L’Autorità Garante per la privacy austriaca: Google Analytics viola le disposizioni del GDPR.

L’Autorità Garante austriaca (“DSB”) con provvedimento reso pubblico il 14 gennaio 2022, ha sanzionato il titolare di un sito web per l’utilizzo della versione gratuita di #GoogleAnalytics, poiché in violazione delle disposizioni del Regolamento (UE) 2016/679 (“GDPR”) in materia di trasferimento dei dati personali verso paesi extra-UE, non soggetti a decisione di adeguatezza da parte della Commissione Europea. 

La decisione del DSB evidenzia il forte disallineamento tra la legislazione europea e quella statunitense in materia di trattamento dei dati personali e pone nuovi interrogativi sulle possibili modalità di regolamentazione del trasferimento di dati personali verso gli Stati Uniti, a seguito all’invalidazione del Privacy Shield, determinato dalla decisione della Corte di Giustizia C-311/18 (“Schrems II”). 

In particolare, il ricorrente – NYOB European Center for Digital Rights – ha presentato ricorso al DSB lamentando come il trasferimento dei dati personali degli utenti verso i server di Google situati negli #USA avvenisse in violazione del Capo V del #GDPR, relativo al trasferimento di dati verso Paesi terzi. 

Il DSB ha analizzato anzitutto, il rapporto intercorrente tra il titolare del sito web e #GoogleLLC, rilevando come al fine di usufruire del servizio di Google Analytics, il titolare del sito web abbia provveduto a nominare Google responsabile del trattamento, con apposito contratto, ex art. 28 GDPR nonché sottoscritto apposite #StandardContractualClauses (“SCC”).

Di seguito, il DSB si è occupato di verificare le modalità di trattamento dei dati personali degli utenti del sito effettuate da #Google, al fine di individuare eventuali violazioni del GDPR. La verifica ha mostrato che Google, per fornire il servizio di Google Analytics, tratta i dati degli interessati sia in data center all’interno del perimetro dell’UE, che negli Stati Uniti, consentendo tuttavia al titolare del trattamento di richiedere l’#anonimizzazione degli indirizzi IP degli utenti, prima della conservazione e della trasmissione dei dati personali. 

Nel caso di specie, il DSB ha ritenuto che l’errata configurazione dell’anonimizzazione dei dati personali degli utenti da parte del titolare e il successivo trasferimento degli stessi verso gli Stati Uniti, avesse abbiano determinato una violazione del GDPR, in quanto la normativa statunitense impone a tutti i c.d. Electronic Communication Service Provider, un obbligo di disclosure nei confronti delle agenzie di intelligence americane, obbligo che si estende anche alla relativa chiave crittografica, nonostante la sottoscrizione di SCC. 

Il DSB ha ritenuto, infatti, che l’implementazione di SCC e di ulteriori misure tecniche e/o organizzative non rappresentano strumenti né sufficienti né adeguati ad assicurare un livello di protezione dei dati personali conforme a quello richiesto dal GDPR, poiché non in grado di colmare le lacune di tutela giuridica presenti nella legislazione statunitense.  

La decisione in commento, visti i numerosi reclami presentati presso le diverse Autorità Europee Garanti della privacy dalla ONG Noyb, potrebbe rappresentare la prima decisione, cui faranno seguito quelle degli altri Garanti privacy dell’UE che (quasi) sicuramente si uniformeranno alla pronuncia del DSB. 

Google, con un comunicato stampa dello scorso 19 gennaio, ha commentato la decisione del DSB, sottolineando che l’azienda offre ai propri clienti ampie misure supplementari, certamente in grado di assicurare una protezione effettiva dei dati e precisando che mai in quindici anni di attività, le autorità americane hanno richiesto di accedere a dati di utenti europei.  Nonostante ciò, Google riconosce l’attuale contesto di incertezza normativo, ingenerato dalla decisione del Garante austriaco, e pone l’attenzione sui potenziali danni economici derivanti da un’eventuale interruzione dei flussi di dati tra US-UE.  Pertanto, esorta le istituzioni dell’Unione Europea e degli Stati Uniti ad implementare, quanto prima, un nuovo accordo per il trasferimento dei dati. 

Gli Electronic Communication Service Providers americani, quali Google, #Facebook, etc., rappresentano, infatti, partner fondamentali per le realtà imprenditoriali europee, difficilmente sostituibili con competitor europei. Pertanto, in attesa di un nuovo accordo tra USA e Unione Europea in materia di trasferimento dei dati, in grado di garantire un livello adeguato di tutela dei dati personali, i titolari del trattamento sono tenuti ad adottare – nel rispetto del principio dell’#accountability – un atteggiamento prudenziale che deve concretizzarsi attraverso una valutazione del rischio concreto e nello specifico contesto, adottando tutte le cautele tecniche possibili (esempio: anonimizzare i dati degli utenti ogniqualvolta ciò sia possibile) al fine di evitare di esporsi al rischio di contestazioni degli interessati, nonché di provvedimenti con eventuali applicazioni di sanzioni da parte dei Garanti UE. 

DISCLAIMER

Il presente articolo ha il solo scopo di fornire informazioni di carattere generale. Di conseguenza, non costituisce un parere legale né può in alcun modo considerarsi come sostitutivo di una consulenza legale specifica.