AGGIORNAMENTO: Un'altra DPA dell'UE ordina l'interruzione di Google Analytics

Lug 05, 2022

AGGIORNAMENTO: Un'altra DPA dell'UE ordina lo stop a Google Analytics

L'autorità italiana per la protezione dei dati (GPDP) si è unita al consenso condiviso dal GEPD, nonché dalle autorità francesi e austriache e ha vietato l'uso di Google Analytics (GA). A seguito dei nostri 101 reclami sul trasferimento dei dati, il GPDP ha concluso che i siti web che utilizzano GA raccoglievano le interazioni degli utenti e trasferivano i dati degli utenti negli Stati Uniti, un Paese che non dispone di un livello adeguato di protezione dei dati, rendendo tale trasferimento illegale

Il Garante è la quarta autorità di protezione dei dati a schierarsi con la Noyb sui trasferimenti di dati. Il Garante italiano ha definito illegale l'uso di Google Analytics, in quanto i gestori dei siti web che utilizzano GA raccoglievano i dati degli utenti tramite i cookie e li trasferivano negli Stati Uniti. Nel determinare l'illegittimità del trattamento, l'autorità italiana per la protezione dei dati ha ribadito che l'indirizzo IP è un dato personale e non può essere anonimizzato anche se abbreviato, data la capacità di Google di arricchire tali dati con informazioni aggiuntive in suo possesso.

Il GEPD sanziona il Parlamento sui trasferimenti All'inizio di quest'anno, il Garante europeo della protezione dei dati (GEPD) ha emesso una decisione dopo un reclamo presentato da noyb, confermando che il Parlamento europeo ha violato la legge sulla protezione dei dati sul suo sito web di test COVID. Il GEPD ha evidenziato che l'uso di Google Analytics violava la sentenza"Schrems II" della Corte di giustizia dell'Unione europea (CGUE) sui trasferimenti di dati tra UE e USA. La sentenza ha segnato una delle prime decisioni di attuazione di Schrems II e ha aperto la strada a sentenze simili

La decisione della DPA austriaca ha seguito. Dopo la pubblicazione della decisione della DPA austriaca, che ha reso per la prima volta illegale l'uso di GA, il DSB ha emesso una seconda decisione, dichiarando l'uso dell'anonimizzazione IP di Google una misura di protezione inutile per i trasferimenti di dati tra l'UE e gli Stati Uniti. Il DSB ha inoltre respinto il concetto di "approccio basato sul rischio", sostenuto da Google, che consentirebbe il trasferimento di presunti "casi a basso rischio", ad esempio quando vengono trasferiti identificatori online o indirizzi IP

La CNIL francese ordina la conformità. Solo poche settimane dopo la decisione austriaca, la CNIL francese ha ordinato a tre siti web di conformarsi al GDPR e di omettere l'uso di Google Analytics. Dopo aver ricevuto i reclami di noyb.eu, il CNIL ha voluto trarre collettivamente le conseguenze della sentenza Schrems II della CGUE e ha evidenziato il rischio che i servizi segreti americani possano accedere ai dati personali trasferiti negli Stati Uniti se i trasferimenti non sono adeguatamente regolamentati.

Approcci nazionali nonostante la task force europea Le autorità di protezione dei dati avevano intenzione di adottare un approccio coordinato per quanto riguarda i 101 reclami della noyb, ma la task force installata task force mentre la DPA italiana, austriaca e francese ha indagato a fondo sugli strumenti utilizzati per trasferire i dati personali, la DPA spagnola ha respinto un reclamo perché il fornitore del sito web ha rimosso Google Analytics dal sito dopo il reclamo. Analogamente, la DPA lussemburghese ha respinto tre reclami relativi al trasferimento di dati ai server di Facebook negli Stati Uniti, perché i siti web avevano rimosso gli strumenti. Finora, nessuna DPA ha respinto le argomentazioni materiali della noyb o ha dichiarato legali i trasferimenti.