AGGIORNAMENTO su 101 reclami: La DPA austriaca rifiuta "l'approccio basato sul rischio" per i trasferimenti di dati a paesi terzi
Dopo le decisioni rivoluzionarie della DPA austriaca e francese che hanno dichiarato illegale l'uso di Google Analytics, la DPA austriaca ha ora emesso una seconda decisione, andando ancora oltre: Ha dichiarato l'uso dell'anonimizzazione dell'IP di Google una misura di protezione inutile per i trasferimenti di dati tra l'UE e gli Stati Uniti. Il DSB ha inoltre respinto la nozione di un "approccio basato sul rischio" che era stato sostenuto da Google
Alcune autorità in Europa hanno allo stesso tempo chiuso i casi: Le DPA spagnole e lussemburghesi hanno entrambe chiuso i procedimenti di reclamo senza commentare l'uso illegale di Google Analytics, dato che il sito in questione ha smesso di usare Google Analytics.
- Link alla traduzione inglese della decisione redatta
- Link all'originale tedesco modificato
- Link alla precedente decisione austriaca
- Link alla precedente decisione francese Decisione
Il GDPR non prevede un "approccio basato sul rischio" per i trasferimenti di dati Dopo Schrems II, gli avvocati di Big Tech e dell'industria hanno promosso un "approccio basato sul rischio" per i trasferimenti di dati. Hanno suggerito che le salvaguardie aggiuntive, come richiesto dal CJEU, dovrebbe essere solo necessarie in caso di un "rischio sostanziale per i diritti e le libertà dell'interessato". La cosiddetta clausola contrattuale standard dovrebbe essere sufficiente per i "casi a basso rischio", ad esempio quando vengono trasferiti "solo" dati come gli identificatori online o gli indirizzi IP. Il DSB ha ora trovato questo punto di vista sbagliato: il GDPR non conosce un approccio basato sul rischio per i trasferimenti di dati verso paesi terzi insicuri, come gli Stati Uniti.
"IlDSB ha finalmente esposto l'"approccio basato sul rischio" per i trasferimenti di dati per quello che è: un goffo tentativo di ammorbidire la chiara giurisprudenza della CGUE. Gli articoli pertinenti sui trasferimenti di dati non usano la parola "rischio" una sola volta" - Marco Blocher, avvocato di protezione dei dati al noyb
L'IP di Google anonimizzazione non protegge i dati Il DSB austriaco ha anche respinto gli argomenti di Google secondo cui i siti web potrebbero attivare l'anonimizzazione dell'IP quando usano strumenti come Google Analytics per proteggere efficacemente i dati trasferiti dalla sorveglianza. Questo è stato respinto per due motivi: primo, l'anonimizzazione dell'IP di Google riguarda solo l'indirizzo IP in quanto tale Dati come quelli online-gli identificatori impostati per i cookie o i dati del dispositivo sono trasferiti in chiaro. Secondo, l'anonimizzazione dell'IP avviene solo dopo che i dati sono stati trasferiti a Google.
"È ora confermato che solo perché l'indirizzo IP viene reso anonimo in una fase del processo, gli indirizzi IP sono ancora trattati inizialmente Anonimizzare un identificatore non supera anche il fatto che ci sono altri identificatori." - Marco Blocher, avvocato della protezione dei dati al noyb
Approcci nazionali nonostante la task force EDPB Le DPA avrebbero dovuto adottare un approccio coordinato per quanto riguarda i 101 reclami di noyb, ma la task force installata non sembra consegnare: mentre la DPA austriaca e francese hanno indagato a fondo sull'uso di strumenti che trasferiscono dati personali negli Stati Uniti, la DPA spagnola ha semplicemente respinto un reclamo perché il fornitore del sito web ha rimosso Google Analytics dal sito dopo il reclamo. Nessuna parola sul fatto che i trasferimenti di dati verso gli Stati Uniti prima della rimozione siano stati illegali o meno. Allo stesso modo, la DPA del Lussemburgo ha respinto tre reclami riguardanti i trasferimenti di dati ai server di Facebook negli Stati Uniti, perché i siti web hanno rimosso gli strumenti.
"Fermare le violazioni non rende legale una violazione passata. Secondo la logica di queste autorità, non si dovrebbe ottenere una multa per eccesso di velocità se si smette di correre ad un certo punto" - Marco Blocher, avvocato per la protezione dei dati di noyb