Google Analytics è illegale in Austria?

Image of Iron Brands

Pubblicato il 13 gen 2023 e modificato il 3 gen 2024 da Iron Brands

Questo articolo è stato tradotto automaticamente. Passa alla versione inglese per l'originale.

Sì, Google Analytics è praticamente illegale in Austria. Ecco perché.

Nel 2018 la ONG per la privacy noyb ha presentato reclami contro tre siti web austriaci, lamentando che l'uso di Google Analytics non è conforme al GDPR. La prima decisione del DSB (l'autorità austriaca per la protezione dei dati) è arrivata nel dicembre 2021. L'autorità ha dato ragione alla ONG e ha praticamente vietato l'uso di Google Analytics in Austria.

Ecco in sintesi il contenuto della sentenza. L'uso di Google Analytics richiede il trasferimento dei dati negli Stati Uniti affinché la società madre, Google, possa elaborarli. La decisione Schrems II ha reso più complicato il trasferimento dei dati negli Stati Uniti, invalidando un quadro di riferimento per il trasferimento dei dati tra l'UE e gli Stati Uniti (il Privacy Shield) e richiedendo garanzie efficaci per il trasferimento dei dati. In pratica, tali garanzie non possono essere attuate per Google Analytics.

Per essere chiari, il DSB non ha dichiarato Google Analytics illegale di per sé. L'Autorità ha semplicemente applicato le norme del GDPR e la sentenza Schrems II e ha riscontrato che un sito web non stava attuando garanzie efficaci per proteggere i dati personali dei suoi visitatori. Tecnicamente, la sentenza è una decisione individuale e l'uso di Google Analytics è stato dichiarato illegale solo per un sito web specifico. In pratica, però, nessun sito web può implementare garanzie efficaci per Google Analytics, quindi la sentenza crea un precedente che equivale a un divieto a livello statale. I professionisti della privacy ne sono ben consapevoli, ed è per questo che la decisione ha attirato molta attenzione da parte dei media.

L'Austria è stato solo l'inizio. Dopo il DSB, altre tre autorità (il CNIL francese, il GPDP italiano e il NAIH ungherese) si sono pronunciate contro Google Analytics e l'autorità danese (Datatilsynet) ha abbracciato la stessa posizione in un comunicato stampa. Le autorità stanno coordinando il loro approccio a livello europeo, per cui è probabile che altri Paesi seguiranno.

  1. Devo preoccuparmi del GDPR in Austria?
  2. Quale è la legislazione austriaca in materia di privacy?
  3. Che cos'è tutto questo clamore per il GDPR?
  4. Pensieri finali
Logo of MichelinMichelin chose Simple AnalyticsJoin them

Impegnamoci!

Devo preoccuparmi del GDPR in Austria?

L'Austria è uno Stato membro dell'Unione Europea, quindi il GDPR si applica a tutte le attività di trattamento dei dati da parte di aziende austriache.

Il GDPR si applica anche a qualsiasi servizio rivolto al mercato austriaco. Inoltre, se il target del vostro sito web comprende l'Austria e utilizzate Google Analytics, si applica anche a voi.

Ma c'è una fregatura: si applica solo se trattate dati personali. Gli strumenti di analisi rispettosi della privacy, come Simple Analytics, consentono di ottenere informazioni preziose senza elaborare alcun dato personale. In questo modo, voi non dovete conformarvi al GDPR, perché non si applica ai dati che trattate in primo luogo.

Quale è la legislazione austriaca in materia di privacy?

Il quadro normativo principale in materia di protezione dei dati è il GDPR dell'Unione Europea. L'Austria ha anche una propria legislazione sulla privacy, tra cui la legge sulla protezione dei dati del 2000 (Datenschutzgsetz). Questa legislazione è applicata dai tribunali austriaci e dall'autorità austriaca per la protezione dei dati (DSB).

L'Austria è anche soggetta agli articoli 7 e 8 della Carta dei diritti fondamentali dell'UE, che proteggono la privacy e la protezione dei dati.

Inoltre, l'Austria è uno Stato membro del Consiglio d'Europa. Come tale, l'Austria ha ratificato la Convenzione europea dei diritti dell'uomo, che protegge la vita privata e la corrispondenza. L'Austria ha anche ratificato la Convenzione 108 del Consiglio d'Europa, che è l'unico accordo internazionale vincolante sulla protezione dei dati fino ad oggi.

Che cos'è tutto questo clamore per il GDPR?

La recente tendenza di decisioni contro Google Analytics fa parte di un più ampio puzzle legale sui trasferimenti di dati tra il SEE e gli Stati Uniti. Si tratta quindi di una questione molto più grande di singoli paesi come l'Austria, e anche di Google Analytics. Ne abbiamo già scritto ampiamente sul nostro blog, quindi ecco una versione breve.

La questione centrale è la sorveglianza di Stato. Secondo il GDPR, i dati personali europei possono essere trasferiti in modo sicuro solo al di fuori del SEE. Questo è difficile per i trasferimenti di dati dagli Stati Uniti, perché il quadro giuridico statunitense consente una sorveglianza estesa e invasiva dei dati dei cittadini stranieri, compresi i cittadini austriaci.

Due quadri per il trasferimento di dati (Safe Harbor e Privacy Shield) tra l'UE e gli Stati Uniti hanno reso possibili in passato trasferimenti di dati conformi al GDPR, ma entrambi i quadri sono stati invalidati dalla Corte di giustizia dell'UE nelle cause Schrems I e II. Un terzo quadro è in arrivo, ma sicuramente dovrà affrontare una sfida legale. Con una sentenza Schrems III già all'orizzonte, il futuro dei flussi di dati UE-USA rimane incerto.

Nel frattempo, le aziende austriache e quelle europee, in generale, devono ricorrere a diversi strumenti legali (tipicamente clausole contrattuali standard) per trasferire legalmente i dati negli Stati Uniti ai sensi del GDPR. Tuttavia, il problema di questi strumenti è che non offrono alcuna protezione contro la sorveglianza dello Stato. Per questo motivo, nella causa Schrems II la Corte di giustizia ha chiarito che tali strumenti devono essere integrati da ulteriori misure di tutela della privacy ogni volta che i dati vengono inviati in Paesi "non sicuri". Questo è difficile e del tutto impossibile per i trasferimenti richiesti da alcuni servizi basati su cloud come Google Analytics (ne abbiamo scritto qui).

Dopo la sentenza Schrems II del 2020, la maggior parte delle aziende ha continuato a lavorare come sempre con i fornitori di servizi con sede negli Stati Uniti. Nel frattempo, l'ONG noyb ha presentato 101 denunce sul trasferimento di dati contro i siti web europei che utilizzano Google Analytics e Facebook Connect per spingere le autorità a un'applicazione più rigorosa della sentenza Schrems II.

Come abbiamo detto, le autorità di protezione dei dati hanno coordinato il loro approccio a livello europeo per gestire i reclami in modo coerente. Di conseguenza, le autorità austriache, francesi, italiano, ungherese e danese le DPA hanno preso posizione contro i trasferimenti di dati. Con il coordinamento a livello europeo e le influenti autorità francesi e italiane a fare da apripista, altre DPA probabilmente seguiranno l'esempio e adotteranno una posizione più dura nei confronti di Google Analytics.

Pensieri finali

Per fortuna, esistono alternative a Google Analytics che non raccolgono dati personali e sono conformi al 100% al GDPR. Simple Analytics è una di queste. Riteniamo che non sia necessario utilizzare i cookie o raccogliere dati personali per ottenere informazioni sulle prestazioni del vostro sito web.

La raccolta di informazioni utili e l'identificazione di opportunità dall'analisi del sito web sono possibili senza tracciare i singoli visitatori del sito. Volete vedere come si presenta? Date un'occhiata alla nostra dashboard live qui.

Crediamo nel fatto che Internet sia un luogo più sicuro e accogliente per i visitatori dei siti web. Se questo è di vostro gradimento, non esitate a provarci.

GA4 è complesso. Prova Simple Analytics

GA4 è come sedersi in cabina di un aereo senza licenza di pilota

Inizia prova di 14 giorni