Il Garante austriaco ha dichiarato illegale l'uso di Google Analytics per violazione del GDPR. Dietro alla decisione c'è di nuovo Max Schrems, l'attivista già protagonista della sospensione del Privacy Shield. 

La carica delle 101 (denunce)

Il Garante austriaco si è mosso in seguito a una delle 101 denunce che gli attivisti della ong austriaca Noyb, attiva in tema di privacy e diritti sul web, hanno presentato a diverse autorità Garanti nazionali. In mezzo alla faccenda troviamo sempre lui, l'Avvocato Max Schrems, arci nemico delle big tech. Ognuna delle 101 denunce riguarda siti web sui quali l'associazione ha riscontrato l'esportazione dei dati verso gli Stati Uniti.

E' a Schrems che si deve l'invalidazione del Privacy Shield, l'accordo tra Stati Uniti e UE per il trasferimento dei dati dei cittadini UE negli USA. La Corte di Giustizia europea ha dichiarato le tutele per la sicurezza dei dati insufficienti rispetto alle previsioni del GDPR. Si è determinato così un vuoto normativo che non è ancora stato colmato.

Per approfondire > Privacy Shield: l’UE annulla l’accordo per il trasferimento dei dati personali negli USA 

La sentenza Schrems II fa da antefatto alla decisione del Garante austriaco

E' stata la Corte di Giustizia Europea, nel Luglio 2020, a invalidare il Privacy Shield con la cosiddetta sentenza Schrems II, che fa da antefatto a questa vicenda. Il motivo? La legge USA detta Cloud Act obbliga le società statunitensi a dare accesso ai dati personali che detengono senza che sia necessario il consenso dell'interessato. La previsione vale per tutti i dati, compresi quelli relativi a cittadini non statunitensi.

Una violazione palese del GDPR che, al contrario, richiede esplicito consenso dell'interessato. Ogni trasferimento di dati verso gli USA è, nei fatti, illegale.
 

La soluzione "fai da te" di Google

Google (così come Amazon, Microsoft, Facebook ecc.. ) fino ad ora ha optato per una soluzione fai da te. Ha continuato a trasferire negli Stati Uniti sfruttando le Standard Contractual Clauses (SCC). Con SCC si intendono contratti da stipulare coi fornitori statunitensi che li impegnano a rispettare principi e limitazioni in maniera compatibile alle disposizioni del GDPR.

Secondo Max Schrems:

"Invece di adattare effettivamente i servizi per essere conformi al GDPR, le aziende statunitensi hanno cercato di aggiungere semplicemente del testo alle loro politiche sulla privacy e ignorare la Corte di giustizia europea. In conseguenza a ciò, molte aziende dell’UE, prendendo esempio dalle informative privacy fuoriuscite dai grandi fornitori statunitensi, hanno imitato questi ultimi e invece di passare alle opzioni legali consentite dal GDPR, hanno rimandato nelle loro privacy la responsabilità dell’uso di cookie (solitamente analytics) di terze parti a queste ultime, cercando di scaricare così sulle società statunitensi qualsiasi rivendicazione legale proveniente da reclami degli interessati.“
 

La sentenza del Garante austriaco: trasferire dati negli USA è illegale

L'autorità austriaca ha, nello specifico, riscontrato come il sito netdoktor.at, tramite Google Analytics, eportasse negli USA dati dei naviganti come indirizzi IP e gli ID univoci memorizzati nei cookie. Ha ritenuto insufficienti le SCC, ribadito l'illegalità del trasferimento dati negli USA e, per quanto riguarda Google Analytics, sottolineato come aggravante che i trasferimenti dei dati sono continuativi e massivi. Insomma, ad ora, Google Analytics viola il GDPR.

Nel lungo termine, o gli USA adatteranno le protezione di base per i dati degli stranieri oppure i dai dovranno essere stoccati in territorio UE. Resta fermo che la seconda ipotesi non risolverebbe propriamente il problema: i dati restano nella disponibilità di aziende statunitensi sottoposte alle leggi USA.
 

Non solo Google Analytics: anche Cookiebot trasferisce dati negli USA

Nel mese di Dicembre, il tribunale amministrativo di Wiesbaden in Germania, ha vietato all'università Hochschule RheinMain di utilizzare il servizio di preferenza cookie Cookiebot. La decisione consegue alla denuncia di uno studente che aveva affermato come Cookiebot trasmettesse i dati condividendoli con la società cloud statunitense Akamai Technologies. Akamai è sottoposta al Cloud Act e deve divulgare “tutti i dati in loro possesso, custodia o controllo”, indipendentemente da dove sono archiviati.

Per approfondire > Il 97% dei siti web in Europa non rispetta i requisiti del GDPR 

La sentenza del Garante austriaco ha vasta portata

Il fatto che la sentenza del Garante austriaco riguardi solo Google Analytics rispetto al GDPR, non significa affatto che non sia applicabile a qualsiasi fornitore di servizi americano. Oltre al già citato caso di Cookiebot, anche l'azienda tedesca FOGS Magazin ha visto dichiarare illegittimo il trasferimento dei dati che avveniva tramite l'uso dei servizi Mailchimp per l'invio di newsletter.

Non a caso, sul sito dell'associazione Noyb, si legge:

“decisioni simili sono attese in altri stati membri dell'UE, poiché i regolatori hanno cooperato su questi casi in una task force dell’European Data Protection Board”.

 Fonti utili

• Austrian DSB: Use of Google Analytics violates "Schrems II" decision by CJEU - Noyb.eu
• Testo completo della decisione del Garante austriaco (traduzione automatica in inglese, formato .PDF)