vittoria di noyb: Prima multa importante (1 milione di euro) per l'uso di Google Analytics
In seguito alle 101 denunce di noyb sui trasferimenti illegali di dati tra l'UE e gli Stati Uniti, l'autorità svedese per la protezione dei dati (IMY) ha emesso decisioni contro quattro società e ha imposto una multa di 12 milioni di corone svedesi (1 milione di euro) contro il fornitore di telecomunicazioni Tele2 e di 300.000 corone svedesi contro il rivenditore online CDON per l'uso di Google Analytics sulla loro pagina web. Sebbene molte altre autorità europee (ad esempio Austria, Francia e Italia) abbiano già riscontrato che l'uso di Google Analytics viola il GDPR, questa è la prima sanzione pecuniaria imposta alle aziende per l'uso di Google Analytics, nonostante le sentenze della CGUE sui trasferimenti di dati tra UE e USA.
- Dichiarazione stampa della DPA svedese (EN)
- Decisione contro CDON (EN autotraduzione)
- Decisione contro Coop (EN autotraduzione)
- Decisione contro Dagens Industri (EN autotranslation)
- Decisione contro Tele2 (EN autotraduzione)
La CGUE ha dichiarato illegali i trasferimenti UE-USA (nella maggior parte dei casi). In 2020 la CGUE ha stabilito che i trasferimenti di dati tra l'UE e gli Stati Uniti sono in gran parte illegali, date le vaste possibilità di sorveglianza del governo statunitense. Tuttavia, molte aziende dell'UE continuano a utilizzare i servizi di Google, Meta, Microsoft, Amazon e altri. Molte aziende, tuttavia, continuano a ignorare queste sentenze e si affidano a richieste di "misure supplementari" e alle cosiddette clausole contrattuali standard ("SCC"). noyb ha presentato 101 denunce nel 2020 contro utenti dei servizi di Google e Facebook in quasi tutti gli Stati membri dell'UE.
Precedenti decisioni in altri Stati membri dell'UE. Da allora, altre autorità europee per la protezione dei dati hanno già riscontrato che l'uso continuo di Google Analytics violava il diritto dell'UE (si vedano, ad esempio, le decisioni di Austria, Francia e Italia). La giurisprudenza era quindi chiara, ma molte aziende ancora resistono al rispetto della legge.
Prima sanzione pecuniaria. L'IMY svedese è ora la prima autorità per la protezione dei dati che non solo ha accertato l'illegalità dei trasferimenti e ne ha ordinato la cessazione, ma ha anche comminato una multa (importante) a due società: Tele 2 (una Telecom svedese) e CDON (un rivenditore online svedese). Altre due società (Coop e Dagens Industri) non hanno subito alcuna sanzione.
Le "misure supplementari" di Google non sono sufficienti. L'IMY sottolinea anche che le cosiddette "misure supplementari" non erano sufficienti. Finora Google ha in gran parte indicato agli utenti commerciali dell'UE queste misure per ovviare a presunte carenze della legge statunitense. Ora questo è stato (nuovamente) respinto da un regolatore dell'UE.
Marco Blocher: "Finalmente una DPA ha imposto una multa significativa per l'uso continuato di uno strumento che trasferisce dati personali negli Stati Uniti in violazione del GDPR - e ha vietato l'ulteriore uso di tale strumento. Si tratta di un piacevole cambiamento rispetto ad altre DPA che si limitano a constatare una violazione, senza però creare alcun incentivo a conformarsi in futuro. Ci auguriamo che altre DPA seguano l'esempio di quella svedese e mettano fine ai trasferimenti illegali di dati"
Accordo imminente. L'UE e gli USA hanno annunciato un nuovo accordo per la primavera del 2022. Finora non è stato finalizzato, ma si dice che sarà pubblicato questo mese. Dato che il nuovo accordo è strutturalmente uguale ai due precedenti, è molto probabile che la CGUE lo annulli nuovamente.