{"id":1914,"date":"2022-01-24T16:56:00","date_gmt":"2022-01-24T15:56:00","guid":{"rendered":"https:\/\/dev.pgmtechnology.it\/?p=1914"},"modified":"2023-01-11T18:01:39","modified_gmt":"2023-01-11T17:01:39","slug":"google-analytics-e-trasferimento-dati-personali-usa-violato-il-gdpr-secondo-lautorita-di-controllo-austriaca","status":"publish","type":"post","link":"https:\/\/www.leexe.it\/en\/google-analytics-e-trasferimento-dati-personali-usa-violato-il-gdpr-secondo-lautorita-di-controllo-austriaca\/","title":{"rendered":"Google Analytics e trasferimento dati personali USA: violato il GDPR secondo l’autorit\u00e0 di controllo austriaca"},"content":{"rendered":"\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t\t
\n\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t

<\/p>\n

Commento alla Decisione D155.027 GA emessa il 22 dicembre 2021 e pubblicata il 14 gennaio 2022<\/p>\n

<\/p>\n

<\/p>\n

L\u2019Autorit\u00e0 di controllo austriaca (“Datenschutzbehorde”<\/strong> o anche “DSB”<\/strong>) si \u00e8 ” pronunciata su uno dei numerosi reclami presentati da Noyb \u2013 European Center for Digital Rights, la ONG non-profit fondata dall\u2019avvocato Max Schrems, attivista in ambito privacy, in ordine alla questione inerente al trattamento dei dati personali da parte delle aziende statunitensi che, nonostante i recenti interventi giurisprudenziali, non hanno adottato misure di sicurezza tecniche e organizzative idonee a poter ritenere \u201cattivit\u00e0 legittima\u201d il trasferimento dei dati dei cittadini europei, assicurando le garanzie previste per il trattamento dei dati personali all\u2019interno dello Spazio Economico Europeo.<\/p>\n

<\/p>\n

<\/p>\n

Nello specifico, la decisione \u00e8 rivolta al titolare di un portale web dedicato alla divulgazione di tematiche di carattere sanitario, il quale si serviva del tool Google Analytics, di Google LCC, i cui server per il trattamento dei dati sono ubicati prevalentemente in Europa, ma anche negli USA.<\/p>\n

<\/p>\n

<\/p>\n

Google Analytics \u00e8 uno strumento che permette di misurare le propriet\u00e0 del traffico sul web, onde capire il comportamento dei visitatori ed eseguire valutazioni statistiche generali del loro comportamento e del loro modo di interagire, senza individuare nello specifico il singolo utente, mantenuto anonimo.<\/p>\n

<\/p>\n

<\/p>\n

Il provvedimento reso dall\u2019Autorit\u00e0 austriaca \u00e8 di estrema rilevanza alla luce di quanto affermato nella recente sentenza della Corte di Giustizia dell\u2019Unione europea \u201cSchrems II\u201d, che invalidando l\u2019accordo tra gli Stati Uniti e l\u2019Unione Europea per il trasferimento dei dati personali dei cittadini UE negli USA (cd. Privacy Schield), sulla base della macroscopica assenza di tutele per la sicurezza dei dati trattati, ne costituisce il necessario antefatto.<\/p>\n

<\/p>\n

<\/p>\n

Il quadro normativo americano da prendere in considerazione, costituito essenzialmente dalla sezione 702 del Foreign Intelligence Surveillance Act (di seguito, anche \u201cFISA<\/strong>\u201c) e dall\u2019executive order n. 12.333, impone ai \u201cfornitori di servizi di comunicazione elettronica\u201d \u2013 qual \u00e8 Google LLC \u2013 la comunicazione dei dati personali degli utenti ad autorit\u00e0 pubbliche e governative (es. servizi di intelligence), senza il consenso dell\u2019interessato.<\/p>\n

<\/p>\n

<\/p>\n

In tale contesto, il trasferimento di dati personali verso gli USA, oltre a fondarsi su una legittima base giuridica, pu\u00f2 essere operato solo in casi in cui le aziende garantiscano particolari misure di protezione dei dati personali oggetto di tale operazione di trattamento.<\/p>\n

<\/p>\n

<\/p>\n

Il provvedimento della DSB si rivolge a due convenuti, il titolare della piattaforma e Google LLC. L\u2019approccio dell\u2019Autorit\u00e0 di controllo si \u00e8 risolto in maniera differente per questi, dal momento che ha ritenuto fondato il reclamo nei confronti del primo convenuto, in qualit\u00e0 di responsabile dell\u2019implementazione della propria piattaforma del tool Google Analytics, mentre ha rigettato il reclamo nei confronti del secondo, anticipando l\u2019intenzione di una futura indagine d\u2019ufficio separata e autonoma rispetto alla decisione in esame.<\/p>\n

<\/p>\n

<\/p>\n

Secondo quanto ritenuto dall\u2019Autorit\u00e0 di controllo, le clausole contrattuali standard utilizzate dal proprietario della piattaforma e da Google non avrebbero garantito un adeguato livello di protezione, cos\u00ec come richiesto dal Regolamento UE 2016\/679 (di seguito, anche \u201cGDPR<\/strong>\u201d), sotto molteplici punti di vista.<\/p>\n

<\/p>\n

<\/p>\n

In primo luogo, il DSB sottolinea come Google sia soggetto \u201ca monte\u201d alla sorveglianza da parte delle agenzie di intelligence degli Stati Uniti ai sensi della sezione 702 del FISA e che, in ogni caso, le ulteriori clausole standard integrative adottate non sarebbero state efficaci ad eliminare la possibilit\u00e0 di controllo e di accesso ai dati personali degli utenti da parte delle agenzie e dei servizi segreti americani.<\/p>\n

<\/p>\n

<\/p>\n

Peraltro, chiarisce che il proprietario della piattaforma\u00a0non avrebbe dovuto basare la trasmissione dei dati personali degli utenti verso gli Stati Uniti unicamente su clausole contrattuali standard, essendo a conoscenza dell\u2019impatto avuto dalla sentenza Schrems II sul trasferimento di dati personali verso tale paese.<\/p>\n

<\/p>\n

<\/p>\n

Su questi presupposti l\u2019Autorit\u00e0 di controllo conclude che la trasmissione dei dati personali extra UE viola gli artt. 44 e ss. del GDPR.<\/p>\n

<\/p>\n

<\/p>\n

Sia i convenuti che il denunciante\u00a0hanno offerto diversi pareri all\u2019Autorit\u00e0 volti ad evidenziare vari elementi di carattere tecnico, giuridico e meramente fattuale.<\/p>\n

<\/p>\n

<\/p>\n

Nello specifico, il denunciante esponeva (con Parere del gennaio 2021) che l\u2019anonimizzazione dei dati personali degli utenti della piattaforma avveniva successivamente al trasferimento negli Stati Uniti oltre a sottolineare come i dati trasferiti non riguardassero solo l\u2019indirizzo IP, ma anche altri dati personali, quali quelli relativi ai cookie.<\/p>\n

<\/p>\n

<\/p>\n

Le contestazioni del ricorrente sono state avversate dai resistenti constatando che l\u2019utilizzo, come nel caso di specie, della versione gratuita di Google Analitycs avrebbe, per impostazione predefinita raccolto i dati degli utenti in forma anonimizzata e che quindi non vi sarebbe stato trasferimento di dati personali.<\/p>\n

<\/p>\n

<\/p>\n

Sotto un profilo pi\u00f9 squisitamente giuridico, l\u2019Autorit\u00e0 non ha meramente indagato il rispetto dei principi di cui agli 44 e ss. del GDPR, bens\u00ec ha qualificato la liceit\u00e0 del trattamento come un diritto soggettivo, in quanto avente ad oggetto la protezione della vita privata e delle libert\u00e0 fondamentali dell\u2019individuo.<\/p>\n

<\/p>\n

<\/p>\n

La possibilit\u00e0 di tutelare una posizione giuridica individuale laddove vi sia una violazione capace di recare un danno all\u2019interessato \u00e8 certamente confermata per il solo fatto che gli indirizzi IP e gli identificatori online costituiscono veri e propri dati personali ai sensi dell\u2019art. 4.1 del GDPR, in quanto permettono, con una ragionevole probabilit\u00e0, di identificare l\u2019interessato, a nulla rilevando che altri elementi possano essere in possesso di una terza parte.<\/p>\n

<\/p>\n

<\/p>\n

Inoltre, l\u2019identificabilit\u00e0 deve essere intesa in concreto, nel senso che sar\u00e0 necessario considerare non solo tutti i dati posseduti, ma anche i mezzi di cui si dispone, le risorse economiche e di tempo che un determinato soggetto \u00e8 in grado di affrontare, altres\u00ec tenendo conto delle tecnologie e degli sviluppi tecnologici al momento del trattamento. Il parametro deve pertanto essere rintracciato nello \u201csforzo giustificabile e ragionevole\u201d.<\/p>\n

<\/p>\n

<\/p>\n

Sulla base di queste considerazioni, secondo l\u2019Autorit\u00e0 di controllo, Google avrebbe le capacit\u00e0 e l\u2019organizzazione tale da rendere possibile l\u2019identificazione precisa dell\u2019utente (nel caso di specie, il ricorrente).<\/p>\n

<\/p>\n

<\/p>\n

Il titolare della piattaforma per non incorrere nel richiamo dell\u2019Autorit\u00e0 di controllo avrebbe dovuto fornire un adeguato livello di protezione o garanzie adeguate alla tutela dei dati personali degli utenti dimostrando l\u2019implementazione di misure tecniche ed organizzative tali da prevenire l\u2019accesso ai dati personali da parte delle agenzie di intelligence statunitensi. Infatti, le clausole contrattuali standard ex se non possono, in alcun modo, vincolare le autorit\u00e0 rispetto ai programmi di sorveglianza.<\/p>\n

<\/p>\n

<\/p>\n

Le garanzie adeguate per la tutela degli interessati variano in relazione alle concrete operazioni di trattamento poste in essere e dunque anche del Paese terzo di riferimento richiedendo un particolare raccordo con gli elementi tecnici ed organizzativi. Tali misure dovrebbero in ogni caso risultare effettive, ossia capaci di colmare le lacune giuridiche del Paese terzo e, ove non effettive, il trattamento dei dati da parte in tali Paesi dovrebbe immediatamente cessare.<\/p>\n

<\/p>\n

<\/p>\n

Tali adeguamenti non sarebbero stati efficacemente applicati dal titolare del trattamento. Infatti, secondo l\u2019Autorit\u00e0 di controllo austriaca le misure che sono state adottate non hanno eliminato il pericolo di accesso ai dati personali degli utenti della piattaforma da parte dei servizi di intelligence statunitensi.<\/p>\n

<\/p>\n

<\/p>\n

Il provvedimento del Garante austriaco non ha senz\u2019altro rimosso il gap normativo, ma ha evidenziato la portata del disallineamento normativo tra Europa e USA.<\/p>\n

<\/p>\n

<\/p>\n

Nell\u2019era del \u201cdigitalismo\u201d, sarebbe auspicabile la negoziazione di misure e strumenti \u2013 tra l\u2019Europa e i Paesi terzi \u2013 idonei a tutelare le libert\u00e0 fondamentali dell\u2019individuo nello sviluppo tecnologico.<\/p>\n

<\/p>\n

<\/p>\n

Coautore Camilla Lentini<\/p>\n

<\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t<\/div>\n\t\t","protected":false},"excerpt":{"rendered":"

Commento alla Decisione D155.027 GA emessa il 22 dicembre 2021 e pubblicata il 14 gennaio 2022 L’Autorit\u00e0 di controllo austriaca (“Datenschutzbehorde” o anche “DSB”) si \u00e8 ” pronunciata su uno dei numerosi reclami presentati da Noyb \u2013 European Center for Digital Rights, la ONG non-profit fondata dall’avvocato Max Schrems, attivista in ambito privacy, in ordine […]<\/p>\n","protected":false},"author":10,"featured_media":3829,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_seopress_robots_primary_cat":"none","_seopress_titles_title":"","_seopress_titles_desc":"","_seopress_robots_index":"","iawp_total_views":5,"footnotes":""},"categories":[],"tags":[],"class_list":["post-1914","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry"],"_links":{"self":[{"href":"https:\/\/www.leexe.it\/en\/wp-json\/wp\/v2\/posts\/1914","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.leexe.it\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.leexe.it\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.leexe.it\/en\/wp-json\/wp\/v2\/users\/10"}],"replies":[{"embeddable":true,"href":"https:\/\/www.leexe.it\/en\/wp-json\/wp\/v2\/comments?post=1914"}],"version-history":[{"count":0,"href":"https:\/\/www.leexe.it\/en\/wp-json\/wp\/v2\/posts\/1914\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.leexe.it\/en\/wp-json\/wp\/v2\/media\/3829"}],"wp:attachment":[{"href":"https:\/\/www.leexe.it\/en\/wp-json\/wp\/v2\/media?parent=1914"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.leexe.it\/en\/wp-json\/wp\/v2\/categories?post=1914"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.leexe.it\/en\/wp-json\/wp\/v2\/tags?post=1914"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}