Google analytics al vaglio delle Autorità in Europa
Corte di Giustizia Europea C-311/18 del 16 luglio 2020
1. LE DECISIONI DELLA CORTE DI GIUSTIZIA EUROPEA: SCHREMS I E II
Le sentenze sono diretta applicazione della normativa europea in materia di privacy (Reg. UE 679/2016, "GDPR"), secondo la quale uno Stato membro dell'Unione Europea può verificare la richiesta di garanzia di protezione, avanzata da qualsiasi persona fisica riguardo alla tutela dei suoi dati personali, nel caso questi vengano trasferiti da uno Stato membro verso un paese terzo e il soggetto ritenga non venga garantito un livello di protezione almeno equivalente a quello dell'Unione.
La prima sentenza aveva portato alla dichiarazione di invalidità del regime di Safe Harbor[1], che all'epoca regolava il rapporto fra UE e USA, nonostante si trattasse di una Decisione approvata della Commissione Europea.
Nel periodo di applicazione dell'accordo, però, alcuni report provenienti dalla stessa UE avevano evidenziato criticità, non conformità e mancanza di trasparenza. Tale meccanismo fu invalidato definitivamente con la decisione Schrems I[2], arrivata anche a valle di alcuni noti scandali[3].
A seguito della pronuncia della Corte, la Commissione europea e il governo USA definirono un nuovo accordo nel 2016, cd. "Privacy-shield", ufficializzato mediante una decisione di adeguatezza. Con la sentenza Schrems II (C-311/18 del 16luglio 2020), tuttavia, viene ulteriormente contestato anche tale regime, nonostante si si fosse proposto di compensare alla mancanza di diritti dei cittadini europei sulla protezione dei dati nella legge per la privacy statunitense.
2. IL TRASFERIMENTO DI DATI ALL'ESTERO SECONDO LE NORME DEL GDPR
In via residuale, è possibile trasferire i dati personali in base ad alcune deroghe che si verificano in specifiche situazioni (art. 49 del Regolamento UE 2016/679).
3. IL PROBLEMA DELLA PROTEZIONE DEI DATI PERSONALI NEGLI STATI UNITI
Rispetto al meccanismo Safe Harbor, il cui funzionamento era affidato ad entità private, il Privacy Shield era considerato dalla Commissione europea un notevole passo in avanti nelle garanzie offerte ai cittadini.
L'accordo prevedeva che le autorità americane vigilassero e assicurassero con più forza il rispetto dell'accordo, con l'aggiunta di un impegno a collaborare in misura maggiore con le Autorità europee per la protezione dei dati.
Era la prima volta che l'Amministrazione americana assumeva impegni formali con riferimento alla protezione dei dati personali.
Quanto alle imprese si garantiva maggiore trasparenza e limitazioni alla facoltà di trasferire dati ad altri soggetti mediante l'implementazione di un sistema di controllo e monitoraggio e l'applicazione di sanzioni o esclusione dai benefici dell'accordo.
Un aspetto di maggiore delicatezza, però, riguardava[8] la possibilità per l'Amministrazione americana di accedere indiscriminatamente ai dati personali presenti nei server sul territorio statunitense e mettere in atto politiche di sorveglianza di massa, come successo negli scandali accennati sopra.
Con il Privacy Shield, per la prima volta l'Amministrazione USA aveva garantito formalmente che l'accesso delle autorità pubbliche ai dati personali sarebbe stato soggetto a limiti, garanzie e meccanismi di controllo specifici e definiti. Era stato anche affermato che non vi sarebbero state attività di sorveglianza indiscriminata e le imprese sarebbero state libere di dichiarare il numero approssimativo di richieste di accesso ricevute dal Governo. Si è provveduto, infine, ad istituire uno strumento nuovo di tutela giuridica attraverso il cosiddetto «difensore civico» (Ombudsperson), un soggetto indipendente incaricato di ricevere e decidere i reclami presentati dagli interessati.
4. I PUNTI ESSENZIALI DELLA DECISIONE SCHREMS II
Con quest'ultima pronunci, la Corte Europea ha proseguito il suo percorso interpretativo e di controllo, giungendo ad annullare anche quest'ulteriore accordo fra Commissione Europea e USA, motivando che, ancora una volta, il livello di protezione non è sufficiente perché residuano ampi margini di obbligo di "disclosing" dei dati personali da parte delle aziende all'amministrazione americana.
Se da un lato, però, si è pronunciata a sfavore del Privacy Shield, allo stesso tempo l'effetto della sentenza non è di bloccare del tutto i trasferimenti di dati verso gli Stati Uniti.
Si è pronunciata, infatti, anche sull'idoneità delle clausole standard di protezione dei dati a regolare e legittimare il trasferimento di dati fuori dallo spazio economico europeo, vincolando il loro utilizzo ad efficaci meccanismi che garantiscano livelli di protezione equivalenti a quelli predisposti dal GDPR.
A seguito di questa decisione, pertanto, l'"esportatore" dei dati avrà l'obbligo di verificare se il livello di protezione richiesto dal GDPR viene rispettato dal paese terzo, destinatario dei dati, imponendo anche la previsione di misure supplementari a quelle offerte dalle clausole, qualora queste non siano sufficienti a garantire standard di protezione adeguati. Senza questi presupposti minimi, l'esportazione dei dati deve essere sospesa o terminare. Il trasferimento di dati al di fuori del territorio UE utilizzando SCC con un "importatore" di dati statunitense, poiché la legge USA non garantisce un livello di protezione equivalente a quello richiesto dal GDPR, esporrà l'esportatore a un rischio poiché la liceità dello stesso dipenderà dal risultato delle valutazioni dell'"esportatore", il quale dovrà considerare le circostanze dei trasferimenti e delle misure supplementari che potrebbe mettere in atto.
Solamente un'analisi caso per caso delle circostanze garantisce la possibilità per gli "esportatori" di dati di utilizzare le SCC senza esporsi a rischi sanzionatori, ma allo stesso tempo siamo consapevoli che è un adempimento che comunque espone a un rischio intrinseco, ancorato alla valutazione soggettiva dell'"esportatore" stesso.
Diverse Autorità di controllo di più Paesi europei, infatti, hanno preferito interrompere il trasferimento di dati verso gli USA, almeno fino al momento in cui dal livello europeo non arrivino esplicitamente soluzioni adeguate.
5. GOOGLE ANALYTICS ALLA PROVA DEL GDPR
Google Analytics è un servizio di statistiche web gratuito fornito da Google: strumento molto conosciuto che misura il traffico sui siti web e traccia il comportamento degli utenti mediante l'utilizzo di cookies.
L'illegittimità di Google Analytics (in particolar modo di Google Analytics 3 oggetto di analisi da parte delle Autorità Europee) deriverebbe dal fatto che lo strumento trasferisce i dati degli utenti negli Stati Uniti che, in tema di privacy, sono disciplinati da un regime giuridico diverso rispetto a quello Europeo che non garantisce un livello di protezione pari a quello che vige all'interno dell'Unione europea grazie al GDPR.
Ciò che le Autorità nazionali in ambito europeo hanno messo in luce è la responsabilità che grava sui gestori di siti web che utilizzano Google Analytics. Dopo la pronuncia con cui il Garante italiano ha ammonito un'impresa italiana, dandole un termine di 30 giorni per prendere opportuni provvedimenti, in un comunicato ufficiale ha chiarito: "Con l'occasione l'Autorità richiama all'attenzione di tutti i gestori italiani di siti web, pubblici e privati, l'illiceità dei trasferimenti effettuati verso gli Stati Uniti attraverso GA, anche in considerazione delle numerose segnalazioni e quesiti che stanno pervenendo all'Ufficio. E invita tutti i titolari del trattamento a verificare la conformità delle modalità di utilizzo di cookie e altri strumenti di tracciamento utilizzati sui propri siti web, con particolare attenzione a Google Analytics e ad altri servizi analoghi, con la normativa in materia di protezione dei dati personali." La responsabilità relativa alla conformità dell'impresa a quanto previsto dal GDPR è in capo all'impresa stessa, che deve scegliere i propri fornitori in base a criteri anche di compliance in tema di privacy quando gli stessi trattano dati personali di cui l'impresa italiana sia la Titolare ai sensi della normativa.
6. CONCLUSIONI
Non esiste ancora una soluzione ufficiale a livello europeo a seguito della decisione Schrems II e delle recenti pronunce e ammonimenti in tema di Analytics, riversando sulle imprese un rischio e degli oneri di controllo che raramente le stesse possono supportare. Esistono certamente sul mercato soluzioni alternative a Google Analytics, ma in questa vicenda sono coinvolti aspetti non solo di rilievo giuridico. Le soluzioni alternative devono esssere tecnicamente implementabili nella struttura dei siti web delle imprese europee, con costi e oneri di adattamento che le stesse devono sopportare.
Le decisioni sembrano non tenere in considerazione, infatti, la posizione dominante sul mercato - nel senso giuridico del termine - che ricoprono alcune aziende, proprio come Google, Apple, Microsoft, Amazon e Facebook: tutte aziende che sono americane.
In un mondo in cui le tecnologie basate su big data e profilazione degli utenti sono essenziali per poter trovare il proprio spazio sul mercato, solo operatori che hanno effettivamente a disposizione database enormi di dati degli utenti possono offrire un servizio utile e competitivo e non sempre le imprese che propongono soluzioni alternative hanno a disposizione tale quantità di dati e algoritmi di calcolo altrettanto potenti.
Il costo economico finisce per gravare sulle imprese europee, che sopportano i costi di adeguamento al GDPR e, al tempo stesso, i costi di una possibile minore concorrenzialità rispetto a competitor extra-UE dovuti all'impossibilità di utilizzare i "migliori" strumenti tecnici sul mercato; mercato che, lo si ricorda, per il consumatore finale è ormai globalizzato.
Dott.ssa Camilla Ragazzi
[1] Al fine di legittimare lo scambio, le compagnie statunitensi che operavano nell'area economica europea dovevano conformarsi a 7 principi generali: Notifica, Scelta, Trasferimento, Sicurezza, Integrità dei dati, Accesso, Adeguatezza.
Le compagnie statunitensi conformi al Safe Harbor dovevano certificare in tempi prestabiliti il loro rispetto dei principi. La principale problematica legata al Safe Harbor è che non veniva regolato dal governo ma dai privati, sotto la gestione della Federal Trade Commission, a sua volta monitorata dal Dipartimento del commercio degli Stati Uniti d'America.
[2] C-362/14 del 6/10/2015
[3] Ad es. il noto "Datagate".
[4] A cui appartengono anche Norvegia, Liechtestein e Islanda
[5] Il Regolamento prevede un'attività di monitoraggio da parte della Commissione mediante riesame delle decisioni a cadenza periodica, almeno ogni quattro anni.
[6] Incorporando il testo delle clausole contrattuali in questione in un contratto utilizzato per il trasferimento, l'esportatore dei dati garantisce che questi ultimi saranno trattati conformemente ai principi stabiliti nel Regolamento anche nel Paese terzo o all'interno dell'organizzazione di destinazione. Le clausole tipo di protezione dati non ammettono emendamenti e devono essere sottoscritte dalle parti. Tuttavia, esse possono essere incorporate in un contratto più generale e vi si possono aggiungere clausole ulteriori purché non in conflitto, direttamente o indirettamente, con le clausole tipo così adottate
[7] Sono costituiti da un documento contenente una serie di clausole che fissano i principi vincolanti espressamente individuati all'art. 47, paragrafi 1 e 2, del Regolamento UE 2016/679, al cui rispetto sono tenute tutte le entità appartenenti ad uno stesso gruppo societario.
[8] E, proprio in base a Schrems II, riguarda ancora.