Con questa decisione, l’autorità austriaca per la protezione dei dati (“Datenschutzbehörde” o “DSB”) dà il via ad una cascata di prossime sentenze degli altri Garanti europei che metterà a dura prova chiunque abbia un sito all’interno dell’UE che usa servizi con sede in USA.
Edit al 28/01/2022. Anche il Garante norvegese comunica che, dopo quello austriaco, ha preso una decisione simile per due casi sempre riguardanti Google Analytics di cui si sta occupando, e riferendo che “ci saranno più decisioni su Google Analytics anche da altri regolatori di dati europei. Pertanto, ora consigliamo a tutti di esplorare alternative a Google Analytics.“
Edit al 12/02/2012. Il 4 febbraio Google ha comunicato che, in merito alle sentenze che alcuni garanti europei hanno emesso nei confronti di gestori di siti che utilizzano Google Analytics, sanzionandoli per illecito trasferimento dei dati verso gli USA, ha implementato le disposizioni di protezione dei dati. “Pur rimanendo convinti che le ampie misure supplementari che offriamo ai nostri clienti garantiscano in modo pratico ed efficace la protezione dei dati secondo qualsiasi standard ragionevole, ci impegniamo a fornire ai nostri clienti una serie di controlli per permettere loro di stabilire quali dati vengono raccolti e come vengono utilizzati, in modo che possano far fronte alle proprie necessità specifiche in termini di business e conformità“. Tuttavia, la CNIL ha ritenuto che, nonostante Google abbia adottato misure aggiuntive per regolamentare i trasferimenti di dati nell’ambito della funzionalità di Google Analytics, queste non sono sufficienti per escludere l’accessibilità di questi dati per i servizi di intelligence statunitensi, e si associa ai colleghi austriaci e norvegesi nel sanzionare un gestore di un sito web, ordinando l’adeguamento entro un mese di tempo. Esattamente come già detto dagli altri Garanti, raccomanda l’utilizzo di piattaforme che non trasferiscano dati al di fuori della comunità UE, di fatto cassando l’utilizzo di tutti quei fornitori di servizi con sede legale esterna all’Europa, in quanto anche avessero, come già detto, i server entro i confini UE, questo non basta a inabilitare la facoltà delle agenzie di intelligence di accedere a qualunque dato in possesso di un’attività statunitense, anche se conservato in territorio esterno agli USA.
Rimaniamo pertanto in attesa di vedere come si muoveranno anche tutti gli altri Garanti europei, compreso quello italiano, su questa problematica inerente il trasferimento di dati in USA da parte di tutti quei servizi con sede statunitense.
Vediamo cosa è successo.
Come già più volte abbiamo detto, il 16/07/2020 la Corte di Giustizia Europea ha emanato una sentenza (chiamata “sentenza Shrems II”) che invalidava l’accordo per il trasferimento dei dati personali dall’UE agli USA, il cosiddetto “Privacy Shield”, in quanto si appurava che qualsiasi società statunitense ha l’obbligo, per il Cloud Act, di dare accesso ai dati personali che detiene, a qualsiasi titolo, anche se si tratta di dati di cittadini non americani (e quindi, anche europei), senza che sia necessario il consenso dell’interessato. Queste norme violano pesantemente le direttive del Regolamento Europeo per la protezione dei dati personali, o anche GDPR. Pertanto, ogni trasferimento di dati verso gli Stati Uniti è diventato, di fatto, illegale.
Da circa un anno e mezzo, quindi, si sta cercando una soluzione che possa conciliare la tutela dei dati dei cittadini europei con l’uso di servizi con sede americana, ma ancora non si riesce a trovarne di congrue. In teoria, la questione si potrebbe risolvere con due opzioni, come anticipato nel nostro articolo “Trasferimento dati in USA. A che punto siamo ad un anno dall’annullamento del Privacy Shield”, ovvero con le “SCCs (Standard Contractual Clauses), contratti da stipulare coi fornitori statunitensi in cui questi ultimi si impegnano in forma scritta a rispettare la tutela della privacy in maniera analoga e compatibile al Regolamento Europeo, oppure le BCR (Binding Corporate Rules), ovvero una serie di clausole vincolanti al cui rispetto sono tenute tutte le società appartenenti ad uno stesso gruppo, anche se una o più di esse si trova in territorio extra UE, in caso di trasferimento dati all’interno di uno stesso gruppo societario.”
Google finora ha semplicemente fatto affidamento sulle SCCs.
Infatti, secondo Max Schrems, presidente onorario di noyb.eu, “Invece di adattare effettivamente i servizi per essere conformi al GDPR, le aziende statunitensi hanno cercato di aggiungere semplicemente del testo alle loro politiche sulla privacy e ignorare la Corte di giustizia europea. In conseguenza a ciò, molte aziende dell’UE, prendendo esempio dalle informative privacy fuoriuscite dai grandi fornitori statunitensi, hanno imitato questi ultimi e invece di passare alle opzioni legali consentite dal GDPR, hanno rimandato nelle loro privacy la responsabilità dell’uso di cookie (solitamente analytics) di terze parti a queste ultime, cercando di scaricare così sulle società statunitensi qualsiasi rivendicazione legale proveniente da reclami degli interessati.“.
Ma, per quello che riguarda le SCCs, non riescono, effettivamente, ad impedire alle agenzie di intelligence di accedere alle loro banche dati, rendendo vano qualsiasi tentativo di contrattualizzare una tutela di fatto inesistente, così come non è possibile, per i titolari di siti in UE, rimandare la propria responsabilità legale di un trattamento dati che fa indissolubilmente capo a loro.
L’Autorità austriaca ha ribadito quindi l’illegalità del trasferimento dei dati in territorio statunitense, a maggior ragione in quanto, per ciò che riguarda Google analytics in particolar modo, i trasferimenti sono continuativi e massicci. Nel lungo termine ha ipotizzato due soluzioni, con un adattamento delle protezioni di base per gli stranieri da parte degli USA (ipotesi non molto verosimile), o lo stoccaggio dei dati stranieri in territorio comunitario. Ma, anche per questa seconda opzione, come si evidenzia dalla sentenza del tribunale amministrativo di Wiesbaden (Az.: 6 L 738/21.WI) contro la RheinMain University of Applied Sciences, in Germania, per l’uso di Cookiebot per la propria privacy, non risulta una opzione percorribile, in quanto, seppure i fornitori statunitensi utilizzassero dei server all’interno del territorio europeo, questi rimarrebbero comunque di proprietà di società americane che non possono opporsi all’accesso delle agenzie alle loro banche dati, anche laddove queste siano in territorio esterno agli USA.
Anche in quest’ultimo caso, infatti, il tribunale bavarese ha rilevato l’incongruenza segnalata da un utente dell’Ateneo, che lamentava il fatto che l’università si avvaleva per il proprio banner privacy del servizio fornito da Cookiebot, il quale trasferiva sì i dati ad una società, la Akamai Technologies, il cui server era in Europa, ma la cui sede legale è però in Massachusetts, USA, e pertanto sottoposta ai vincoli del US Cloud Act, che richiede ai fornitori di servizi statunitensi di divulgare “tutti i dati in loro possesso, custodia o controllo”, indipendentemente da dove sono archiviati. Alla luce della decisione Schrems II della Corte di giustizia europea (CGUE), questa pratica è inammissibile.
Attenzione.
La sentenza del Garante austriaco parla in questo caso di Google Analytics, ma la stessa è applicabile a qualsiasi fornitore di servizi americano, come, giusto per citare alcune sentenze già emesse, la suddetta contro Cookiebot, MailChimp (ricordiamo che l’Autorità tedesca ha considerato illegittimo il trasferimento di dati personali extra UE effettuato dalla società tedesca FOGS Magazin che si avvaleva dei servizi Mailchimp in materia di newsletter), così come sono sanzionabili coloro che utilizzano altri servizi di società statunitensi.
Verosimilmente, ad oggi, l’unica soluzione fattibile rimane pertanto l’uso di fornitori di servizi con sede societaria e stoccaggio entro i confini dell’UE, e in questo caso ci sono molte alternative che sono ospitate in Europa o possono essere auto-ospitate, sia per servizi di analisi, che archiviazione, trattamento, marketing ecc.
Come già ribadito dal DSB, l’Autorità garante Austriaca, è dunque ora di applicare la sentenza, la cui sintesi è che “le aziende non possono più usare servizi cloud statunitensi in Europa. Sono passati un anno e mezzo da quando la Corte di giustizia europea ha confermato l’annullamento del Privacy Shield una seconda volta, quindi è più che tempo che la legge sia anche applicata.”
Lascia un commento