Commento alla Decisione D155.027 GA emessa il 22 dicembre 2021 e pubblicata il 14 gennaio 2022
L’Autorità di controllo austriaca (“Datenschutzbehorde” o anche “DSB”) si è ” pronunciata su uno dei numerosi reclami presentati da Noyb – European Center for Digital Rights, la ONG non-profit fondata dall’avvocato Max Schrems, attivista in ambito privacy, in ordine alla questione inerente al trattamento dei dati personali da parte delle aziende statunitensi che, nonostante i recenti interventi giurisprudenziali, non hanno adottato misure di sicurezza tecniche e organizzative idonee a poter ritenere “attività legittima” il trasferimento dei dati dei cittadini europei, assicurando le garanzie previste per il trattamento dei dati personali all’interno dello Spazio Economico Europeo.
Nello specifico, la decisione è rivolta al titolare di un portale web dedicato alla divulgazione di tematiche di carattere sanitario, il quale si serviva del tool Google Analytics, di Google LCC, i cui server per il trattamento dei dati sono ubicati prevalentemente in Europa, ma anche negli USA.
Google Analytics è uno strumento che permette di misurare le proprietà del traffico sul web, onde capire il comportamento dei visitatori ed eseguire valutazioni statistiche generali del loro comportamento e del loro modo di interagire, senza individuare nello specifico il singolo utente, mantenuto anonimo.
Il provvedimento reso dall’Autorità austriaca è di estrema rilevanza alla luce di quanto affermato nella recente sentenza della Corte di Giustizia dell’Unione europea “Schrems II”, che invalidando l’accordo tra gli Stati Uniti e l’Unione Europea per il trasferimento dei dati personali dei cittadini UE negli USA (cd. Privacy Schield), sulla base della macroscopica assenza di tutele per la sicurezza dei dati trattati, ne costituisce il necessario antefatto.
Il quadro normativo americano da prendere in considerazione, costituito essenzialmente dalla sezione 702 del Foreign Intelligence Surveillance Act (di seguito, anche “FISA“) e dall’executive order n. 12.333, impone ai “fornitori di servizi di comunicazione elettronica” – qual è Google LLC – la comunicazione dei dati personali degli utenti ad autorità pubbliche e governative (es. servizi di intelligence), senza il consenso dell’interessato.
In tale contesto, il trasferimento di dati personali verso gli USA, oltre a fondarsi su una legittima base giuridica, può essere operato solo in casi in cui le aziende garantiscano particolari misure di protezione dei dati personali oggetto di tale operazione di trattamento.
Il provvedimento della DSB si rivolge a due convenuti, il titolare della piattaforma e Google LLC. L’approccio dell’Autorità di controllo si è risolto in maniera differente per questi, dal momento che ha ritenuto fondato il reclamo nei confronti del primo convenuto, in qualità di responsabile dell’implementazione della propria piattaforma del tool Google Analytics, mentre ha rigettato il reclamo nei confronti del secondo, anticipando l’intenzione di una futura indagine d’ufficio separata e autonoma rispetto alla decisione in esame.
Secondo quanto ritenuto dall’Autorità di controllo, le clausole contrattuali standard utilizzate dal proprietario della piattaforma e da Google non avrebbero garantito un adeguato livello di protezione, così come richiesto dal Regolamento UE 2016/679 (di seguito, anche “GDPR”), sotto molteplici punti di vista.
In primo luogo, il DSB sottolinea come Google sia soggetto “a monte” alla sorveglianza da parte delle agenzie di intelligence degli Stati Uniti ai sensi della sezione 702 del FISA e che, in ogni caso, le ulteriori clausole standard integrative adottate non sarebbero state efficaci ad eliminare la possibilità di controllo e di accesso ai dati personali degli utenti da parte delle agenzie e dei servizi segreti americani.
Peraltro, chiarisce che il proprietario della piattaforma non avrebbe dovuto basare la trasmissione dei dati personali degli utenti verso gli Stati Uniti unicamente su clausole contrattuali standard, essendo a conoscenza dell’impatto avuto dalla sentenza Schrems II sul trasferimento di dati personali verso tale paese.
Su questi presupposti l’Autorità di controllo conclude che la trasmissione dei dati personali extra UE viola gli artt. 44 e ss. del GDPR.
Sia i convenuti che il denunciante hanno offerto diversi pareri all’Autorità volti ad evidenziare vari elementi di carattere tecnico, giuridico e meramente fattuale.
Nello specifico, il denunciante esponeva (con Parere del gennaio 2021) che l’anonimizzazione dei dati personali degli utenti della piattaforma avveniva successivamente al trasferimento negli Stati Uniti oltre a sottolineare come i dati trasferiti non riguardassero solo l’indirizzo IP, ma anche altri dati personali, quali quelli relativi ai cookie.
Le contestazioni del ricorrente sono state avversate dai resistenti constatando che l’utilizzo, come nel caso di specie, della versione gratuita di Google Analitycs avrebbe, per impostazione predefinita raccolto i dati degli utenti in forma anonimizzata e che quindi non vi sarebbe stato trasferimento di dati personali.
Sotto un profilo più squisitamente giuridico, l’Autorità non ha meramente indagato il rispetto dei principi di cui agli 44 e ss. del GDPR, bensì ha qualificato la liceità del trattamento come un diritto soggettivo, in quanto avente ad oggetto la protezione della vita privata e delle libertà fondamentali dell’individuo.
La possibilità di tutelare una posizione giuridica individuale laddove vi sia una violazione capace di recare un danno all’interessato è certamente confermata per il solo fatto che gli indirizzi IP e gli identificatori online costituiscono veri e propri dati personali ai sensi dell’art. 4.1 del GDPR, in quanto permettono, con una ragionevole probabilità, di identificare l’interessato, a nulla rilevando che altri elementi possano essere in possesso di una terza parte.
Inoltre, l’identificabilità deve essere intesa in concreto, nel senso che sarà necessario considerare non solo tutti i dati posseduti, ma anche i mezzi di cui si dispone, le risorse economiche e di tempo che un determinato soggetto è in grado di affrontare, altresì tenendo conto delle tecnologie e degli sviluppi tecnologici al momento del trattamento. Il parametro deve pertanto essere rintracciato nello “sforzo giustificabile e ragionevole”.
Sulla base di queste considerazioni, secondo l’Autorità di controllo, Google avrebbe le capacità e l’organizzazione tale da rendere possibile l’identificazione precisa dell’utente (nel caso di specie, il ricorrente).
Il titolare della piattaforma per non incorrere nel richiamo dell’Autorità di controllo avrebbe dovuto fornire un adeguato livello di protezione o garanzie adeguate alla tutela dei dati personali degli utenti dimostrando l’implementazione di misure tecniche ed organizzative tali da prevenire l’accesso ai dati personali da parte delle agenzie di intelligence statunitensi. Infatti, le clausole contrattuali standard ex se non possono, in alcun modo, vincolare le autorità rispetto ai programmi di sorveglianza.
Le garanzie adeguate per la tutela degli interessati variano in relazione alle concrete operazioni di trattamento poste in essere e dunque anche del Paese terzo di riferimento richiedendo un particolare raccordo con gli elementi tecnici ed organizzativi. Tali misure dovrebbero in ogni caso risultare effettive, ossia capaci di colmare le lacune giuridiche del Paese terzo e, ove non effettive, il trattamento dei dati da parte in tali Paesi dovrebbe immediatamente cessare.
Tali adeguamenti non sarebbero stati efficacemente applicati dal titolare del trattamento. Infatti, secondo l’Autorità di controllo austriaca le misure che sono state adottate non hanno eliminato il pericolo di accesso ai dati personali degli utenti della piattaforma da parte dei servizi di intelligence statunitensi.
Il provvedimento del Garante austriaco non ha senz’altro rimosso il gap normativo, ma ha evidenziato la portata del disallineamento normativo tra Europa e USA.
Nell’era del “digitalismo”, sarebbe auspicabile la negoziazione di misure e strumenti – tra l’Europa e i Paesi terzi – idonei a tutelare le libertà fondamentali dell’individuo nello sviluppo tecnologico.
Coautore Camilla Lentini