Il sito web che utilizza il servizio Google Analytics viola la normativa sulla protezione dei dati perché trasferisce negli Stati Uniti, Paese privo di un adeguato livello di protezione, i dati degli utenti.
È quanto stabilito dal Garante della privacy in un recente provvedimento.
I molti siti che utilizzano Google Analytics dovranno correre ai ripari per non incorre in salate sanzioni. Ma come?
Mister Lex ha rivolto la domanda al Prof. Michele Iaselli.
***
Il nostro Garante per la protezione dei dati personali con il provvedimento n. 224 del 9 giugno 2022 a seguito di una complessa istruttoria avviata sulla base di una serie di reclami e in coordinamento con altre autorità privacy europee ha concluso che un sito web che utilizzi il servizio Google Analytics (GA), senza le garanzie previste dal Regolamento Ue, viola la normativa sulla protezione dei dati perché trasferisce negli Stati Uniti, Paese privo di un adeguato livello di protezione, i dati degli utenti.
Dall'indagine del Garante è emerso che i gestori dei siti web che utilizzano Google Analytics raccolgono, mediante cookie, informazioni sulle interazioni degli utenti con i predetti siti, le singole pagine visitate e i servizi proposti. Tra i molteplici dati raccolti, indirizzo IP del dispositivo dell’utente e informazioni relative al browser, al sistema operativo, alla risoluzione dello schermo, alla lingua selezionata, nonché data e ora della visita al sito web. Tali informazioni sono risultate oggetto di trasferimento verso gli Stati Uniti. Nel dichiarare l’illiceità del trattamento è stato ribadito che l’indirizzo IP costituisce un dato personale e anche nel caso fosse troncato non diverrebbe un dato anonimo, considerata la capacità di Google di arricchirlo con altri dati di cui è in possesso.
Il provvedimento del Garante è destinato, quindi, ad avere conseguenze rilevanti nel panorama web e principalmente dell’e-commerce dove spesso viene utilizzato il servizio di Google. Difatti, l’Autorità nel provvedimento richiama all’attenzione di tutti i gestori italiani di siti web, pubblici e privati, l’illiceità dei trasferimenti effettuati verso gli Stati Uniti attraverso Google Analytics, anche in considerazione delle numerose segnalazioni e quesiti che stanno pervenendo all’Ufficio. E invita tutti i titolari del trattamento a verificare la conformità delle modalità di utilizzo di cookie e altri strumenti di tracciamento utilizzati sui propri siti web, con particolare attenzione a Google Analytics e ad altri servizi analoghi, con la normativa in materia di protezione dei dati personali.
In particolare, secondo il Garante, le Autorità governative e le agenzie di intelligence statunitensi, hanno la possibilità di accedere ai dati personali trasferiti senza le dovute garanzie, poiché, alla luce delle indicazioni fornite dall’EDPB (Raccomandazione n. 1/2020 del 18 giugno 2021), le misure che integrano gli strumenti di trasferimento adottate da Google non garantiscono, allo stato, un livello adeguato di protezione dei dati personali degli utenti.
In effetti la materia del trasferimento dei dati personali all’estero è sempre stata oggetto di grande attenzione in ambito europeo per i suoi inevitabili risvolti in materia di privacy per cui sia la Direttiva comunitaria 95/46/CE che l’attuale Regolamento Europeo n. 2016/679 hanno previsto particolari cautele in tale settore.
In particolare l’art. 44 del GDPR come principio generale sancisce che qualunque trasferimento di dati personali oggetto di un trattamento o destinati a essere oggetto di un trattamento dopo il trasferimento verso un paese terzo o un'organizzazione internazionale, compresi trasferimenti successivi di dati personali da un paese terzo o un'organizzazione internazionale verso un altro paese terzo o un'altra organizzazione internazionale, ha luogo soltanto se il titolare del trattamento e il responsabile del trattamento rispettano le condizioni di cui capo V del Regolamento. Tutte le disposizioni sono applicate al fine di assicurare che il livello di tutela delle persone fisiche garantito dal Regolamento non sia pregiudicato.
Il trasferimento di dati personali verso un paese terzo o un'organizzazione internazionale è ammesso, innanzitutto, se la Commissione ha deciso che il paese terzo, o un territorio o uno o più settori specifici all'interno del paese terzo, o l'organizzazione internazionale in questione garantiscano un livello di protezione adeguato. In tal caso il trasferimento non necessita di autorizzazioni specifiche (art. 45).
In mancanza di una valutazione di adeguatezza il titolare del trattamento o il responsabile del trattamento può trasferire dati personali verso un paese terzo o un'organizzazione internazionale solo se ha offerto garanzie adeguate e a condizione che siano disponibili diritti azionabili degli interessati e mezzi di ricorso effettivi per gli interessati (art. 46).
Il trasferimento dei dati verso paesi terzi può anche avvenire quando vi siano norme vincolanti d’impresa (art. 47) che però devono essere approvate dall’Autorità di controllo purché:
a) siano giuridicamente vincolanti e si applichino a tutti i membri interessati del gruppo di imprese o gruppi di imprese che svolgono un'attività economica comune, compresi i loro dipendenti;
b) conferiscano espressamente agli interessati diritti azionabili in relazione al trattamento dei loro dati personali;
c) soddisfino tutta una serie di requisiti quali l’indicazione della struttura e delle coordinate di contatto del gruppo d'imprese in questione e di ciascuno dei suoi membri; l’indicazione dei trasferimenti o il complesso di trasferimenti di dati, in particolare le categorie di dati personali, il tipo di trattamento e relative finalità, il tipo di interessati cui si riferiscono i dati e l'identificazione del paese terzo o dei paesi terzi in questione; l'applicazione dei principi generali di protezione dei dati, in particolare in relazione alla limitazione della finalità, alla minimizzazione dei dati, alla limitazione del periodo di conservazione, alla qualità dei dati, alla protezione fin dalla progettazione e alla protezione di default, ecc.
Appare, quindi, evidente che nella materia della tutela dei dati personali vi è da sempre la preoccupazione che, proprio al fine di eludere le protezioni offerte dalle legislazioni degli Stati, i dati personali vengono trasferiti all’estero, verso paesi con una minore, o con nessuna legislazione sul punto della protezione degli individui rispetto al trattamento dei dati personali.
Come noto riguardo, poi, i trasferimenti di dati in USA per molto tempo è stato operativo il c.d. “Safe Harbor” (approdo sicuro) un accordo che aveva introdotto un regime che rendeva sicuro il trasferimento di dati personali negli Stati Uniti. Esso si fondava, essenzialmente, nell’impegno delle imprese americane di rispettare i principi e le regole fondamentali comunitarie in materia di protezione dei dati.
A seguito, poi, della sentenza causa C-362/14 della Corte di Giustizia dell'Unione Europea, che ha dichiarato invalido il regime introdotto in virtù dell'accordo "Approdo sicuro" (Safe Harbor), è venuto meno il presupposto di legittimità per il trasferimento negli Usa di dati personali dei cittadini europei per chi utilizzava questo strumento ed il Garante, inevitabilmente, ha dichiarato decaduta l'autorizzazione emanata a suo tempo con la quale si consentivano i trasferimenti di dati verso gli Stati Uniti sulla base del suddetto accordo.
Per un certo periodo di tempo fra USA ed UE è stato in vigore l’accordo detto “Privacy Shield” che imponeva alle imprese americane obblighi più stringenti di tutela dei dati personali degli europei.
L’accordo conteneva per la prima volta dichiarazioni e impegni assunti formalmente per quanto riguarda l’accesso ai dati da parte di soggetti dell’Amministrazione americana.
Ad esempio:
- L’accesso delle autorità pubbliche ai dati personali era soggetto a limiti, garanzie e meccanismi di controllo specifici e definiti.
- Le Autorità USA dichiaravano l’inesistenza di attività di sorveglianza indiscriminata o massiva.
- Le imprese potevano dichiarare il numero approssimativo di richieste di accesso ricevute.
- Era disponibile un nuovo strumento di tutela giuridica attraverso il cosiddetto «difensore civico» (Ombudsperson) creato per il Privacy Shield: un soggetto indipendente incaricato di ricevere e decidere i reclami presentati dagli interessati.
Successivamente il 16 luglio 2020, come noto la Corte di Giustizia dell'Unione europea (CGUE) si è pronunciata (c.d. “Sentenza Schrems II”) in merito al regime di trasferimento dei dati tra l'Unione europea e gli Stati Uniti invalidando la decisione di adeguatezza del "Privacy Shield, adottata nel 2016 dalla Commissione europea in seguito alla decadenza dell'accordo "Safe Harbor".
Nella stessa sentenza la CGUE ha inoltre ritenuta valida la decisione 2010/87 relativa alle clausole contrattuali tipo (SCC) per il trasferimento di dati personali a incaricati del trattamento stabiliti in Paesi terzi.
Il Comitato Europeo per la Protezione dei Dati (EDPB) quindi ha predisposto delle FAQ relative alla sentenza Schrems e ai suoi effetti ed emanato la Raccomandazione n. 1/2020.
Nel suddetto documento l’EDPB ha chiarito che in generale, per i paesi terzi, la soglia fissata dalla Corte si applica anche a tutte le garanzie adeguate ai sensi dell'articolo 46 del GDPR delle quali ci si avvalga per trasferire dati dal SEE a qualsiasi paese terzo. La normativa statunitense cui fa riferimento la Corte (vale a dire l'articolo 702 della FISA e l'Executive Order (EO) 12333) si applica a qualsiasi trasferimento verso gli Stati Uniti per via elettronica che rientra nell'ambito di applicazione della suddetta normativa, indipendentemente dallo strumento utilizzato per il trasferimento.
Nello specifico l’EDPB, sul presupposto dell’inidoneità della normativa statunitense nel garantire un livello di protezione sostanzialmente equivalente, ha precisato che la possibilità o meno di trasferire dati personali sulla base di SCC dipende dall'esito della valutazione che si dovrà compiere, tenuto conto delle circostanze del trasferimento e delle misure supplementari eventualmente messe in atto. Le misure supplementari unitamente alle SCC, alla luce di un'analisi caso per caso delle circostanze del trasferimento, dovrebbero garantire che la normativa statunitense non interferisca con l'adeguato livello di protezione garantito dalle SCC e dalle misure supplementari stesse. Se si è giunti alla conclusione che, tenuto conto delle circostanze del trasferimento e delle eventuali misure supplementari, non vi sarebbero adeguate garanzie, occorre sospendere o porre fine al trasferimento di dati personali. Tuttavia, se si intende continuare ciononostante a trasferire i dati, occorre informarne la SA competente.
La valutazione della Corte si applica anche con riguardo alle norme vincolanti d'impresa (BCR), in quanto la normativa statunitense prevarrà anche sull’applicazione di quest’ultimo strumento. Anche in questo caso la possibilità di trasferire o meno dati personali sulla base delle BCR dipenderà dall'esito della valutazione, tenuto conto delle circostanze del trasferimento e delle misure supplementari eventualmente messe in atto. Le misure supplementari unitamente alle BCR, alla luce di un'analisi caso per caso delle circostanze del trasferimento, dovrebbero garantire che la normativa statunitense non interferisca con l'adeguato livello di protezione garantito dalle BCR e dalle misure supplementari stesse. In caso contrario si perverrà alle stesse conclusioni già evidenziate per le SCC.
Il Comitato europeo si è inoltre riservato di valutare le conseguenze della sentenza sugli strumenti di trasferimento diversi dalle SCC e dalle BCR. Difatti, la sentenza chiarisce che il parametro per l’adeguatezza delle garanzie di cui all’art. 46 del GDPR è costituito dalla "equivalenza sostanziale".
Inoltre l’EDPB ha specificato che è ancora possibile trasferire dati dal SEE agli Stati Uniti sulla base delle deroghe previste dall'articolo 49 del GDPR, purché siano soddisfatte le condizioni di cui a tale articolo.
In particolare, è opportuno ricordare che, quando i trasferimenti sono basati sul consenso dell'interessato, esso dovrebbe essere: esplicito, specifico con riguardo al particolare trasferimento o insieme di trasferimenti (il che significa che l'esportatore deve assicurarsi di ottenere un consenso specifico prima che il trasferimento sia messo in atto anche se ciò avviene dopo la raccolta dei dati), e informato.
Per quanto riguarda i trasferimenti necessari all'esecuzione di un contratto tra l'interessato e il titolare del trattamento, occorre tenere presente che i dati personali possono essere trasferiti solo su base occasionale.
In relazione, poi, ai trasferimenti necessari per importanti motivi di interesse pubblico (che devono essere riconosciuti nella legislazione dell'UE o degli Stati membri), il Comitato europeo per la protezione dei dati ricorda che il requisito essenziale per l'applicabilità di tale deroga è la constatazione della sussistenza di importanti motivi di interesse pubblico, e non già la natura del soggetto coinvolto nel trasferimento.
In altri termini va riconosciuto che l’EDPB nel proprio documento ha sostanzialmente fornito un’interpretazione della Sentenza Schrems II meno “catastrofica” rispetto a posizioni dottrinarie anche autorevoli di casa nostra, riconoscendo la possibilità di trasferimenti verso gli USA sulla base dei più noti strumenti previsti dal GDPR che però siano fondati sull’essenziale parametro dell’equivalenza sostanziale di trattamento.
Di conseguenza, in estrema sintesi, il Comitato europeo sulla protezione dei dati personali suggerisce ad ogni operatore come primo passo di conoscere bene tutti i trasferimenti di dati personali all’estero poiché la mappatura di tutti i trasferimenti di dati personali verso paesi terzi può essere un esercizio difficile.
Come secondo passo bisogna verificare lo strumento di trasferimento su cui si basa il trasferimento tra quelli elencati al capo V del GDPR. Qualora la Commissione europea abbia già dichiarato il paese, la regione o il settore verso cui si trasferiscono i dati come adeguato, attraverso una decisione di adeguatezza ai sensi dell’articolo 45 del GDPR o della precedente direttiva 95/46 fintanto che la decisione è ancora in vigore, non bisogna adottare ulteriori misure, se non controllare che la decisione di adeguatezza sia ancora valida. In assenza di una decisione di adeguatezza, bisogna fare affidamento su uno degli strumenti di trasferimento elencati all’articolo 46 del GDPR per i trasferimenti regolari e ripetitivi. Solo in alcuni casi di trasferimenti occasionali e non ripetitivi è possibile fare affidamento su una delle deroghe previste dall’articolo 49 del RGPD, se si soddisfano le relative condizioni.
Un terzo passo consiste nel valutare se vi sia qualcosa nella legge o nella prassi del paese terzo che possa incidere sull’efficacia delle garanzie adeguate degli strumenti di trasferimento su cui si fa affidamento, nel contesto dello specifico trasferimento. La relativa valutazione deve concentrarsi principalmente sulla legislazione del paese terzo rilevante per il trasferimento e sullo strumento di trasferimento ai sensi dell’articolo 46 del GDPR su cui fare affidamento e che potrebbe pregiudicarne il livello di protezione.
Un quarto passo consiste nell’individuare e adottare le misure supplementari necessarie per portare il livello di protezione dei dati trasferiti a un livello sostanzialmente equivalente a quello dell’UE. Questa misura è necessaria solo se la valutazione effettuata in precedenza rivela che la legislazione del paese terzo incide sull’efficacia dello strumento di trasferimento ai sensi dell’articolo 46 del GDPR su cui si fa affidamento o su cui si intende fare affidamento nel contesto del trasferimento.
Un quinto passo consiste nell’adozione di eventuali passi procedurali formali richiesti dall’adozione della misura supplementare, a seconda dello strumento di trasferimento di cui all’articolo 46 del GDPR su cui si fa affidamento. Le raccomandazioni riportano nel dettaglio tali formalità; in alcuni casi potrebbe essere necessario consultare le autorità di controllo competenti.
Il sesto e ultimo passo consisterà nel rivalutare a intervalli adeguati il livello di protezione dei dati che vengono trasferiti verso paesi terzi e nel controllare se ci sono stati o ci saranno sviluppi che possano influire in questo senso.
Non bisogna mai dimenticare che il principio di accountability richiede vigilanza continua circa il livello di protezione dei dati personali.
______________
Vedi:
- Garante privacy, provvedimento 9/6/2022 [9782890]