Privacy Shield e Google Analitycs: il caso NetDoktor in un ampio contesto europeo
Il sito web austriaco NetDoktor, che si occupa di notizie mediche, funziona come milioni di altri: l’utente naviga sul sito e un cookie di Google Analytics viene posizionato sul dispositivo del medesimo utente, tracciando ciò che fa durante la sua visita. Questa funzione può includere le pagine che vengono lette, quanto tempo si rimane sul sito e informazioni sul dispositivo dello stesso utente, con assegnazione da parte di Google di un numero di identificazione che può essere collegato ad altri dati.
(Nella foto: Amedeo Leone, Delegato Federprivacy nella provincia di Biella)
NetDoktor può usare questi dati analitici per vedere quanti lettori ha il sito e a cosa sono interessati. Utilizzando Google Analytics (vale a dire il servizio di monitoraggio del traffico del gigante tecnologico Google), tutti questi dati passano, pertanto, attraverso i server di Google e finiscono negli Stati Uniti.
Per le Autorità dell’Unione Europea, la spedizione di dati personali oltreoceano rimane problematico e questo piccolo sito di medicina austriaco si trova ora al centro di un'enorme lotta tra la normativa statunitense e quella in materia di privacy dell’Unione Europea.
Il 22 dicembre scorso, l’autorità austriaca dei dati, lo Datenschutzbehörde, ha statuito che l'uso di Google Analytics su NetDoktor violava il Regolamento UE sulla protezione dei dati dell'Unione europea (GDPR). Secondo quanto ritenuto dall’Autorità, i dati inviati agli Stati Uniti non sono stati adeguatamente protetti contro un potenziale accesso da parte di agenzie di intelligence statunitensi.
Si tratta di una delle prime decisioni in materia di Privacy Shield dopo la sentenza depositata dalla Corte di Giustizia europea nel luglio 2020 (“Schrems 2”), secondo cui il meccanismo utilizzato da migliaia di aziende per spostare i dati dall'UE agli Stati Uniti era illegale.
Questo caso emblematico probabilmente aumenterà la pressione sulle negoziazioni attualmente in corso tra gli Stati Uniti e in Europa, che stanno cercando di sostituire il Privacy Shield con nuove modalità di convogliamento del flusso di dati tra l’UE e gli Stati Uniti. Se non si dovesse concretizzare un accordo tra le parti, tale caso potrebbe avere un effetto domino in tutta l’Unione Europea con l’adozione di decisioni simili da parte di altre autorità, con la conseguenza che i servizi cloud di Amazon, Facebook, Google e Microsoft sarebbero tutti giudicati incompatibili con la normativa comunitaria in materia di privacy. "Questo è un problema che tocca tutti gli aspetti dell'economia e della vita sociale", dice Gabriela Zanfir-Fortuna, vice presidente del Future of Privacy Forum, un think tank no-profit.
NetDoktor non è l’unico caso, ma è il più chiaro indizio del fatto che il modo in cui le aziende tecnologiche statunitensi inviano dati oltreoceano non piace alle Autorità Europee. Le norme statunitensi in materia di sorveglianza, compresa la sezione 702 del Foreign Intelligence Surveillance Act e l’Executive Order 12333 non proteggono i dati delle persone fisiche, che le agenzie di sorveglianza statunitensi possono raccogliere in quantità ingenti fuori e dentro gli Stati Uniti.
"Quello che stanno attualmente facendo costituirebbe una violazione del Quarto Emendamento alla Costituzione degli Stati Uniti nel caso in cui fossero coinvolti cittadini americani", sostiene Max Schrems, presidente onorario dell'organizzazione legale Noyb, il quale ha lanciato le azioni legali che hanno portato, nel 2020, il Privacy Shield (e, nell'ottobre 2015, il suo predecessore Safe Harbor) ad essere dichiarati invalidi. "Non abbiamo a che fare con una violazione della Costituzione degli Stati Uniti solamente per via del fatto che i soggetti coinvolti sono stranieri". Un risultato della sentenza Privacy Shield del 2020 è che le aziende che spostano i dati dall'UE agli Stati Uniti devono assicurarsi che misure extra sono state messe in atto per proteggere quelle informazioni. L'autorità austriaca per la protezione dei dati ha determinato che le misure tecniche messe in atto da Google Analytics - tra cui la limitazione dell'accesso ai data center e la crittografia dei dati mentre vengono spostati in tutto il mondo - non sono sufficienti per impedire il loro raccoglimento da parte delle agenzie di intelligence statunitensi.
Al momento, la decisione si applica solo in Austria e non è definitiva, (e nel frattempo anche l'autorità francese si è mossa nella stessa direzione) e la questione potrebbe vedere presto la soluzione a seguito dell’annuncio fatto da Biden e von der Layen durante l’ultimo vertice Nato, ma nel frattempo i siti web in tutta Europa non smetteranno improvvisamente di usare Google Analytics. "Mentre questa decisione colpisce direttamente solo un particolare editore e le sue circostanze specifiche, essa può presagire sfide più ampie", spiega Kent Walker, vice presidente senior di Google per gli affari globali e responsabile legale. In un post pubblicato lo scorso 19 gennaio, Walker ha commentato che l'azienda ritiene che le misure tecniche da essa messe in atto proteggono i dati delle persone fisiche, e che questo tipo di decisione potrebbe avere un impatto su come i dati vengono trasmessi attraverso "l'intero ecosistema commerciale europeo e americano".
E ciò è solo l'inizio. Quando Noyb ha presentato reclamo avverso NetDoktor nell'agosto 2020, ha fatto altrettanto con altre autorità privacy in tutta l’Unione Europea. "La questione non riguarda solo Google Analytics. Si tratta fondamentalmente dell'outsourcing di dati a fornitori americani in generale", dice Schrems.
Le autorità garanti in materia di privacy in 30 Paesi europei stanno attualmente indagando su altri casi aventi ad oggetto l'uso di Google Analytics e Facebook Connect (ovvero lo strumento utilizzato da società per collegarsi i propri account ad altri siti).
Reclami sono anche stati proposti anche contro siti web specifici quali Airbnb, Sky, Ikea e The Huffington Post. "La maggior parte di queste decisioni avrà gli stessi o simili risultati", dice Zanfir-Fortuna, poiché Noyb ha usato gli stessi argomenti in altri casi. Le autorità garanti in materia di privacy hanno formato, a tal riguardo, una task force per discutere le questioni legali ad esse afferenti.
L'autorità olandese per la protezione dei dati, Autoriteit Persoonsgegevens, dice che sta completando una propria indagine e non esclude la possibilità di vietare l'uso di Google Analytics nella sua forma attuale. In Germania, dove ogni “Land” è competente in materia di privacy, l'autorità per la privacy di Amburgo ha ricevuto due reclami da Noyb. Nella prima istruttoria, Google Analytics è stato rimosso, ma l'autorità " molto probabilmente non prevede di emettere alcuna sanzione” l’istruttoria è ancora in corso nell'altro caso. La decisione non si occuperà di una potenziale sanzione, poiché questa è vista come una procedura "pubblica", dove il denunciante non viene ascoltato. Non ci sono pertanto informazioni se l’Autorità ha intenzione di emettere anche una sanzione.
Un portavoce del Garante europeo della protezione dei dati dice che i dati personali spostati negli Stati Uniti devono essere protetti da "misure supplementari efficaci".
L'organismo sta anche indagando su come le organizzazioni ufficiali dell'UE utilizzano Amazon Web Services e Microsoft Office 365.
Quindi cosa succederà ora? La decisione austriaca, e altri casi simili attualmente in corso di essere esaminati, evidenziano le tensioni tra la normativa in materia di privacy molto garantista vigente nell’Unione Europee e ciò che accade ai dati una volta che lasciano l’Unione.
Alcuni sono ottimisti circa il fatto che tale decisione potrebbe portare a una riduzione della dipendenza dell'Europa sulle grandi aziende tecnologiche statunitensi, mentre altri dicono che tale decisione evidenzia l'importanza di assicurarsi che i negoziatori di entrambe le parti concretizzino presto il nuovo accordo che permetta la condivisione dei dati prima che il flusso di dati tra Europa e Stati Uniti sia interrotto.
Le aziende probabilmente monitoreranno gli sviluppi, e potrebbero prendere in considerazione delle misure alternative nelle more di decisioni intraprese da altre autorità garanti. Secondo Guillaume Champeau, direttore degli affari pubblici della piattaforma di architettura cloud “Clever Cloud”, "potrebbe davvero aiutare a cambiare il panorama commerciale, rendendo la concorrenza più equa in Europa". Champeau sostiene che ci sono diverse aziende europee che svolgono attività di data analytics basate sul cloud che non ricevono tanta attenzione quanto quella ricevuta da Google Analytics (si stima che viene usato da 28 milioni di siti web in tutto il mondo).
Schrems afferma che, nel caso in cui continuino ad esserci decisioni simili nei prossimi anni, alcune grandi aziende potrebbero iniziare a chiedersi chi dovrebbe essere ritenuto responsabile per eventuali problematiche legate alla normativa in materia di privacy. "Se la gente investe milioni di euro in qualche soluzione cloud che poi si rivela essere illegale, sorgerà spontanea su chi ne dovrà rispondere", dice Schrems.
Più in generale, Schrems dice che non si aspetta che le aziende della Silicon Valley cambino la loro tecnologia o i loro atteggiamenti: "Posto semplicemente, non c'è la volontà di Silicon Valley di adattarsi a questa normativa."
I sopramenzionati negoziati tra l’Unione Europea e gli Stati Uniti si sono intensificati negli ultimi mesi e sono una priorità per entrambe le parti, dice un portavoce della Commissione europea. Nonostante i i segnali positivi, ci sono però delle linee rosse: è improbabile che la Commissione voglia che il successore dello scudo per la privacy sia nuovamente dichiarato invalido in sede giudiziale. "Solo un accordo pienamente conforme ai requisiti stabiliti dalla giustizia comunitaria può fornire la stabilità e la certezza del diritto che le parti interessate si aspettano su entrambe le sponde dell'Atlantico", dice il portavoce della Commissione.
Zanfir-Fortuna dice che la decisione austriaca probabilmente metterà più pressione sui negoziatori, ma aggiunge che è improbabile che ci siano cambiamenti a livello normativo negli Stati Uniti. Una legge federale statunitense sulla privacy sembra essere lontana e potrebbe non esserci molto appetito per una riforma completa delle leggi sulla sorveglianza. Invece, dice Zanfir-Fortuna, i cambiamenti che consentirebbero la sostituzione del Privacy Shield potrebbero venire da ordini esecutivi che possono essere approvati con un dibattito politico meno intenso.
Google è ampiamente d'accordo con questa posizione. Verbali di riunioni tra Google e la Commissione europea rilasciati in base alle leggi sulla libertà di informazione mostrano come l'azienda sperava che qualsiasi successore del Privacy Shield "non richiedesse alcuna iniziativa da parte del Congresso". Alcuni hanno esortato i negoziatori dell'UE e degli Stati Uniti a finalizzare rapidamente un successore di Privacy Shield, dato che la posta in gioco è troppo alta e il commercio internazionale tra Europa e Stati Uniti troppo importante per milioni di persone per non trovare una soluzione rapida a questo problema pressante.
“È molto probabile che vedremo la sostituzione del Privacy Shield nei prossimi due mesi", dice Zanfir-Fortuna. "La domanda allora è per quanto tempo il nuovo “Privacy Shield” garantirà la certezza dei trasferimenti in assenza di riforme negli Stati Uniti?"