L'ONG per la privacy noyb ha presentato tre reclami contro siti web finlandesi, lamentando che l'uso di Google Analytics non è conforme al GDPR.
Le denunce non sono ancora state decise. Tuttavia, quattro autorità europee per la protezione dei dati si sono già pronunciate contro l'uso di Google Analytics in denunce simili presentate da noyb e un'altra (la Datatilsynet danese) ha praticamente vietato l'uso di Google Analytics in Danimarca in un comunicato stampa. Queste autorità seguono un approccio coordinato, quindi altri paesi del SEE e dell'UE come la Finlandia potrebbero seguirle.
- Dovrei preoccuparmi del GDPR in Finlandia?
- Quale è la legislazione finlandese sulla privacy?
- Che cos'è tutto questo clamore per il GDPR?
- Pensieri finali
Impegnamoci!
Dovrei preoccuparmi del GDPR in Finlandia?
La Finlandia è uno Stato membro dell'Unione Europea, quindi il GDPR si applica a tutte le attività di trattamento dei dati delle aziende finlandesi.
Il GDPR si applica anche a qualsiasi servizio rivolto al mercato finlandese. Inoltre, se il target del vostro sito web comprende la Finlandia e utilizzate Google Analytics, si applica anche a voi.
Ma c'è una fregatura: si applica solo se trattate dati personali. Gli strumenti di analisi rispettosi della privacy, come Simple Analytics, consentono di ottenere informazioni preziose senza trattare alcun dato personale. In questo modo, si rispetta il GDPR perché non si applica ai dati trattati in primo luogo.
Quale è la legislazione finlandese sulla privacy?
Il principale quadro normativo in materia di protezione dei dati è il GDPR dell'Unione Europea. Questa legislazione è applicata dai tribunali finlandesi e dall'autorità finlandese per la protezione dei dati, la Tietosuojavaltuutetun toimisto. La Finlandia è anche soggetta agli articoli 7 e 8 della Carta dei diritti fondamentali dell'UE, che proteggono la privacy e garantiscono il diritto alla protezione dei dati.
Inoltre, la Finlandia è uno Stato membro del Consiglio d'Europa. Come tale, la Finlandia ha ratificato la Convenzione europea dei diritti dell'uomo, che protegge la vita privata e la corrispondenza. La Finlandia ha anche ratificato la Convenzione 108 del Consiglio d'Europa, che è l'unico accordo internazionale vincolante sulla protezione dei dati.
Che cos'è tutto questo clamore per il GDPR?
La recente tendenza di decisioni contro Google Analytics fa parte di un più ampio puzzle legale sui trasferimenti di dati tra il SEE e gli Stati Uniti. Si tratta quindi di una questione molto più grande di singoli paesi come la Finlandia, e anche di Google Analytics. Ne abbiamo già scritto ampiamente sul nostro blog, quindi ecco una versione breve.
La questione centrale è la sorveglianza di Stato. In base al GDPR, i dati personali europei possono essere trasferiti al di fuori del SEE solo in condizioni di sicurezza. Questo è difficile per i trasferimenti di dati dagli Stati Uniti, perché il quadro giuridico statunitense consente una sorveglianza estesa e invasiva sui dati dei cittadini stranieri, compresi i cittadini finlandesi.
Due quadri per il trasferimento di dati (Safe Harbor e Privacy Shield) tra l'UE e gli Stati Uniti hanno reso possibili in passato trasferimenti di dati conformi al GDPR, ma entrambi i quadri sono stati invalidati dalla Corte di giustizia dell'UE nelle cause Schrems I e II. Un terzo quadro è in arrivo, ma sicuramente dovrà affrontare una sfida legale. Con una sentenza Schrems III già all'orizzonte, il futuro dei flussi di dati UE-USA rimane incerto.
Nel frattempo, le aziende finlandesi e quelle europee, in generale, devono ricorrere a diversi strumenti legali (tipicamente clausole contrattuali standard) per trasferire legalmente i dati negli Stati Uniti ai sensi del GDPR. Tuttavia, il problema di questi strumenti è che non offrono alcuna protezione contro la sorveglianza dello Stato. Per questo motivo, nella causa Schrems II la Corte di giustizia ha chiarito che tali strumenti devono essere integrati da ulteriori misure di tutela della privacy ogni volta che i dati vengono inviati a Paesi "non sicuri". Questo è difficile e del tutto impossibile per i trasferimenti richiesti da alcuni servizi basati su cloud come Google Analytics (ne abbiamo scritto qui).
Dopo la sentenza Schrems II del 2020, la maggior parte delle aziende ha continuato a lavorare come sempre con i fornitori di servizi con sede negli Stati Uniti. Nel frattempo, l'ONG noyb ha presentato 101 denunce sul trasferimento di dati contro i siti web europei che utilizzano Google Analytics e Facebook Connect per spingere le autorità a un'applicazione più rigorosa della sentenza Schrems II.
Le autorità di protezione dei dati hanno coordinato il loro approccio a livello europeo per gestire i reclami in modo coerente. Di conseguenza, le autorità austriache, francesi, italiane e Ungherese le DPA si sono pronunciate contro l'uso di Google Analytics in decisioni molto simili, e la DPA danese ha sostanzialmente fatto lo stesso in un comunicato stampa. Sebbene le decisioni riguardino un singolo controllore, tutte stabiliscono un precedente che praticamente equivale a un divieto a livello statale, come abbiamo spiegato qui. Se il Tietosuojavaltuutetun toimisto dovesse fare lo stesso, la sua decisione creerebbe un precedente simile per la Finlandia.
Con il coordinamento a livello europeo e con le influenti autorità francesi e italiane a fare da apripista, altre DPA probabilmente seguiranno l'esempio e adotteranno una posizione più dura nei confronti di Google Analytics.
Pensieri finali
Per fortuna, esistono alternative a Google Analytics che non raccolgono dati personali e sono conformi al 100% al GDPR. Simple Analytics è una di queste. Riteniamo che non sia necessario utilizzare i cookie o raccogliere dati personali per ottenere informazioni sulle prestazioni del vostro sito web.
La raccolta di informazioni utili e l'identificazione di opportunità dall'analisi del sito web sono possibili senza tracciare i singoli visitatori del sito. Volete vedere come si presenta? Date un'occhiata alla nostra dashboard live qui.
Crediamo nel fatto che Internet sia un luogo più sicuro e accogliente per i visitatori dei siti web. Se questo è di vostro gradimento, non esitate a provarci.