Domande e risposte su Google Analytics –
Nel corso del 2022 sono state emesse diverse decisioni in Austria, Francia e Italia in casi riguardanti l’utilizzo di Google Analytics.
I casi sono stati spinti da denunce presentate dall’organizzazione None of Your Business (“NOYB”) a una serie di autorità di vigilanza europee a seguito della sentenza della Corte di giustizia dell’Unione europea nella cosiddetta causa Schrems II . I reclami riguardavano l’uso dello strumento Google Analytics, che, secondo NOYB, comporta il trasferimento di dati personali dei visitatori del sito Web a Google negli Stati Uniti in violazione della legge sulla protezione dei dati.
Google Analytics è uno strumento che consente ai proprietari di siti Web di compilare statistiche sui visitatori del sito Web, tra le altre cose, al fine di ottimizzare il contenuto del sito Web. Ciò avviene assegnando al visitatore un identificatore univoco al fine di generare statistiche sulle visite al sito Web, sulle visualizzazioni di pagina, ecc. Oltre all’identificatore individuale, vengono raccolti ulteriori dati sull’interazione del visitatore con il sito Web, sull’ora approssimativa della visita, nonché dati sul browser del visitatore, sistema operativo, ecc.
Le organizzazioni europee che desiderano utilizzare Google Analytics stipulano un accordo con Google Ireland Ltd a tal fine. Nell’ambito di questo quadro contrattuale, Google si offre di stipulare le cosiddette clausole contrattuali standard che forniscono agli interessati una serie di garanzie e diritti in relazione al trasferimento di dati personali a Google LLC negli Stati Uniti.
Tuttavia, questo contratto non può sempre garantire di per sé un livello di protezione sostanzialmente equivalente a quello dell’UE/SEE. Ciò è particolarmente vero nei casi in cui le autorità di contrasto del paese terzo possono accedere ai dati personali trasferiti in misura sproporzionata e in violazione delle leggi europee fondamentali.
In particolare, la questione centrale nelle cause è che i dati personali trasferiti negli Stati Uniti non sono – in alcuni casi – garantiti un livello di protezione sostanzialmente equivalente a quello all’interno dell’UE/SEE. Questo perché alcune leggi statunitensi – il Foreign Intelligence Surveillance Act (FISA) sezione 702 e l’Executive Order 12 333, letto insieme alla Presidential Policy Directive-28 – non soddisfano i requisiti di proporzionalità del diritto dell’UE in caso di interferenza con diritti, né gli interessati (europei) hanno diritto a un ricorso effettivo. Lo ha affermato la Corte di giustizia dell’Unione europea nella citata causa Schrems II. Per il trasferimento di dati personali a organizzazioni negli Stati Uniti nell’ambito della suddetta normativa, è pertanto necessario attuare misure supplementari al fine di portare il livello generale di protezione dei dati a un livello sostanzialmente equivalente a quello dell’UE/SEE. Tali misure possono essere di natura tecnica, contrattuale e organizzativa.
Nei casi, Google ha indicato che l’azienda aveva implementato ulteriori misure contrattuali, organizzative e tecniche. Tuttavia, le autorità di controllo hanno ritenuto che tali misure non potessero garantire un livello efficace di protezione dei dati trasferiti poiché le misure non erano idonee a impedire l’accesso ai dati personali trasferiti da parte delle forze dell’ordine statunitensi.
Di conseguenza, il trasferimento di dati personali negli Stati Uniti tramite Google Analytics è stato considerato illecito.