L’utilizzo di Google Analytics sarà illegale?

Ultimamente su Google Analytics sono emersi problemi inerenti la privacy, a causa di una non conformità con il GDPR e il pronunciamento del garante europeo: presto utilizzarlo diventerà illegale? Ce lo spiegano i nostri consulenti legali.

Avatar di Redazione Diritto dell’Informatica

a cura di Redazione Diritto dell’Informatica

L’Austria si fa paladina della protezione dei dati, dapprima con l’ospitare una delle più attive associazioni non governative che si battono per la tutela dei diritti digitali
; nei tempi più recenti per occupare le prime pagine dei giornali con il provvedimento del Garante della privacy austriaco
che ha dichiarato illegittimo l’utilizzo di Google Analytics.

L’ONG per la tutela dei diritti digitali e il trattamento dei dati

Max Schrems è un avvocato diventato famoso per le sue battaglie per la tutela dei diritti digitali, per ovvie ragioni un tema estremamente attuale, con particolarmente riferimento al trattamento dei dati personali sul web e la correlata normativa europea sulla privacy, ad oggi identificata nel termine (anch’esso ormai noto) GDPR.

In quanto attivista per i diritti digitali, fra le numerose iniziative da lui intraprese si segnala la fondazione di NOYB (acronimo di None Of Your Business – “nessun affar tuo”), l’European Centre for Digital Rights, ONG attiva nel campo di diritti digitali, soprattutto in tema privacy, fondata a Vienna nel 2017.

NOYB si prodiga in un copioso attivismo, sia in campo mediatico sia in campo giudiziale, a sostegno e tutela della legislazione europea a tutela della privacy, per favorirne e promuoverne l’effettiva operatività.

Prima sentenza: Analytics e il trasferimento di dati “Privacy Shield”

NOYB ha concretamente supportato Schrems nell’azione giudiziaria che ha dato esito alla cd. Schrems I, la sentenza apripista ad un dibattito paneuropeo sullo stato attuale del trattamento dei dati delle piattaforme digitali, con particolare riferimento al trasferimento dei dati oltreoceano e, nello specifico, negli Stati Uniti.

I fatti hanno voluto che il DPC d’Irlanda, ovverosia la Commissione per la protezione dei dati irlandese negasse la richiesta del signor Max Schrems di sospendere i trasferimenti di dati da Facebook Ireland a Facebook Inc., in quanto una volta arrivati in America, i dati potevano essere portati conoscenza delle agenzie di intelligence USA.

La base giuridica del trasferimento dei dati oltreoceano utilizzata da Facebook, a quel tempo, era il Safe Harbor Framework USA-UE.

La vicenda era stata trasferita alla competenza della Corte di Giustizia dell’Unione europea.

Nel 2015, il Safe Harbor Framework USA-UE è stato dichiarato invalido dalla CGUE, di conseguenza la Commissione Europea ha validato un nuovo accordo denominato Privacy Shield, il cd. “Scudo per la privacy UE-USA”.

Per ulteriori informazioni su Privacy Shield e dati trasferiti, negli USA leggi questo articolo

Seconda sentenza: Perché Analytics non è conforme al GDPR

Il 16 luglio 2020, la Corte di Giustizia - con la Sentenza Schrems II (caso C-311/18) - aveva poi stabilito l’invalidità del Privacy Shield, l’accordo tra l’Unione Europea e gli Stati Uniti nato da Schrems I, a previsione di maggiori garanzie per quanto riguarda i dati sia di cittadini che di imprese europei, trasferiti negli USA.

Secondo la Corte, il trasferimento di dati verso un paese terzo è legittimo solamente se quest’ultimo garantisce un adeguato livello di protezione conforme al GDPR ed il loro trattamento rispetta il principio di proporzionalità, requisiti entrambi fallaci nella normativa USA.

Per approfondire il GDPR (General Data Protection Regulation, Regolamento europeo sulla protezione dei dati), puoi seguire la nostra guida completa, clicca qui

Inoltre, il sistema statunitense di sorveglianza statale, personificato dalle agenzie di intelligence, invade quel limite che il Regolamento europeo sulla privacy ha tracciato in maniera netta e decisa, a tutela della dimensione privata dei cittadini.

Il Garante dice NO all’utilizzo di Google Analytics in Europa

Sulla scorta di tali retroterra, il Garante per la Privacy austriaco si è trovato a valutare una vicenda, il cui esito non sarà che il benchmark del prosieguo dei fatti sinora narrati, il cui fil rouge è rappresentato da una sempre più approfondita tutela dei dati personali, quanto più la tecnologia e l’internazionalità del web evolvono.

Le criticità sull’utilizzo di Google Analytics in tema privacy

Il titolare di un sito web utilizzava Google Analytics per ottenere delle statistiche volte allo studio delle preferenze e delle abitudini dei visitatori del suo sito, un’attività tutt’altro che insolita. Il ricorrente contestava, sia al titolare del sito che a Google stesso, di non poter effettuare le suddette attività, dal momento che il Privacy Shield non è più applicabile nei rapporti EU-USA.

Il Garante austriaco ha valutato positivamente talune azioni portate avanti dal convenuto, ossia l’adozione di specifiche misure tecniche e organizzative adottate nel rispetto nella normativa, oltreché l’anonimizzazione degli indirizzi IP degli utenti.

Tutto ciò però non è bastato a garantire la conformità del trattamento dei dati al GDPR, tanto che, nella sua decisione, il Garante austriaco ha posto in evidenza le seguenti maggiori criticità:

  • insufficienza delle clausole contrattuali standard: sulla scorta di Schrems II, la DSB ha osservato che le clausole contrattuali standard non sono vincolanti per i Paesi terzi, di conseguenza nemmeno per i sistemi e programmi di sorveglianza di governo ed intelligence statunitensi;
  • tutela minima delle clausole di protezione standard: le clausole di protezione standard offrono la sola garanzia contrattuale di conformità alla legislazione europea;
  • insufficienza delle misure ulteriori messe in atto: le misure tecniche e organizzative adottate nel rispetto nella normativa, oltreché l’anonimizzazione degli indirizzi IP degli utenti non sono sufficienti per esonerare i dati raccolti dall’ingerenza dei sistemi e programmi USA;
  • obbligo di fornitura dei dati da parte di Google A.: Google A. rappresenta un fornitore di servizi di comunicazione elettronica ed è di conseguenza obbligato a fornire i dati personali alle autorità statunitensi.

Per tali ragioni l’utilizzo di Google Analytics in territorio europeo è stato dichiarato illegittimo da parte della DSB.