Google Analytics e il provvedimento del Garante austriaco
Cosa dice la sentenza e perché se ne sta parlando tanto
Il 22 dicembre 2021, una sentenza dell’Autorità Garante per la Protezione dei Dati personali austriaca (DSB) ha definito l’utilizzo del servizio Google Analytics non conforme alla normativa europea.
Un sito web riguardante il tema della salute, netdoktor.at, è infatti stato condannato per aver esportato i dati degli IP dei cittadini europei -principalmente austriaci- attraverso l’utilizzo di Google Analytics, in USA.
La decisione ha preso il via da alcuni elementi ritenuti irregolari tra cui:
- Il sito non utilizzava alcun pop-up per l’accettazione
- Gli IP non erano anonimizzati per un errore tecnico
Da dove è partito il tutto e perché potrebbe essere considerato illegale?
La notizia è arrivata al grande pubblico il 13 gennaio 2022, grazie all’organizzazione no-profit NOYB che, per prima, ha pubblicato il provvedimento emesso il 22 dicembre 2021. NOYB aveva già pubblicato sul proprio sito una lista di 101 siti web che non rispettano le linee guida in riferimento al trasferimento di dati personali dall’Europa verso gli Stati Uniti.
Questa battaglia è cominciata dopo che la Corte di Giustizia Europea, nel 2020, ha invalidato il Privacy Shield, l’accordo tra USA e UE sul permesso alle aziende americane di mantenere i dati personali degli utenti europei. Su questo accordo e sul precedente tentativo denominato “Safe Harbor” molto si potrebbe scrivere, a noi basti sapere che la Corte Europea lo ha invalidato poiché ritiene che le leggi degli Stati Uniti non garantiscano i diritti fondamentali dei cittadini europei. Nonostante questo, però, la stragrande maggioranza dei siti web continua tuttora a utilizzare i servizi delle aziende americane.
Una notizia che fa luce sullo stato di confusione attuale della normativa è quella per cui, secondo il Garante europeo (EDPS) che ha giurisdizione sulle istituzioni europee, il Parlamento Europeo violi le norme utilizzando proprio i servizi di Google Analytics.
Cosa si può fare ora
Ci sono diversi motivi per cui non è il momento di prendere decisioni avventate riguardo Google Analytics:
- La decisione non va nella direzione di impedire alle aziende l’utilizzo di Google Analytics. Esistono, tra l’altro, numerosi altri servizi e strumenti utilizzati ogni giorno da milioni di aziende che sono prodotti da Big Tech americane con server in US
- Il sito austriaco condannato non presentava né un cookie banner né l’anonimizzazione degli IP
La prima cosa da fare è assicurarsi che i siti siano adeguati alle linee guida sui cookie e sugli strumenti di tracciamento, per il resto consigliamo di monitorare gli interventi di Google e dei regolatori europei e allo stesso tempo di effettuare delle analisi interne con i propri DPO e uffici legali.
Conclusioni
Nel lungo periodo è possibile che si delineino due scenari:
- Gli Stati Uniti adotteranno le protezioni di base per gli utenti stranieri
- I fornitori statunitensi dovranno poter ospitare al di fuori degli Stati Uniti i dati degli utenti stranieri
Google dal canto suo, all’interno del suo blog, ha provato a fornire alcune risposte attraverso Russell Ketchum — Director, Product Management, Google Analytics : “Sono le aziende, e non Google, che controllano quali dati vengono raccolti con questi strumenti e come vengono utilizzati. Google le supporta solamente” passando poi a “Seguiamo quanto dettato dall’ EU Standard Contractual.”
Come ha specificato Google tramite Kent Walker nell’articolo “It’s time for a new EU-US data transfer framework”, si tratta di un tema fortemente politico e, finché la politica non si pronuncerà in merito, le aziende e i cittadini possono solamente attendere una decisione netta e condivisa da parte degli enti regolatori.
Perché Google non sposta i server in EU?
Sembra semplice ma non lo è: nessuna Big Tech americana si può sottrarre alle richieste delle agenzie connazionali di ottenere dati, tra i quali anche quelli dei cittadini europei. Le aziende sono da tempo alla ricerca di soluzioni tecnologiche come la cifratura dei dati che però si sono dimostrate poco efficaci. Su questo tema, ecco un contributo molto interessante che spiega perché il trasferimento non sia una soluzione così semplice.
Il problema di spostare i dati in EU, oltre al punto di vista tecnologico, è che le aziende americane sono soggette alle norme americane indipendentemente da dove sono i server, quindi sono obbligate a fornire i dati alle autorità americane anche se questi sono su territorio europeo. L’unica effettiva soluzione sarebbe quella di avere una azienda separata che non consente l’accesso ai (o il controllo dei) dati alla società madre americana. In tal caso però occorrerebbe analizzare il livello di “controllo “ dei dati ai sensi della normativa Usa, in quanto gli Usa sono un paese di common law (basato su precedenti giudiziari) e quindi su casistiche ex post. In sostanza un giudice potrebbe ritenere comunque sussistente il “controllo” da parte della casa madre rispetto alla filiale europea e quindi obbligare l’azienda a dare l’accesso ai dati alle agenzie americane.
Bonus Track
E se tutto questo fosse solo l’inizio? https://www.wired.com/story/google-analytics-europe-austria-privacy-shield/
Questo articolo è stato scritto da Edoardo Bulgarelli, Digital Analytics Team Leader, per il blog di Webranking.
Ricevi la nostra newsletter? Una volta al mese il nostro punto sui fatti importanti del digitale, iscriviti qui.
Webranking è un’agenzia digitale orientata alla performance che, con competenza e trasparenza, fa crescere eccellenze internazionali in un panorama innovativo, grazie a un mix di positività, passione e talento.
