Google Analytics diventa illegale in Austria

L’autorità austriaca per la protezione dei dati (“Datenschutzbehörde” o “DSB” o “DPA”) ha stabilito che i fornitori di siti web austriaci che utilizzano Google Analytics violano il GDPR.

L’autorità austriaca per la protezione dei dati (“Datenschutzbehörde” o “DSB” o “DPA”) ha stabilito che i fornitori di siti web austriaci che utilizzano Google Analytics violano il GDPR.

La genesi della sentenza

La storia della sentenza risale a una decisione presa nel 2020 dalla Corte di giustizia dell’Unione europea (CGUE) secondo la quale i servizi cloud ospitati negli Stati Uniti non sono in grado di rispettare il GDPR e le leggi sulla privacy dell’UE. Il motivo di questa decisione è che le leggi sulla sorveglianza degli Stati Uniti richiedono ai fornitori statunitensi (come Google o Facebook) di fornire dati personali alle autorità.

La sentenza del 2020, nota come “Schrems II”, ha segnato la fine del Privacy Shield, un accordo che consentiva il trasferimento dei dati dell’UE a società statunitensi che hanno ottenuto una certificazione. L’invalidazione del Privacy Shield colpiva pesantemente i servizi online statunitensi che operano in Europa: essi non erano più autorizzati a trasferire i dati dei cittadini europei negli Stati Uniti in quanto ciò avrebbe reso tali dati vulnerabili alla sorveglianza di massa americana – una chiara violazione del GDPR europeo.

Tuttavia, l’industria tecnologica della Silicon Valley ha in gran parte ignorato la sentenza. Come NOYB ha spiegato:

“Anche se tale sentenza fu un fulmine a ciel sereno per l’industria tecnologica, i fornitori statunitensi e gli esportatori di dati dell’UE in gran parte la ignorarono. Allo stesso modo di Microsoft, Facebook o Amazon, anche Google ha fatto affidamento sulle cosiddette “clausole contrattuali standard” per continuare i trasferimenti di dati e calmare i suoi partner commerciali europei.”

Il casus belli

Il 14 agosto 2020, un utente di Google aveva effettuato l’accesso a un sito Web austriaco che trattava di problemi di salute. Questo sito web utilizzava Google Analytics e i dati sull’utente furono trasmessi a Google. Sulla base di questi dati, Google è stato in grado di identificare l’utente. Il 18 agosto 2020, l’utente di Google ha presentato un reclamo all’autorità austriaca per la protezione dei dati con l’aiuto dell’organizzazione no-profit NOYB.

Il tribunale austriaco ha dichiarato adesso illegale questo trasferimento di dati. Il problema è che, in ragione dell’American CLOUD Act, le autorità statunitensi sono in grado di richiedere dati personali a Google, Facebook e altri fornitori statunitensi, anche quando operano al di fuori degli Stati Uniti, quindi in Europa, ad esempio. Pertanto, Google non può fornire un livello adeguato di protezione ai sensi dell’articolo 44 del GDPR – una chiara violazione delle garanzie europee sulla protezione dei dati. Le clausole contrattuali standard invocate dal gestore del sito web non sono giustificative, come riconosciuto nel 2020 dalla Corte di giustizia europea (CGUE).

Il fattore decisivo nella valutazione giuridica dell’utilizzo di Google Analytics non è se un’agenzia di intelligence statunitense abbia effettivamente ottenuto i dati o se Google abbia effettivamente identificato l’utente. Il semplice fatto che ciò sia teoricamente possibile è una violazione del GDPR.

Gli utenti di Google possono, teoricamente, agire su un’impostazione del loro account per proibire a Google di valutare in dettaglio il loro utilizzo di siti web di terze parti. Ma già il fatto che questa funzione esista, è la prova che Google è in grado di risalire all’individuo a partire dai suoi dati di utilizzo.

Il successo di NOYB

Questa sentenza è uno dei più grandi successi ottenuti dall’organizzazione per la protezione dei dati NOYB ad oggi. Di conseguenza, il NOYB e Max Schrems (l’avvocato che in passato ha citato in giudizio con successo Facebook per violazioni della privacy contro i cittadini europei) sono molto soddisfatti della decisione del tribunale austriaco:

“Si tratta di una sentenza molto solida e dettagliata. In sostanza essa afferma: le aziende non possono più utilizzare i servizi cloud statunitensi in Europa. Dopo la sentenza della Corte di giustizia europea, qui nuovamente confermata, era tempo che la legge venisse applicata”.

Questa sentenza è la prima di 101 cause legali intentate dalla organizzazione senza scopo di lucro NOYB nella maggior parte degli stati membri dell’Unione Europea. Decisioni simili dovrebbero ora seguire in Germania, nei Paesi Bassi e in altri Stati membri dell’UE.

Molte aziende in Europa devono ora chiedersi se rimuovere Google Analytics dai loro siti web o rischiare una sanzione per aver violato il GDPR. A lungo termine, ci saranno due opzioni: o gli Stati Uniti cambiano le loro leggi sulla sorveglianza per supportare le loro attività tecnologiche, o i fornitori statunitensi dovranno ospitare i dati degli utenti europei in Europa.

L’Autorità olandese per i dati personali (AP) – dove sono ancora in sospeso due decisioni sull’uso di Google Analytics – ha per ora aggiornato le proprie linee guida sulla “configurazione rispettosa della privacy di Google Analytics”.

Con tale aggiornamento, l’AP ha emesso un avviso:

“Nota: l’uso di Google Analytics potrebbe presto non essere più consentito.”

L’Autorità olandese per i dati personali prevede di decidere sui casi pendenti riguardanti Google Analytics all’inizio del 2022. Quindi l’AP emetterà presto una ulteriore risoluzione sul fatto che l’uso di Google Analytics sia illegale in Europa o meno.

Cosa significa questo se si utilizza Google Analytics?

Se c’è una cosa da imparare da questo caso, è che ignorare le sentenze del tribunale e continuare a utilizzare Google Analytics non è un’opzione praticabile. Se gestisci un sito web in Austria o se il tuo sito web offre servizi a cittadini austriaci, devi rimuovere immediatamente Google Analytics dal tuo sito.

Per le imprese di altri Stati membri dell’UE, è consigliabile di intervenire prima che NOYB e le autorità locali per la protezione dei dati inizino a prendere di mira altre aziende.

“Invece di adattare effettivamente i loro servizi per essere conformi al GDPR, le aziende statunitensi hanno cercato semplicemente di aggiungere del testo alle loro politiche sulla privacy e ignorare la Corte di giustizia. Molte imprese dell’UE hanno seguito questo esempio invece di passare a opzioni legali.”
– Max Schrems –

Le alternative a Google Analytics

Rimuovere Google Analytics non significa che si debba rinunciare del tutto all’analisi del sito web. Esistono oggi diverse alternative praticabili. Ad esempio, Matomo è una potente piattaforma di analisi web open source che offre il 100% di proprietà dei dati e conformità al GDPR. Matomo è senza dubbio una delle migliori alternative a Google Analytics, con soluzioni di “privacy by design” disponibili su Cloud, On-Premise o specifiche per siti WordPress.

Conclusioni

Come azienda europea, diventa molto rischioso affidare i dati sensibili degli utenti a società come Google che ignorano deliberatamente la legislazione europea sulla privacy e mettono i loro clienti commerciali europei a rischio di pesanti multe. (Le multe contro il sito web austriaco sulla salute nel caso discusso verranno decise successivamente).

Si deve prendere atto che la privacy sta diventando sempre più importante per i consumatori di tutto il mondo, e quindi sarà logico per qualsiasi azienda europea scegliere servizi incentrati sulla protezione della privacy dei propri utenti.

Informazioni su TG Team 117 Articoli
We are the TG magazine editorial team, a unique pool of copywriters and engineers to get you through technologies and their impact on your business. Need our expertise for an article or white paper?