L’agenzia svedese per la protezione della privacy ha ordinato a quattro società di interrompere l’utilizzo di Google Analytics per analizzare il traffico web, poiché così facendo trasferiscono dati personali negli Stati Uniti.
L’autorità svedese per la protezione della privacy (Integritetsskyddsmyndigheten – IMY) ha multato due società con 12,3 milioni di corone svedesi (1 milione di euro/1,1 milioni di dollari) per l’utilizzo di Google Analytics e ha avvertito altre due della stessa pratica. In una decisione pubblicata recentemente, l’agenzia spiega che utilizzando Google Analytics per generare statistiche web le aziende stavano violando il regolamento generale sulla protezione dei dati (GDPR) dell’Unione europea e nello specifico, le società hanno violato l’articolo 46, paragrafo 1, del GDPR, che vieta il trasferimento di dati personali a paesi o organizzazioni internazionali privi di garanzie che garantiscano la sicurezza e meccanismi legali di rimedio.
Tutte e quattro le decisioni derivano dai 101 reclami della ONG noyb contro Google Analytics e Facebook Connect. Si noti che la sentenza Schrems II richiede alle aziende che trasferiscono dati negli Stati Uniti di implementare ulteriori garanzie oltre alle garanzie “standard” richieste dal GDPR per tutti i trasferimenti di dati (nella maggior parte dei casi, le clausole contrattuali standard elaborate dalla Commissione UE) e queste tutele appaiono necessarie a causa del rischio di sorveglianza statale sui dati stranieri, come evidenziato nei file Snowden.
Sebbene le questioni legali fondamentali siano le stesse di tutte le altre decisioni contro Google Analytics, le decisioni sono interessanti sotto certi aspetti: il primo è che sono state emesse multe. Infatti, il più grande dei quattro, il colosso svedese delle telecomunicazioni Tele2, è stato multato di 1 milione di euro mentre altre autorità per la protezione dei dati hanno finora preferito un approccio più morbido e hanno ordinato solo alle aziende di rifiutare l’uso di Google Analytics. Sarà interessante vedere se più autorità seguiranno l’esempio dell’IMY (in tal caso, Google Analytics potrebbe diventare una pesante violazione in futuro)
Un altro aspetto interessante della decisione è che due delle società stavano effettivamente implementando salvaguardie tecniche. Vale a dire, stavano effettivamente facendo qualcosa per cercare di mantenere i dati al sicuro invece di redigere un po ‘di confusione sulla conformità nei loro documenti, e sfortunatamente, l’autorità ha scoperto che né l’hashing degli identificatori dei cookie né il proxy degli indirizzi IP tramite la codifica lato server sono sufficienti per mantenere i dati al sicuro. Google raccoglie e controlla enormi quantità di dati, che possono utilizzare per collegare dati pseudonimizzati a una persona.
Dunque Google sta raccogliendo così tanti dati, tramite Google Analytics, Google Account, le sue API, i suoi tracker pubblicitari (illegali) sui dispositivi Android e così via, a non si tratta solo di una questione relativa a Google Analytics: mesi fa, l’autorità irlandese ha emesso una multa record di 1,2 miliardi di euro contro Meta e ha ordinato alla società di sospendere i trasferimenti di dati per gli Stati Uniti (il che crea il rischio molto reale di un blackout di Facebook per l’Europa). In sintesi, l’analisi dei dati web e i social network sono l’ultimo dei problemi dell’UE, che insieme agli Stati Uniti sta istituendo un nuovo quadro per il trasferimento dei dati per risolvere questa situazione.
Scrivi un commento
Devi accedere, per commentare.