L'ONG per la privacy noyb ha presentato un reclamo contro tre siti web irlandesi, lamentando che l'uso di Google Analytics non è conforme al GDPR.
Le denunce non sono ancora state decise. Tuttavia, quattro autorità europee per la protezione dei dati si sono già pronunciate contro l'uso di Google Analytics in denunce simili presentate da noyb e un'altra (la Datatilsynet danese) ha praticamente vietato l'uso di Google Analytics in Danimarca in un comunicato stampa. Queste autorità seguono un approccio coordinato, quindi altri paesi SEE e UE, come l'Irlanda, potrebbero seguire.
Inoltre, l'autorità irlandese per la protezione dei dati (DPC) ha redatto una decisione per interrompere i trasferimenti di dati per Meta e l'ha presentata al Comitato europeo per la protezione dei dati nell'ottobre 2022. Le questioni centrali del caso sono essenzialmente le stesse coinvolte nelle denunce di noyb contro Google Analytics. Se il Consiglio dovesse approvare la decisione del DPC, il caso costituirebbe un importante precedente a livello europeo, ancor più in Irlanda. Tale precedente avrebbe conseguenze di vasta portata per l'intera UE, dal momento che molti giganti tecnologici multinazionali hanno sedi o filiali europee nella Repubblica d'Irlanda.
- Dovrei preoccuparmi del GDPR in Irlanda?
- Quale è la legislazione irlandese in materia di privacy?
- Che cos'è tutto questo clamore per il GDPR?
- Pensieri finali
Impegnamoci!
Dovrei preoccuparmi del GDPR in Irlanda?
La Repubblica d'Irlanda è uno Stato membro dell'Unione Europea, quindi il GDPR si applica a tutte le attività di trattamento dei dati delle aziende irlandesi.
Il GDPR si applica anche a qualsiasi servizio rivolto al mercato irlandese. Inoltre, se il target del vostro sito web comprende l'Irlanda e utilizzate Google Analytics, si applica anche a voi.
Ma c'è una fregatura: si applica solo se trattate dati personali. Gli strumenti di analisi rispettosi della privacy, come Simple Analytics, consentono di ottenere informazioni preziose senza elaborare alcun dato personale. In questo modo, voi non dovete conformarvi al GDPR perché non si applica ai dati che trattate in primo luogo.
Quale è la legislazione irlandese in materia di privacy?
Il quadro normativo principale in materia di protezione dei dati è il GDPR dell'Unione Europea. Anche la Repubblica ha una propria legislazione sulla privacy, tra cui il Data Protection Act del 2018, che implementa il GDPR. La Commissione per la protezione dei dati e i tribunali irlandesi applicano questa legislazione.
La Repubblica d'Irlanda è anche soggetta agli articoli 7 e 8 della Carta dei diritti fondamentali dell'UE, che protegge la privacy e la protezione dei dati.
La Repubblica d'Irlanda è anche uno Stato membro del Consiglio d'Europa. Come tale, la Repubblica ha ratificato la Convenzione europea dei diritti dell'uomo, che protegge la vita privata e la corrispondenza. L'Irlanda ha inoltre ratificato la Convenzione 108 del Consiglio d'Europa, che ad oggi è l'unico accordo internazionale vincolante sulla protezione dei dati.
Che cos'è tutto questo clamore per il GDPR?
La recente tendenza di decisioni contro Google Analytics fa parte di un più ampio puzzle legale sui trasferimenti di dati tra il SEE e gli Stati Uniti. Si tratta quindi di una questione molto più grande di singoli paesi come la Repubblica d'Irlanda, e anche di Google Analytics. Ne abbiamo già scritto ampiamente sul nostro blog, quindi ecco una versione breve.
La questione centrale è la sorveglianza di Stato. In base al GDPR, i dati personali europei possono essere trasferiti al di fuori del SEE solo in condizioni di sicurezza. Questo è difficile per i trasferimenti di dati dagli Stati Uniti, perché il quadro giuridico statunitense consente una sorveglianza estesa e invasiva sui dati dei cittadini stranieri, compresi quelli irlandesi.
Due quadri per il trasferimento di dati (Safe Harbor e Privacy Shield) tra l'UE e gli Stati Uniti hanno reso possibili in passato trasferimenti di dati conformi al GDPR, ma entrambi i quadri sono stati invalidati dalla Corte di giustizia dell'UE nelle cause Schrems I e II. Un terzo quadro è in arrivo, ma sicuramente dovrà affrontare una sfida legale. Con una sentenza Schrems III già all'orizzonte, il futuro dei flussi di dati UE-USA rimane incerto.
Nel frattempo, le aziende irlandesi e le aziende europee in generale devono ricorrere a diversi strumenti legali (tipicamente clausole contrattuali standard) per trasferire legalmente i dati negli Stati Uniti ai sensi del GDPR. Tuttavia, il problema di questi strumenti è che non offrono alcuna protezione contro la sorveglianza dello Stato. Per questo motivo, nella causa Schrems II la Corte di giustizia ha chiarito che tali strumenti devono essere integrati da ulteriori misure di tutela della privacy ogni volta che i dati vengono inviati a Paesi "non sicuri". Questo è difficile e del tutto impossibile per i trasferimenti richiesti da alcuni servizi basati su cloud come Google Analytics (ne abbiamo scritto qui).
Dopo la sentenza Schrems II del 2020, la maggior parte delle aziende ha continuato a lavorare come sempre con i fornitori di servizi con sede negli Stati Uniti. Nel frattempo, l'ONG noyb ha presentato 101 denunce sul trasferimento di dati contro i siti web europei che utilizzano Google Analytics e Facebook Connect per spingere le autorità a un'applicazione più rigorosa della sentenza Schrems II.
Le autorità di protezione dei dati hanno coordinato il loro approccio a livello europeo per gestire i reclami in modo coerente. Di conseguenza, le autorità austriache, francesi, italiane e Ungherese le DPA si sono pronunciate contro l'uso di Google Analytics in decisioni molto simili, e la DPA danese ha sostanzialmente fatto lo stesso in un comunicato stampa. Sebbene le decisioni riguardino un singolo controllore, tutte stabiliscono un precedente che praticamente equivale a un divieto a livello statale, come abbiamo spiegato qui. Se il DPC dovesse fare lo stesso, la sua decisione creerebbe un precedente simile per l'Irlanda. Lo stesso accadrà probabilmente se l'EDPB approverà la bozza di decisione del DPC contro Meta.
Pensieri finali
Per fortuna, esistono alternative a Google Analytics che non raccolgono dati personali e sono conformi al 100% al GDPR. Simple Analytics è una di queste. Riteniamo che non sia necessario utilizzare i cookie o raccogliere dati personali per mostrare le prestazioni del vostro sito web.
Senza tracciare i singoli visitatori del sito web, è possibile raccogliere informazioni utili e identificare opportunità dall'analisi del sito web. Volete vedere come si presenta? Date un'occhiata alla nostra dashboard live qui.
Crediamo nel fatto che Internet sia un luogo più sicuro e accogliente per i visitatori dei siti web. Se questo è di vostro gradimento, sentitevi liberi di provarci.