DSB austriaco: l'uso di Google Analytics viola la decisione "Schrems II" della CGUE.
In una decisione innovativa, l'autorità austriaca per la protezione dei dati ("Datenschutzbehörde" o "DSB") ha deciso su un caso modello di noyb che l'uso continuo di Google Analytics viola il GDPR. Questa è la prima decisione sui 101 reclami modello presentati da noyb sulla scia della cosiddetta decisione "Schrems II". Nel 2020, la Corte di giustizia (CJEU) ha deciso che l'uso di provider statunitensi viola il GDPR, poiché le leggi di sorveglianza degli Stati Uniti richiedono ai provider statunitensi come Google o Facebook di fornire dati personali alle autorità statunitensi. Decisioni simili sono attese in altri stati membri dell'UE, poiché i regolatori hanno cooperato su questi casi in una "task force" EDPB. Sembra che la decisione del DSB austriaco sia la prima ad essere emessa.
la sentenza della CGUE del 2020 colpisce il mondo reale. Nel luglio 2020, la CGUE ha emesso la sua innovativa sentenza "Schrems II", ritenendo che un trasferimento a fornitori statunitensi che rientrano nel FISA 702 e EO 12.333 violano le regole sui trasferimenti internazionali di dati nel GDPR. La CGUE ha di conseguenza annullato l'accordo di trasferimento "Privacy Shield", dopo aver annullato il precedente accordo "Safe Harbor" nel 2015. Mentre questo ha inviato onde d'urto attraverso l'industria tecnologica, i fornitori statunitensi e gli esportatori di dati dell'UE hanno ampiamente ignorato il caso. Proprio come Microsoft, Facebook o Amazon, Google ha fatto affidamento sulle cosiddette "clausole contrattuali standard" per continuare i trasferimenti di dati e calmare i suoi partner commerciali europei.
Max Schrems, presidente onorario di noyb.eu:"Invece di adattare effettivamente i servizi per essere conformi al GDPR, le aziende statunitensi hanno cercato di aggiungere semplicemente del testo alle loro politiche sulla privacy e ignorare la Corte di giustizia. Molte aziende dell'UE hanno seguito l'esempio invece di passare alle opzioni legali"
SCC e "TOM" non bastano. Mentre Google ha fatto osservazioni sostenendo che ha implementato "misure tecniche e organizzative" ("TOMs"), che includevano idee come avere recinzioni intorno ai centri dati, rivedere le richieste o avere una crittografia di base, il DSB ha respinto queste misure come assolutamente inutili quando si tratta di sorveglianza degli Stati Uniti (pagina 38 e 39 della decisione):
"Per quanto riguarda le misure contrattuali e organizzative delineate, non è evidente fino a che punto [le misure] siano efficaci nel senso delle considerazioni di cui sopra."
"Per quanto riguarda le misure tecniche, non è nemmeno riconoscibile (...) in che misura [la misura] impedirebbe o limiterebbe effettivamente l'accesso da parte delle agenzie di intelligence statunitensi considerando la legge degli Stati Uniti."
Max Schrems:"Questa è una decisione molto dettagliata e solida. La linea di fondo è: Le aziende non possono più usare servizi cloud statunitensi in Europa. Sono passati1,5 anni da quando la Corte di giustizia ha confermato questo una seconda volta, quindi è più che tempo che la legge sia anche applicata."
Decisione rilevante per quasi tutti i siti web dell'UE. Google Analytics è il programma di statistiche più comune. Mentre ci sono molte alternative che sono ospitate in Europa o possono essere auto-ospitate, molti siti web si affidano a Google e quindi trasmettono i loro dati utente alla multinazionale statunitense. Il fatto che le autorità per la protezione dei dati possano ora gradualmente dichiarare illegali i servizi statunitensi, mette ulteriore pressione sulle aziende dell'UE e sui fornitori statunitensi per muoversi verso opzioni sicure e legali, come l'hosting fuori dagli USA. Una decisione simile sui trasferimenti UE-USA è stata raggiunta dal garante europeo della protezione dei dati (EDPS) una settimana prima.
Max Schrems:"Ci aspettiamo che decisioni simili ora cadano gradualmente nella maggior parte degli stati membri dell'UE. Abbiamo presentato 101 reclami in quasi tutti gli Stati membri e le autorità hanno coordinato la risposta. Una decisione simile è stata emessa anche dal Garante europeo della protezione dei dati la scorsa settimana"
Soluzione a lungo termine. A lungo termine, sembrano esserci due opzioni: O gli Stati Uniti adattano le protezioni di base per gli stranieri per sostenere la loro industria tecnologica, o i fornitori statunitensi dovranno ospitare i dati stranieri fuori dagli Stati Uniti.
Max Schrems:"A lungo termine, o abbiamo bisogno di protezioni adeguate negli Stati Uniti, o finiremo con prodotti separati per gli Stati Uniti e l'UE. Personalmente preferirei migliori protezioni negli Stati Uniti, ma questo dipende dal legislatore statunitense - non da nessuno in Europa."
Google LLC non rientra nelle regole di trasferimento? Il DSB ha respinto i reclami contro Google LLC come destinatario dei dati, ritenendo che le regole sui trasferimenti di dati si applicano solo alle entità dell'UE e non ai destinatari degli Stati Uniti. Tuttavia, il DSB ha detto che indagherà ulteriormente su Google LLC in relazione a potenziali violazioni degli articoli 5, 28 e 29 del GDPR, in quanto sembra discutibile se Google fosse autorizzato a fornire dati personali al governo degli Stati Uniti senza un ordine esplicito da parte dell'esportatore di dati dell'UE. Il DSB emetterà una decisione separata su questa questione.
Max Schrems:"Per noi, è fondamentale che i fornitori statunitensi non possano semplicemente spostare il problema sui clienti dell'UE. Abbiamo quindi presentato il caso anche contro il destinatario statunitense. Il DSB ha respinto in parte questo approccio. Rivedremo se ci appelleremo a questo elemento della decisione"
Nessuna sanzione (ancora). La decisione non si occupa di una potenziale sanzione, poiché questa è vista come una procedura di applicazione "pubblica", dove il denunciante non viene ascoltato. Non ci sono informazioni se è stata emessa una sanzione o se il DSB ha intenzione di emettere anche una sanzione. Il GDPR prevede sanzioni fino a 20 milioni di euro o il 4% del fatturato globale in questi casi.
Max Schrems:"Presumiamo che ci sia anche una sanzione per l'esportatore di dati UE, ma finora abbiamo ricevuto solo una decisione parziale che non tratta questa questione"
Ulteriore applicazione da parte delle DPA tedesche. Poiché l'esportatore di dati austriaco si è fuso con una società tedesca, il DSB austriaco aveva solo la giurisdizione per le violazioni in passato. La DSB ha detto che solleverà un divieto di futuri trasferimenti di dati con l'autorità competente presso la nuova sede dell'esportatore di dati in Germania.
Contesto e analisi legale. noyb ha anche pubblicato un'analisi legale più approfondita su GDPRhub.eu.