I siti web che utilizzano Google Analytics violano la privacy degli utenti europei
L'autorità austriaca per la protezione dei dati (Datenschutzbehörde) ha dichiarato illegale l'uso di Google Analytics perché viola il Gdpr, e come nel caso dell’invalidazione del Privacy Shield da parte della Corte di Giustizia UE e in altre pronunce che in passato hanno avuto pesanti impatti sulla protezione dei dati personali europea, ancora una volta c’è lo zampino dell’attivista Max Schrems.
(Nella foto: l'Avv. Max Schrems, fondatore della ong Noyb)
La decisione D155.027 GA del garante austriaco è stata infatti scaturita da una delle 101 diverse denunce presentate in varie nazioni dell’Unione Europea proprio a seguito della sentenza sul Privacy Shield da parte dell'ong austriaca Noyb, di cui Schrems è fondatore.
Nello specifico del caso austriaco, analizzando un sito web dedicato alla salute l’autorità di controllo ha riscontrato che tutti i siti che utilizzano Google Analytics di fatto esportano negli Stati Uniti dati personali dei visitatori come i loro indirizzi IP e i loro identificatori univoci che vengono memorizzati nei cookie, informazioni che in certi casi, secondo le leggi americane, possono essere poi fornite anche alle autorità, e anche per tale motivo l’alta corte europea con la sentenza nella causa C-311/18 del 16 luglio 2020 aveva stabilito che il Privacy Shield violasse il Gdpr.
A tale proposito, secondo l’Avv. Max Schrems, a distanza di un anno e mezzo dalla pronuncia della Corte di Giustizia UE, “invece di adattare i servizi per essere conformi al Gdpr, le aziende statunitensi hanno cercato di aggiungere semplicemente del testo alle loro politiche sulla privacy e ignorare la Corte di giustizia, e molte aziende dell'Unione ne hanno seguito l'esempio”.
Anche se colossi tecnologici come Microsoft, Facebook, Amazon, e lo stesso Google hanno continuato a trasferire sistematicamente i dati negli Usa, di fatto l'autorità austriaca ha adesso stabilito che i siti che utilizzano Google Analytics inoltrano i dati degli utenti alla multinazionale statunitense e perciò violano il Regolamento europeo sulla protezione dei dati, che prevede sanzioni fino a 20 milioni di euro o il 4% del fatturato.
E a quanto si apprende dal sito dell’associazione Noyb, a quella del garante austriaco, “decisioni simili sono attese in altri stati membri dell'UE, poiché i regolatori hanno cooperato su questi casi in una task force dell’European Data Protection Board”, e “un provvedimento simile è stato già emesso anche dal Garante europeo della protezione dei dati la scorsa settimana". (EDPS)
Secondo lo stesso avvocato Schrems, le misure tecniche e organizzative come le “Standard Contractual Clauses” (SCC) e le “technical and organizational measures” (TOMs) non bastano a risolvere il problema del trasferimento di dati personali negli Stati Uniti, e “a lungo termine, sembrano esserci due opzioni: o gli Stati Uniti adattano le protezioni di base per gli stranieri per sostenere la loro industria tecnologica, o i fornitori statunitensi dovranno ospitare i dati stranieri fuori dagli Stati Uniti”.