 2021: decisione della DPA austriaca
  • Gennaio 2022: decisione del Garante europeo per la protezione dei dati personali
  • febbraio 2022: decisione dell'autorità di protezione dei dati francese
  • giugno 2022: decisione dell'autorità di protezione dei dati italiana
  • Luglio 2022: il DPA irlandese annuncia una bozza di decisione che sospende i trasferimenti di dati di Meta Ireland
  • Luglio 2022: l'autorità tedesca per gli appalti ritiene illegale il trasferimento di dati negli Stati Uniti
  • Luglio 2022: decisione dell'autorità di protezione dei dati danese

I trasferimenti di dati in breve

Prima di immergerci nella decisione di Schrems II, è necessario un po' di contesto. Ai sensi del GDPR, i trasferimenti di dati al di fuori del SEE sono possibili solo se i dati personali sono adeguatamente protetti. Tale protezione può essere garantita in due modi:

  1. Trasferendo i dati in un Paese terzo coperto da una "decisione di adeguatezza". Si tratta di una decisione della Commissione europea: la Commissione valuta le norme di protezione dei dati in un Paese terzo e in sostanza dà il via libera ai trasferimenti di dati verso quel Paese. Le decisioni di adeguatezza sono il meccanismo più semplice e senza problemi per il trasferimento dei dati, ma sono state adottate solo per un numero limitato di Paesi.
  2. Attraverso le clausole contrattuali standard (SSC) elaborate dalla Commissione europea, che devono essere incorporate in un accordo giuridicamente vincolante con il responsabile del trattamento. Quando trasferiscono i dati sulla base delle SSC, le aziende devono valutare se le clausole funzionano effettivamente nel Paese terzo. In altre parole, l'esportatore di dati non può limitarsi a incorporare le SCC nell'accordo di trattamento dei dati e chiudere la questione, ma deve assicurarsi che le SCC offrano una protezione adeguata nella pratica e implementare garanzie aggiuntive se necessario.

Schrems II e Privacy Shield

Per gli Stati Uniti era disponibile una "decisione di adeguatezza", basata su un accordo di trasferimento dei dati noto come Privacy Shield. Tuttavia, nella causa Schrems II, la Corte di giustizia ha stabilito che il Privacy Shield non garantiva una protezione sufficiente dei dati personali e ha invalidato la decisione di adeguatezza.

La Corte ha tuttavia sottolineato che, quando ci si affida agli SCC, sono necessarie ulteriori garanzie per i trasferimenti di dati negli Stati Uniti: senza tali garanzie, i trasferimenti basati sugli SCC sono illegali. Fornire queste garanzie per un trasferimento di dati negli Stati Uniti non è un compito facile, poiché molte società statunitensi (tra cui Google e Meta) sono considerate "fornitori di comunicazioni elettroniche" ai sensi della legislazione statunitense in materia di sorveglianza. Ciò significa che devono soddisfare qualsiasi richiesta di dati da parte della NSA.

Purtroppo, le aziende possono fare ben poco per garantire un'adeguata protezione dei dati in questo scenario. Inoltre, i giganti tecnologici come Google, AWS e altri si affidano in genere a contratti standard "prendere o lasciare", senza lasciare ai clienti la possibilità di negoziare ulteriori clausole di salvaguardia.

In questo difficile scenario, alcune aziende hanno adottato un approccio basato sul rischio: in sostanza, sostengono che i loro trasferimenti sono sicuri perché è improbabile che i dati che esportano siano effettivamente oggetto di un ordine FISA, anche se ciò potrebbe essere teoricamente possibile. Come abbiamo visto, alcune autorità di protezione dei dati hanno iniziato a respingere questo approccio.

complete overview of banning google analytics

I 101 reclami di Noyb e la task force EDPB

Nell'estate del 2020, subito dopo la sentenza Schrems II, Noyb ha presentato 101 reclami a varie autorità di controllo europee. Noyb è una ONG per la tutela della privacy presieduta da Max Schrems (sì, quello della sentenza Schrems II). I 101 reclami sono incentrati sul trasferimento dei dati e non si rivolgono direttamente a Facebook o a Google: sono diretti contro siti web di testate giornalistiche online o di società commerciali che utilizzano Meta o Google come responsabili del trattamento dei dati.

Tutti i reclami hanno un contenuto simile e rappresentano una strategia per spingere le DPA europee (le autorità per la protezione dei dati in ogni Paese) a un'applicazione più rigorosa del GDPR per quanto riguarda i trasferimenti di dati.

In poche parole, i siti web utilizzano le società europee Google Ireland/Meta Platforms Ireland come responsabili del trattamento dei dati, che a loro volta si affidano alle loro società madri negli Stati Uniti per il trattamento dei dati (in gergo legale sono subprocessori). Noyb ritiene che i trasferimenti di dati tra Google Ireland/Meta Platforms Ireland e le loro società madri siano illegali ai sensi del GDPR e sostiene che le aziende non dovrebbero essere autorizzate ad affidarsi a servizi che richiedono tali trasferimenti (come Google Analytics).

Nel settembre 2020, il Comitato europeo per la protezione dei dati (EDPB) ha annunciato la creazione di una task force per gestire i 101 reclami di Noyb. Pochi dettagli sui lavori della task force sono stati resi pubblici, ma sappiamo che le autorità di protezione dei dati hanno lavorato per trovare un approccio coerente alla gestione dei reclami. L'importanza di questo punto non sarà mai sottolineata abbastanza: le recenti decisioni che hanno fatto notizia riflettono un approccio coordinato, rendendo ancora più probabile che altre autorità di vigilanza ne seguano l'esempio.

do you really need google analytics

Austria, Francia e Italia vietano Google Analytics

La prima decisione sui 101 reclami è arrivata nel dicembre 2021 dalla DPA austriaca (DSB). Altri due reclami sono stati accolti nel 2022 da due delle autorità di vigilanza più influenti e rispettate d'Europa: il CNIL francese e il Garante italiano.

Le analogie tra le decisioni riflettono chiaramente un approccio comune all'applicazione del capitolo V del GDPR:

  • L'approccio basato sul rischio ai trasferimenti di dati è stato esplicitamente respinto.
  • Le garanzie aggiuntive implementate da Google sono state ritenute insufficienti. Queste includono la crittografia (non end-to-end) dei dati memorizzati, poiché le chiavi di de-crittografia erano in possesso di Google e potevano essere richieste dalle agenzie statunitensi in base a un ordine FISA insieme ai dati mirati.
  • L'opzione di anonimizzazione dell'IP di Google Analytics è stata considerata una forma di pseudonimizzazione piuttosto che di anonimizzazione completa. Ciò significa che l'indirizzo IP degli utenti del sito è ancora considerato un dato personale anche quando viene "anonimizzato" da Google.
  • Non sono state comminate multe. Le autorità per la protezione dei dati cercano soprattutto di chiarire che le regole sul trasferimento dei dati saranno applicate più rigorosamente in futuro. Al momento non intendono punire le aziende, a condizione che prendano sul serio le osservazioni del supervisore e che eliminino rapidamente Google Analytics dopo la presentazione del reclamo.

Il GEPD rimprovera il Parlamento europeo

Nel gennaio 2022, il Garante europeo della protezione dei dati ha rimproverato il Parlamento europeo per aver incorporato i cookie di Google Analytics e Stripe (una società di pagamenti) in un sito web senza informare gli utenti e raccogliere il loro consenso.

Il sito era un sito interno di test del coronavirus per i membri del Parlamento europeo. Il Parlamento ha esternalizzato lo sviluppo del sito e gli sviluppatori hanno copiato parte del codice da un altro sito web che avevano sviluppato, comprese le funzionalità di analisi non necessarie.

La decisione del GEPD si è soffermata solo brevemente sui trasferimenti di dati, rilevando la totale mancanza di salvaguardie al riguardo. Tuttavia, non ha attirato l'attenzione quanto i 101 reclami.

L'Irlanda (DPC) ordina a Meta di sospendere i trasferimenti di dati

Nel luglio 2022, il DPA irlandese (DPC) ha annunciato una bozza di decisione che ordina a Meta Ireland di sospendere i trasferimenti per i suoi servizi Facebook e Instagram. La bozza è il risultato di una lunga indagine del DPC. La bozza non è disponibile al pubblico, ma la questione centrale della decisione è il trasferimento di dati personali basato su SCC.

Il caso Meta è tutt'altro che concluso. La decisione fa parte di una complessa procedura che coinvolge l'EDPB e altre DPA europee potrebbero sollevare obiezioni, ritardando ulteriormente il processo. Tuttavia, l'annuncio è comunque significativo.

Molte società statunitensi (tra cui Meta e Google) hanno la loro sede europea o società spin-off in Irlanda, e la DPA irlandese è piuttosto lassista nel controllarle. L'ordine di sospendere i trasferimenti da parte di un supervisore notoriamente morbido potrebbe significare un'imminente era di applicazione più severa delle norme sui trasferimenti previste dal GDPR, che potrebbe riguardare innumerevoli servizi e aziende, tra cui Google e Google Analytics.

La Camera degli appalti del Baden-Württemberg

Un altro caso interessante è stato deciso nel luglio 2022. Il caso riguardava una procedura di appalto pubblico per un software di gestione digitale. L'azienda vincitrice si sarebbe affidata ad AWS Europe (Amazon Web Service EMEA SARL) come processore. Sebbene i dati fossero interamente localizzati nell'UE, la società madre statunitense AWS Inc. poteva accedere ai dati personali per "mantenere e fornire il servizio" e "rispettare la legge o un ordine valido e vincolante di un ente governativo".

La Camera degli appalti ha ritenuto che tale divulgazione costituisse un trasferimento di dati ai sensi del GDPR. La Camera ha inoltre ritenuto illegale il trasferimento dei dati, in quanto le garanzie aggiuntive in vigore sono risultate carenti e gli SCC da soli non garantiscono una protezione sufficiente.

La decisione stessa è tutt'altro che chiara. L'autorità che decide non è un'autorità di protezione dei dati, né è tipicamente coinvolta nell'interpretazione del GDPR. Punti molto importanti della decisione sono appena accennati, lasciando al lettore il compito di dedurre il ragionamento. Detto questo, questa decisione potrebbe essere un segno che una posizione dura sui trasferimenti di dati sta iniziando a farsi strada al di fuori dei confini ristretti della legge sulla protezione dei dati in senso stretto, e sta guadagnando slancio nel panorama giuridico più ampio.

Caption of the image

La decisione della DPA danese

L'ultimo capitolo della storia è la decisione dell'autorità danese per la protezione dei dati (Datatilsynet). Nel luglio 2022, l'autorità di vigilanza ha vietato al comune di Helsingør di utilizzare Google Workspace nelle scuole. Sebbene la DPA abbia evidenziato diversi problemi di privacy, il trasferimento dei dati è stato il punto focale della decisione.

Le operazioni di trattamento hanno coinvolto sia la società madre Google LLC sia la società Google Cloud EMEA Ltd, con sede in Irlanda. Nel caso in questione, il comune utilizzava un'impostazione di localizzazione dei dati disponibile su Google Workspace. Di conseguenza, tutti i dati sono stati archiviati nei server europei di Google Cloud EMEA e Google LLC si è occupata solo dell'assistenza tecnica. Tuttavia, affinché Google LLC fornisse assistenza, Google Cloud EMEA avrebbe trasferito i dati nell'ambito di SCC, compresi i dati personali accessibili in chiaro. L'autorità per la protezione dei dati ha ritenuto che questo trasferimento fosse privo di garanzie adeguate e lo ha vietato.

Il DSB ha avvertito che le stesse conclusioni si sarebbero probabilmente applicate ad altri comuni che utilizzano Google Workspace. Al momento in cui scriviamo, l'autorità di vigilanza si sta occupando di questi casi e probabilmente seguiranno decisioni simili.

In particolare, il caso non riguardava Google Analytics e la DPA danese non è stata coinvolta nei 101 reclami. La decisione potrebbe essere un segno che l'approccio rigido iniziato con i 101 reclami sta prendendo piede anche in altri casi. Se così fosse, la questione sarebbe molto più importante del "divieto di Google Analytics".

I negoziati sull'accordo di trasferimento dei dati

Attualmente la Commissione europea e gli Stati Uniti stanno negoziando un nuovo accordo per il trasferimento dei dati. Tale accordo sarà probabilmente contestato dalla Corte di Giustizia.

Non essendo disponibile alcun documento legale, è difficile prevedere l'esito di un'eventuale sentenza "Schrems III". Sappiamo però che gli Stati Uniti non stanno lavorando a una riforma legislativa della sorveglianza di Stato: al momento in cui scriviamo, infatti, è stato proposto al Congresso il primo disegno di legge federale sulla privacy, che non limita i poteri di sorveglianza della NSA ai sensi della FISA. Senza una riforma legislativa, è probabile che l'accordo non resista all'esame della Corte di giustizia.

Riflessioni finali

Il sistema di applicazione del GDPR è un meccanismo complesso che coinvolge diversi attori: le autorità di vigilanza nazionali, l'EDPB, i tribunali nazionali degli Stati membri e la Corte di giustizia dell'UE. Prevedere la direzione futura dell'applicazione del GDPR non è un compito facile, ma tutti i segnali sembrano puntare in una direzione. È probabile che stia per arrivare un'era di applicazione rigorosa delle norme sul trasferimento dei dati, ed è ora di prepararsi per essere all'avanguardia.

Le recenti decisioni dei membri dell'UE (Francia, Austria e Italia) fanno parte di un approccio coordinato. Per questo motivo, ci aspettiamo che altri membri dell'UE seguano l'esempio.

Le organizzazioni devono adattarsi ed essere pronte a navigare in questo ambiente commerciale in continua evoluzione. Devono capire di quali dati hanno realmente bisogno per prendere decisioni e raccoglierli in modo etico. È possibile, e sarete sorpresi da quanti dati vengono raccolti per il gusto di farlo.

Crediamo che non si tratti solo di rispettare la legge. Va oltre. Crediamo nella creazione di un web indipendente che sia amichevole per i visitatori del sito. Per questo motivo abbiamo costruito Simple Analytics senza meccanismi di tracciamento e senza la possibilità di raccogliere dati personali, pur fornendovi le informazioni di cui avete bisogno. Se tutto questo vi convince, non esitate a provarci.

GA4 è complesso. Prova Simple Analytics

GA4 è come sedersi in cabina di un aereo senza licenza di pilota

Inizia prova di 14 giorni