Svezia: prime sanzioni in Europa per l'uso di Google Analytics
Prime multe in Europa per l'uso di Google Analytics. Il Garante della privacy svedese ha sanzionato due società che si servivano del servizio di statistica fornito dal colosso di Mountain View per monitorare l'accesso ai loro siti internet (almeno nella versione in uso ad agosto 2020). La contestazione ha riguardato il trasferimento di dati, tramite Google Analytics, verso gli Usa, e cioè verso uno stato che non garantisce un adeguato livello della privacy.
In effetti, in base al regolamento Ue sulla privacy n. 2016/679 (Gdpr), il trasferimento di dati non può avvenire verso paesi terzi che non garantiscono una protezione dei dati al pari del Gdpr. E gli Stati Uniti non sono un luogo sicuro per la privacy dei cittadini europei: lo ha stabilito la Corte di Giustizia Ue con la sentenza del 16 luglio 2020 nella causa C-311/18 e, da allora, le autorità politiche europee e americane non hanno ancora trovato una soluzione.
Nel frattempo, in tutta Europa, imprese, piccole e grandi, e le pubbliche amministrazioni continuano a fare uso dei servizi di analisi statistica di Google in un quadro di persistente incertezza e di pericolo di sanzioni. Come è capitato a due società svedesi sanzionate con due provvedimenti del 3 giugno 2023, rispettivamente per un importo superiore a un milione di euro (caso 2020/11373) e superiore a 25 mila euro (caso 2020/11397). Il Garante svedese ha ritenuto che le misure tecniche di sicurezza adottate dalle società non fossero sufficienti a garantire un livello di protezione sostanzialmente corrispondente a quello garantito all'interno dell'UE.
Fino a quando non ci sarà un nuovo accordo politico Ue-Usa, infatti, i dati possono essere trasferiti sulla base di clausole contrattuali standard adottate dalla Commissione europea. Tuttavia, secondo la CGUE, tali clausole contrattuali tipo devono essere integrate dalle singole organizzazioni con garanzie supplementari per garantire un adeguato livello di protezione nei paesi terzi.
Nei casi valutati dal garante svedese, le aziende hanno basato le loro decisioni sul trasferimento di dati personali tramite Google Analytics su clausole contrattuali standard. Peraltro, è stato appurato che nessuna delle misure tecniche di sicurezza aggiuntive delle società fosse idonea. Le decisioni svedesi sono un monito per chi usa questi sistemi anche in altri paesi Ue, considerato che non c'è chiarezza su quali possano essere le misure supplementari idonee, attivabili prima del nuovo accordo politico, che pure è annunciato per il mese di luglio 2023.
Fonte: Italia Oggi del 4 luglio 2023 - di Antonio Ciccia Messina