Il 23 giugno l'Autorità svedese per la protezione dei dati (IMY) ha emesso quattro decisioni contro aziende che utilizzavano Google Analytics. Tutte le decisioni hanno ritenuto l'uso di Google Analytics incompatibile con il GDPR. Questa volta sono state emesse due multe, una delle quali di 1 milione di euro.
Il comunicato stampa sul sito web dell'IMY fornisce una bella panoramica di alto livello del contesto legale delle decisioni, ma c'è molto altro da approfondire. Diamo quindi un'occhiata più da vicino alla decisione e al suo significato per l'uso di Google Analytics.
Le questioni legali
Tutte e quattro le decisioni derivano dai 101 reclami della ONG noyb contro Google Analytics e Facebook Connect. noyb ha già intentato con successo cause identiche in altri Paesi e queste decisioni sono più o meno la stessa cosa, ovvero il loro contenuto legale è un'applicazione delle decisioni Schrems II della Corte di giustizia.
La sentenza Schrems II richiede alle aziende che trasferiscono dati negli Stati Uniti di implementare ulteriori garanzie oltre a quelle "standard" richieste dal GDPR per tutti i trasferimenti di dati (nella maggior parte dei casi, le clausole contrattuali standard redatte dalla Commissione UE). Queste garanzie sono necessarie a causa del rischio di sorveglianza statale sui dati esteri, come evidenziato dai file di Snowden.
Ma queste garanzie sono molto difficili da attuare e del tutto impossibili da adottare per Google Analytics. Questo perché Google Analytics ha bisogno di individuare con precisione i visitatori per funzionare!
In ognuna delle quattro decisioni svedesi:
- una persona interessata, rappresentata da noyb, ha denunciato che il sito web della società ha trasferito illegalmente i suoi dati personali negli Stati Uniti
- la società ha elencato le misure di sicurezza adottate, nonché le misure di sicurezza adottate da Google per garantire il trasferimento dei dati
- l'autorità per la protezione dei dati ha ritenuto insufficienti tutte queste misure e ha ordinato alle società di sospendere l'uso di Google Analytics.
Quali sono le novità delle decisioni?
Sebbene le questioni giuridiche fondamentali siano le stesse di tutte le altre decisioni contro Google Analytics, le decisioni sono interessanti per alcuni aspetti.
Il primo è che sono state emesse delle multe. In effetti, il più grande dei quattro - il gigante svedese delle telecomunicazioni Tele2- è stato multato di 1 milione di euro.
Altre autorità per la protezione dei dati hanno preferito un approccio più morbido e si sono limitate a ordinare alle aziende di eliminare l'uso di Google Analytics. Sarà interessante vedere se altre autorità seguiranno l'esempio dell'IMY. In tal caso, Google Analytics potrebbe diventare una violazione costosa in futuro!
Un altro aspetto interessante della decisione è che due delle aziende stavano effettivamente implementando misure tecniche di salvaguardia. In altre parole, stavano effettivamente facendo qualcosa per cercare di mantenere i dati al sicuro, invece di redigere qualche documento di conformità, il che è una rarità.
Purtroppo, l'autorità ha scoperto che né l'hashing degli identificatori dei cookie né il proxy degli indirizzi IP attraverso il tagging sul lato server sono sufficienti a mantenere i dati al sicuro. Google raccoglie e controlla enormi quantità di dati, che può utilizzare per collegare i dati pseudonimizzati a una persona. Ad esempio, un identificatore hash può essere collegato ai dati di navigazione raccolti attraverso l'account Google di un visitatore.
In conclusione: Google raccoglie così tanti dati - tramite Google Analytics, Google Account, le sue API, i suoi tracker pubblicitari (illegali) sui dispositivi Android e così via - che è praticamente impossibile anonimizzare correttamente i dati personali che gli vengono forniti.
In altre parole, il modello di business affamato di dati di Google si sta ritorcendo contro di lui con il GDPR!
Il contesto
Google Analytics è già stato praticamente vietato nei Paesi dell'UE. Ma la storia dei trasferimenti di dati è ancora più lunga e un piccolo riepilogo può chiarire il contesto delle decisioni.
Da Snowden a Schrems
Tutto è iniziato nel 2012, quando i file di Snowden hanno rivelato l'esistenza di programmi di sorveglianza estesi e indiscriminati su dati stranieri negli Stati Uniti. Un anno dopo, il cittadino austriaco Max Schrems (oggi noto attivista per la privacy) ha presentato una denuncia contro Facebook Irlanda. Egli sosteneva che il trasferimento dei suoi dati personali alla società madre statunitense Facebook li esponeva alla sorveglianza degli Stati Uniti ed era quindi illegale ai sensi della legge sulla protezione dei dati dell'UE. Questo è stato l'inizio di una lunga battaglia legale: il caso è stato deferito due volte alla Corte di giustizia dell'UE, invalidando due accordi di trasferimento dei dati tra l'UE e gli Stati Uniti nelle storiche sentenze Schrems I e II.
La sentenzaSchrems II è stata emessa nel 2020 e ha avuto un impatto enorme sui trasferimenti di dati per due motivi. In primo luogo, la Corte ha invalidato il quadro dello Scudo per la privacy, che in precedenza consentiva di trasferire facilmente i dati dall'UE agli Stati Uniti. In secondo luogo, la Corte ha esaminato le clausole contrattuali standard, un meccanismo di conformità comune per le aziende che desiderano trasferire dati.
Le SCC sono una serie di clausole standardizzate redatte dalla Commissione e destinate a essere incorporate in un accordo vincolante con il destinatario. In altre parole, se si desidera trasferire dati al di fuori dell'UE, è possibile implementare le SCC in un contratto e le clausole diranno alla controparte cosa può o non può fare con i dati. Questo è un modo per garantire che i dati personali siano trasferiti in modo sicuro e confidenziale al di fuori dell'Unione. Ma c'è un problema: queste clausole vincolano solo le parti del contratto e non fanno nulla per impedire la sorveglianza dello Stato.
Con Schrems II, la Corte non ha invalidato le SCC come meccanismo di trasferimento dei dati, ma ha stabilito che devono essere integrate da ulteriori garanzie, quando necessario, come nel caso degli Stati Uniti. Non si può quindi fare un semplice copia-incolla, far firmare il contratto e chiudere la faccenda. Dovete assicurarvi che le SCC funzionino effettivamente per il vostro trasferimento di dati e, se non funzionano, dovete compensare in qualche modo la mancanza di protezione. Il problema è che questo è difficile e talvolta impossibile quando si ha a che fare con la sorveglianza di Stato.
Trasferimenti di dati dopo Schrems II
Subito dopo la sentenza Schrems II, l'ONG per la privacy noyb (presieduta da Schrems) ha presentato una serie di 101 reclami strategici contro Google Analytics e Facebook Connect, nel tentativo di spingere le autorità europee a una rigorosa applicazione della sentenza Schrems II.
Le autorità hanno coordinato il loro approccio alle denunce a livello europeo. Di conseguenza, le autorità di vigilanza sulla privacy austriache, francesi, italiane, finlandesi, norvegesi e svedesi si sono pronunciate contro Google Analytics nell'ambito della decisione sui reclami della noyb (sebbene la decisione norvegese sia solo preliminare). Inoltre, l'autorità danese ha assunto una posizione simile in un comunicato stampa.
Queste decisioni dicono la stessa cosa: Google Analytics non è in grado di mantenere i dati personali al sicuro. Con il coordinamento a livello europeo, e con le influenti autorità francesi e italiane a fare da apripista, è probabile che altre autorità seguano la stessa strada.
Vale la pena di chiarire che, sebbene le decisioni riguardino formalmente un sito web specifico, si tratta in pratica di un divieto generale nei confronti di Google Analytics, perché le aziende possono fare poco o nulla per proteggere i dati personali dalla sorveglianza quando utilizzano questo strumento.
Le autorità e i professionisti sanno bene qual è la posta in gioco. Per questo motivo i problemi legali di Google Analytics sono stati oggetto di grande attenzione e il Comitato europeo per la protezione dei dati ha garantito un'applicazione uniforme di Schrems II, anziché lasciare la decisione alle singole autorità.
Non solo Google Analytics
Non si tratta solo di Google Analytics. Mesi fa, l'autorità irlandese ha emesso una multa record di 1,2 miliardi di euro contro Meta e ha ordinato alla società di sospendere i trasferimenti di dati per gli Stati Uniti (il che crea il rischio molto concreto di un blackout di Facebook in Europa).
Per essere chiari, le analisi web e i social network sono l'ultimo dei problemi dell'UE. Un'applicazione rigorosa di Schrems II potrebbe minacciare innumerevoli fornitori statunitensi, tra cui alcuni attualmente essenziali per le imprese europee, come Oracle o AWS!
L'UE e gli Stati Uniti stanno creando un nuovo quadro per il trasferimento dei dati per risolvere la situazione. Tuttavia, questo quadro deve ancora essere approvato dagli Stati membri e, soprattutto, deve superare l'annunciata sfida legale presso la Corte di giustizia dell'UE.
È difficile dire come si svolgerà la sentenza "Schrems III", ma per il momento il destino dei trasferimenti di dati tra UE e USA rimane incerto.
Conclusione
Sin dalle decisioni delle autorità di protezione dei dati francesi e italiane, abbiamo avvertito che sempre più autorità nazionali avrebbero preso posizione contro Google Analytics. Il tempo ci ha dato ragione. Le multe iniziano ad arrivare, quindi è un buon momento per abbandonare Google Analytics!
E non dimentichiamo che il trasferimento dei dati è l'ultimo dei problemi di Google Analytics! Google Analytics è una gigantesca macchina di sorveglianza che estrae enormi quantità di dati personali, li combina con altri dati personali raccolti da altri servizi dell'ecosistema di Google e li alimenta in quel cassonetto della privacy che è il sistema di offerte in tempo reale.
Se il GDPR fosse applicato meglio, Google Analytics sarebbe illegale a causa di ciò che fa con i dati personali, indipendentemente dalla loro destinazione. Noi crediamo di poter fare meglio!
Simple Analytics vi fornisce tutte le informazioni di cui avete bisogno per far crescere la vostra attività e monitorare le vostre campagne senza raccogliere alcun dato personale! Crediamo che fare di più con meno sia la chiave per un web indipendente e rispettoso della privacy. Se tutto questo vi sembra vero, non esitate a provarci!