L’autorità svedese per la protezione della privacy (IMY), l’equivalente del Garante per la protezione dei dati personali italiano, ha deciso di irrogare una sanzione da circa 1 milione di euro a due aziende con sede legale nel Paese scandinavo. Motivo del provvedimento è un utilizzo non conforme del servizio Google Analytics all’interno dei rispettivi siti Web. Secondo il regolamento generale sulla protezione dei dati (GDPR) vigente in Europa, i dati personali possono essere trasferiti verso Paesi terzi, ovvero nazioni al di fuori dei confini UE/SEE (Spazio Economico Europeo), se e solo se la Commissione europea ha deciso che il Paese in questione ha un livello adeguato di protezione dei dati personali che corrisponde a quello stabilito in sede europea.
Il trasferimento dei dati personali verso gli USA ad oggi non è consentito, per via della sentenza Schrems II
La Corte di giustizia dell’Unione europea, con l’ormai famosa sentenza Schrems II del 16 luglio 2020, ha escluso che gli USA possano garantire – rispetto ai soggetti con sede in Europa – un livello di protezione adeguato. Il cosiddetto Privacy Shield, ovvero l’accordo UE-USA che permetteva il trasferimento dei dati Oltreoceano a fronte di specifiche garanzie, è stato dichiarato non più valido.
Da allora tante associazioni che si occupano di difendere i diritti dei cittadini e, in particolare, auspicano una gestione dei dati più responsabile e trasparente, hanno “cavalcato” la storica decisione presentando una lunga serie di contestazioni innanzi alle Autorità garanti dei vari Stati membri.
NOYB (None of Your Business), ad esempio, è un’organizzazione non governativa per la difesa dei diritti digitali e della privacy. È stata fondata nel 2017 da Max Schrems, un avvocato e attivista austriaco noto per le sue battaglie legali sulla privacy contro grandi aziende tecnologiche. Non a caso, la decisione della Corte di giustizia porta il suo nome.
Proprio NOYB ha presentato 101 “denunce-pilota” nei confronti di altrettante aziende operative in vari Paesi europei, Italia compresa. E oggi l’organizzazione festeggia la decisione del Garante privacy svedese.
Google Analytics sempre nell’occhio del ciclone per quanto riguarda il trasferimento dei dati negli Stati Uniti
Quasi sicuramente per via della sua vastissima diffusione tra i siti Web di tutto il mondo, Google Analytics è divenuto sin da subito uno dei servizi più duramente bersagliati dagli attivisti. Come abbiamo evidenziato in un altro articolo di risalente a un anno fa, il trasferimento dei dati negli USA ha in Google Analytics solo la punta dell’iceberg. Sono infatti decine, se non centinaia, i servizi utilizzati a vari livelli che in qualche modo scambiano dati con server che si trovano dall’altro lato dell’Oceano Atlantico.
Il fatto è che la responsabilità rimane in capo al titolare del trattamento ovvero al soggetto con sede entro i confini europei che deve assicurarsi di gestire i dati personali dei suoi utenti in conformità con quanto previsto dal GDPR. Nel caso di Analytics, insomma, Google non è mai chiamata a rispondere di eventuali illeciti: sono i gestori dei siti Web, invece, a dover affrontare in prima persona eventuali accertamenti e a sostenere le sanzioni applicate in caso di irregolarità.
E in questo senso, come osservano gli esperti, da più parti si richiede il vivo coinvolgimento delle aziende che forniscono i servizi agli utenti finali.
Il Garante svedese dispone per la prima volta delle sanzioni amministrative
È la prima volta che un’Autorità Garante sceglie di disporre sanzioni pecuniarie nei confronti delle aziende oggetto di un provvedimento di verifica per l’utilizzo scorretto di Google Analytics.
I provvedimenti pubblicati da IMY sono incentrati sulle implementazioni di Google Analytics da parte di quattro aziende svedesi: Tele2 SA, CDON AB, Coop SA e Dagens Industri. Mentre le ultime due sono obbligate ad adeguarsi alle prescrizioni del GDPR, Tele2 e CDON risultano oggetto di una sanzione, rispettivamente da circa 1 milione e circa 25.000 euro.
IMY ritiene che i dati trasferiti negli USA tramite Google Analytics siano dati personali perché essi possono essere collegati ad altri dati univoci ugualmente trasferiti Oltreoceano. L’Autorità svedese ha inoltre stabilito che le misure tecniche di sicurezza adottate dalle società non sono sufficienti per garantire un livello di protezione sostanzialmente corrispondente a quello garantito all’interno dell’UE e dello SEE.
In arrivo un nuovo Privacy Shield UE-USA
La decisione del Garante svedese è conseguente alle verifiche svolte dopo le denunce presentate a suo tempo da NOYB e arriva quando nell’aria c’è un nuovo accordo UE-USA in vista: dovrebbe ripristinare la possibilità di trasferire legalmente i dati. Gli attivisti sostengono che sarà comunque ben presto invalidato dalla Corte di giustizia per via dell’impianto molto simile al precedente.
“Diverse altre Autorità di controllo all’interno dell’UE/SEE hanno stabilito che il trasferimento di dati personali a Paesi terzi (USA, n.d.r.) ha avuto luogo durante l’utilizzo dello strumento (Google Analytics, n.d.r.) perché è possibile combinare gli indirizzi IP con altri dati (…), consentendo così la differenziazione dei dati e l’identificazione dell’indirizzo IP“, si legge in uno dei provvedimenti. “Ciò è di per sé sufficiente per stabilire che si tratta di un trattamento di dati personali“.
IMY ribadisce la tesi secondo cui Google è in grado di collegare gli indirizzi IP pubblici degli utenti con altre informazioni in suo possesso, relative alle attività di navigazione sul Web. Tali informazioni, nel loro complesso, possono permettere di tracciare un “identikit” dell’utente e risalire eventualmente alla sua precisa identità.