L'ONG per la privacy noyb ha presentato un reclamo contro quattro siti web olandesi, lamentando che Google Analytics non è conforme al GDPR.
Le denunce non sono ancora state decise. Tuttavia, quattro autorità europee per la protezione dei dati si sono già pronunciate contro l'uso di Google Analytics in denunce simili presentate da noyb e un'altra (la Datatilsynet danese) ha praticamente vietato l'uso di Google Analytics in Danimarca in un comunicato stampa. Queste autorità seguono un approccio coordinato, per cui altri paesi SEE e UE, come i Paesi Bassi, potrebbero seguirli.
Inoltre, l'Autoriteit Persoonsgegevens ha annunciato in un comunicato stampa del gennaio 2022 (solo in olandese) che stava indagando sull'uso di Google Analytics, quindi possiamo aspettarci una decisione a un certo punto.
- Devo preoccuparmi del GDPR nei Paesi Bassi?
- Quale è la legislazione olandese sulla privacy?
- Che cos'è tutto questo clamore per il GDPR?
- Pensieri finali
Immaginiamo!
Devo preoccuparmi del GDPR nei Paesi Bassi?
I Paesi Bassi sono uno Stato membro dell'Unione Europea, pertanto il GDPR si applica a tutte le attività di trattamento dei dati da parte di aziende olandesi.
Il GDPR si applica anche a qualsiasi servizio rivolto al mercato olandese. Inoltre, se il target del vostro sito web comprende i Paesi Bassi e utilizzate Google Analytics, si applica anche a voi.
Ma c'è una fregatura: si applica solo se trattate dati personali. Gli strumenti di analisi rispettosi della privacy, come Simple Analytics, consentono di ottenere informazioni preziose senza elaborare alcun dato personale. In questo modo, voi dovete rispettare il GDPR perché non si applica ai dati che trattate in primo luogo.
Quale è la legislazione olandese sulla privacy?
A parte il GDPR, i Paesi Bassi hanno una propria legislazione in materia di privacy, che comprende la legge di attuazione del GDPR olandese. La legislazione sulla privacy è applicata dalla DPA olandese (Autoriteit Persoonsgegevens).
I Paesi Bassi sono inoltre soggetti agli articoli 7 e 8 della Carta dei diritti fondamentali dell'Unione europea, che tutelano la privacy e garantiscono il diritto alla protezione dei dati personali
. I Paesi Bassi sono anche uno Stato membro del Consiglio d'Europa. In quanto tale, i Paesi Bassi hanno ratificato la Convenzione europea dei diritti dell'uomo, che protegge la vita privata e la corrispondenza. I Paesi Bassi hanno anche ratificato la Convenzione 108 del Consiglio d'Europa, che è l'unico accordo internazionale vincolante sulla protezione dei dati.
Che cos'è tutto questo clamore per il GDPR?
La recente tendenza di decisioni contro Google Analytics fa parte di un più ampio puzzle legale sui trasferimenti di dati tra il SEE e gli Stati Uniti. Si tratta quindi di una questione molto più grande di singoli paesi come i Paesi Bassi, e anche di Google Analytics. Ne abbiamo già scritto ampiamente sul nostro blog, quindi ecco una versione breve.
La questione centrale è la sorveglianza di Stato. Secondo il GDPR, i dati personali europei possono essere trasferiti in modo sicuro solo al di fuori del SEE. Questo è difficile per i trasferimenti di dati dagli Stati Uniti perché il quadro giuridico statunitense consente una sorveglianza estesa e invasiva sui dati dei cittadini stranieri, compresi i cittadini olandesi.
Due quadri per il trasferimento di dati (Safe Harbor e Privacy Shield) tra l'UE e gli Stati Uniti hanno reso possibili in passato trasferimenti di dati conformi al GDPR, ma entrambi i quadri sono stati invalidati dalla Corte di giustizia dell'UE nelle cause Schrems I e II. Un terzo quadro è in arrivo, ma sicuramente dovrà affrontare una sfida legale. Con una sentenza Schrems III già all'orizzonte, il futuro dei flussi di dati UE-USA rimane incerto.
Nel frattempo, le aziende olandesi devono ricorrere a diversi strumenti legali (tipicamente clausole contrattuali standard) per trasferire legalmente i dati negli Stati Uniti ai sensi del GDPR. Tuttavia, il problema di questi strumenti è che non offrono alcuna protezione contro la sorveglianza dello Stato. Per questo motivo, la sentenza Schrem II ha chiarito che essi devono essere integrati da ulteriori misure di tutela della privacy ogni volta che i dati vengono inviati a Paesi "non sicuri", compresi gli Stati Uniti. Questo è difficile e del tutto impossibile per i trasferimenti richiesti da alcuni servizi basati su cloud come Google Analytics (ne abbiamo scritto qui).
Dopo la sentenza Schrems II del 2020, la maggior parte delle aziende ha continuato a lavorare come sempre con i fornitori di servizi con sede negli Stati Uniti. Nel frattempo, l'ONG noyb ha presentato 101 denunce sul trasferimento di dati contro i siti web europei che utilizzano Google Analytics e Facebook Connect per spingere le autorità a un'applicazione più rigorosa della sentenza Schrems II.
Le autorità di protezione dei dati hanno coordinato il loro approccio a livello europeo per gestire i reclami in modo coerente. Di conseguenza, le autorità austriache, francesi, italiane e Ungherese le DPA si sono pronunciate contro l'uso di Google Analytics in decisioni molto simili, e la DPA danese ha sostanzialmente fatto lo stesso in un comunicato stampa. Sebbene le decisioni riguardino un singolo responsabile del trattamento, tutte stabiliscono un precedente che praticamente equivale a un divieto a livello statale, come abbiamo spiegato qui. La decisione annunciata dall'Autoriteit Persoonsgegevens potrebbe costituire un precedente simile per i Paesi Bassi.
Con il coordinamento a livello europeo e le influenti autorità francesi e italiane a fare da apripista, altre DPA probabilmente seguiranno l'esempio e adotteranno una posizione più dura nei confronti di Google Analytics.
Pensieri finali
Per fortuna, esistono alternative a Google Analytics che non raccolgono dati personali e sono conformi al 100% al GDPR. Simple Analytics è una di queste. Riteniamo che non sia necessario utilizzare i cookie o raccogliere dati personali per ottenere informazioni sulle prestazioni del vostro sito web.
La raccolta di informazioni utili e l'identificazione di opportunità dall'analisi del sito web sono possibili senza tracciare i singoli visitatori del sito. Volete vedere come si presenta? Date un'occhiata alla nostra dashboard live qui.
Crediamo nel fatto che Internet sia un luogo più sicuro e accogliente per i visitatori dei siti web. Se questo è di vostro gradimento, non esitate a provarci
.