Google Analytics illegale in Austria?
Presunta violazione GDPR
L’autorità austriaca per la protezione dei dati (“Datenschutzbehörde” o DSB) ha stabilito che i fornitori di siti web austriaci che utilizzano Google Analytics violano il GDPR.
LA GENESI DELLA SENTENZA
La storia della sentenza risale a una decisione presa nel 2020 dalla Corte di giustizia dell’Unione europea (CGUE) secondo la quale i servizi cloud ospitati negli Stati Uniti non sono in grado di rispettare il GDPR e le leggi sulla privacy dell’UE. Il motivo di questa decisione è che le leggi sulla sorveglianza degli Stati Uniti richiedono ai fornitori statunitensi (come Google o Facebook) di fornire dati personali alle autorità.
La sentenza del 2020, nota come “Schrems II”, ha segnato la fine del Privacy Shield, un accordo che consentiva il trasferimento dei dati dell’UE a società statunitensi che hanno ottenuto una certificazione. L’invalidazione del Privacy Shield colpiva pesantemente i servizi online statunitensi che operano in Europa: essi non erano più autorizzati a trasferire i dati dei cittadini europei negli Stati Uniti in quanto ciò avrebbe reso tali dati vulnerabili alla sorveglianza di massa americana – una chiara violazione del GDPR europeo.
L’industria tecnologica della Silicon Valley ha in gran parte ignorato la sentenza. Come NOYB ha spiegato: “Anche se tale sentenza fu un fulmine a ciel sereno per l’industria tecnologica, i fornitori statunitensi e gli esportatori di dati dell’UE in gran parte la ignorarono. Allo stesso modo di Microsoft, Facebook o Amazon, anche Google ha fatto affidamento sulle cosiddette “clausole contrattuali standard” per continuare i trasferimenti di dati e calmare i suoi partner commerciali europei.”
IL CASUS BELLI
Il 14 agosto 2020, un utente di Google aveva effettuato l’accesso a un sito Web austriaco che trattava di problemi di salute. Questo sito web utilizzava Google Analytics e i dati sull’utente furono trasmessi a Google. Sulla base di questi dati, Google è stato in grado di identificare l’utente. Il 18 agosto 2020, l’utente di Google ha presentato un reclamo all’autorità austriaca per la protezione dei dati con la collaborazione di una organizzazione no-profit: NOYB.
Il tribunale austriaco ha dichiarato adesso illegale questo trasferimento di dati. Il problema è che, in ragione del American CLOUD Act, le autorità statunitensi sono in grado di richiedere dati personali a Google, Facebook e altri fornitori statunitensi, anche quando operano al di fuori degli Stati Uniti, quindi in Europa, ad esempio. Pertanto, Google non può fornire un livello adeguato di protezione ai sensi dell’articolo 44 del GDPR – una chiara violazione delle garanzie europee sulla protezione dei dati. Le clausole contrattuali standard invocate dal gestore del sito web non sono giustificative, come riconosciuto nel 2020 dalla Corte di giustizia europea (CGUE).
Il fattore decisivo nella valutazione giuridica dell’utilizzo di Google Analytics non è se un’agenzia di intelligence statunitense abbia effettivamente ottenuto i dati o se Google abbia effettivamente identificato l’utente. Il semplice fatto che ciò sia teoricamente possibile è una violazione del GDPR.
Gli utenti di Google possono, teoricamente, agire su un’impostazione del loro account per proibire a Google di valutare in dettaglio il loro utilizzo di siti web di terze parti. Ma già il fatto che questa funzione esista, è la prova che Google è in grado di risalire all’individuo a partire dai suoi dati di utilizzo.
Questa sentenza è uno dei più grandi successi ottenuti dall’organizzazione per la protezione dei dati NOYB ad oggi. Il NOYB e Max Schrems – l’avvocato (in foto) che in passato ha citato in giudizio con successo Facebook per violazioni della privacy contro i cittadini europei – sono molto soddisfatti della decisione del tribunale austriaco:
“Si tratta di una sentenza molto solida e dettagliata. In sostanza essa afferma: le aziende non possono più utilizzare i servizi cloud statunitensi in Europa. Dopo la sentenza della Corte di giustizia europea, qui nuovamente confermata, era tempo che la legge venisse applicata“.
Questa sentenza è la prima di 101 cause legali intentate dalla organizzazione senza scopo di lucro NOYB nella maggior parte degli stati membri dell’Unione Europea. Decisioni simili dovrebbero ora seguire in Germania, nei Paesi Bassi e in altri Stati membri dell’UE.
Molte aziende in Europa devono ora chiedersi se rimuovere Google Analytics dai loro siti web o rischiare una sanzione per aver violato il GDPR. A lungo termine, ci saranno due opzioni: o gli Stati Uniti cambiano le loro leggi sulla sorveglianza per supportare le loro attività tecnologiche, o i fornitori statunitensi dovranno ospitare i dati degli utenti europei in Europa.
L’Autorità olandese per i dati personali (AP) – dove sono ancora in sospeso due decisioni sull’uso di Google Analytics – ha per ora aggiornato le proprie linee guida sulla “configurazione rispettosa della privacy di Google Analytics”.
Con tale aggiornamento, l’AP ha emesso un avviso:
“Nota: l’uso di Google Analytics potrebbe presto non essere più consentito.“
L’Autorità olandese per i dati personali prevede di decidere sui casi pendenti riguardanti Google Analytics all’inizio del 2022. Quindi l’AP emetterà presto una ulteriore risoluzione sul fatto che l’uso di Google Analytics sia illegale in Europa o meno.
COSA SIGNIFICA QUESTO SE SI USA GOOGLE ANALYTICS?
Se c’è una cosa da imparare da questo caso, è che ignorare le sentenze del tribunale e continuare a utilizzare Google Analytics non è un’opzione praticabile. Se gestisci un sito web in Austria o se il tuo sito web offre servizi a cittadini austriaci, devi rimuovere immediatamente Google Analytics dal tuo sito.
Per le imprese di altri Stati membri dell’UE, è consigliabile di intervenire prima
che NOYB e le autorità locali per la protezione dei dati inizino a prendere di mira altre aziende.
“Invece di adattare effettivamente i loro servizi per essere conformi al GDPR, le aziende statunitensi hanno cercato semplicemente di aggiungere del testo alle loro politiche sulla privacy e ignorare la Corte di giustizia. Molte imprese dell’UE hanno seguito questo esempio invece di passare a opzioni legali.“
(Max Schrems)
ALTERNATIVE A GA
Rimuovere Google Analytics non significa che si debba rinunciare del tutto all’analisi del sito web. Esistono oggi diverse alternative praticabili. Ad esempio, Matomo è una potente piattaforma open source di analisi web che
offre il 100% di proprietà dei dati e conformità al GDPR. Matomo è senza dubbio una delle migliori alternative a Google Analytics, con soluzioni di privacy by design disponibili su Cloud, On-Premise o specifiche per siti realizzati con WordPress.
| Per concludere |
Come azienda europea, diventa molto rischioso affidare i dati sensibili degli utenti a società come Google che ignorano deliberatamente la legislazione europea sulla privacy e mettono i loro clienti commerciali europei a rischio di pesanti multe. (Le multe contro il sito web austriaco sulla salute nel caso discusso verranno decise successivamente).
Sin dalla nascita nel 2009, Epysoft ha ricercato un mix di competenze che la individuassero come una piccola società ma dalla visione il più possibile aperta sulle tematiche digitali in continua evoluzione. I nostri clienti, con alcuni dei quali abbiamo rapporti da ben prima della nascita di questa società, hanno sempre trovato in noi l’interlocutore globale che sa cogliere le profonde connessioni tra l’infrastruttura informativa ed i processi produttivi, commerciali e di marketing.
Crediamo che i sistemi e le tecnologie di oggi costituiranno l’esperienza quotidiana di domani. Migliorare le performance, siano esse produttive o di marketing, richiede prima di tutto una misura perchè nella vita aziendale, come è stato detto, “ciò che non si può misurare non esiste”.
SysAdmin | Amministrazione di domini Windows Server, Active Directory, Mail Server, Sistemi di backup ridondante, servizi di Webmaster, gestione hosting esterni Linux e CPanel.
Networking | Amministrazione reti LAN/WAN, routing Cisco, Firewall, VPN client to gateway e gateway to gateway, Cybersecurity. Soluzioni custom di sistemi per lo smart working. Networking per gestionali in SAS.