Google Analytics e trasferimento dati negli USA: è legittimo?

L’ UTILIZZO DI GOOGLE ANALYTICS E IL TRASFERIMENTO DI DATI NEGLI USA PUO’ CONSIDERARSI LEGITTIMO?

Continuano ad essere dichiarati illegali, da parte delle autorità per la protezione dei dati, i servizi offerti da Google Analytics, il programma di statistiche più diffuso per i siti web ospitati sui server europei. A dirlo è l’Autorità francese per la protezione dei dati (CNIL) che, riprendendo la decisione dell’Autorità Austriaca (Datenschutzbehörde), ordina a un sito web francese di conformarsi al Regolamento UE sulla protezione dei dati personali.

Ebbene, entrambe le decisioni trarrebbero origine dai 101 reclami che l’associazione, che fa riferimento all’attivista Max Schrems, ha presentato in seguito alla sentenza “Schrems II” del luglio 2020, con la quale la Corte di giustizia UE ha ritenuto non valido il cd. Privacy Shield (alla lettera scudo per la privacy) adottato nel 2016 dalla Commissione europea in seguito alla decadenza dell'accordo Safe Harbor.

FACCIAMO UN PASSO INDIETRO: DOPO L’ADDIO AL PRIVACY SHIELD QUALI SONO STATE LE CONSEGUENZE?

Una volta constatato che le autorità americane potevano accedere ai dati personali trasferiti dagli Stati membri verso gli Stati Uniti trattandoli in maniera del tutto incompatibile con le finalità del loro trasferimento (oltre al fatto che l’accesso agli stessi poteva avvenire anche al di là di quanto strettamente necessario per la protezione della sicurezza nazionale) la maggior parte dei trasferimenti verso gli USA divengono illegali e quindi sanzionabili.

La normativa statunitense sarebbe infatti in contrasto non solo con il principio di proporzionalità ma, non conferendo agli interessati alcun diritto nei confronti delle autorità statunitensi, violerebbe addirittura il requisito di tutela giurisdizionale.

COME RISOLVERE LA SITUAZIONE?

Di fronte a questa situazione, l’EDPB (European Data Protection Board) il 10 novembre 2020 ha adottato una bozza di Raccomandazioni (n.1/2020).

Premesso che per loro stessa natura tali raccomandazioni non hanno forza di legge (e quindi non sono vincolanti), risultano comunque utilissime in quanto forniscono un modello di “Data Transfer Impact Assessment” (DTIA) con il quale il data exporter può analizzare il trasferimento e le misure supplementari da mettere in campo per rispettare i principi imposti dalla normativa UE.
Vediamo quindi cosa è opportuno fare al fine di essere in linea con il GDPR.

COME ESSERE IN LINEA CON IL GDPR?

Cerchiamo di capire insieme

Prima di effettuare il trasferimento dei dati su server fuori dall’UE/SEE (Spazio Economico Europeo) occorrerà:

  1. Effettuare una mappatura di tutti i trattamenti (inclusi gli strumenti software utilizzati, i cloud, le newsletter, ecc.) in modo da avere contezza di dove vadano i dati che si trattano.
    In questo modo potranno essere individuati i paesi terzi coinvolti e verificare che i dati siano adeguati, pertinenti e limitatati a quanto necessario in relazione alle finalità per le quali sono trasferiti e trattati nel Paese terzo;
  2. Verificare che lo strumento su cui si basa il trasferimento sia tra quelli elencati nel Capitolo V del GDPR.
    A seconda del tipo di strumento utilizzato, infatti, le azioni suggerite dalle Raccomandazioni potrebbero cambiare;
  3. Valutare la legge o prassi del Paese terzo.
    La valutazione dovrà effettuarsi qualora il trasferimento non possa fondarsi né su una decisione di adeguatezza ex articolo 45 del GDPR, né su una deroga ai sensi dell’articolo 49 del GDPR. In questi casi, è infatti necessario condurre un’analisi più puntuale sulla legislazione dei paesi terzi verso i quali si intende trasferire i dati, al fine di individuare eventuali disposizioni in grado di incidere, nel caso concreto, sull’efficacia degli strumenti di trasferimento ex articolo 46 del GDPR su cui si fa affidamento;
  4. Individuare e adottare le eventuali misure supplementari necessarie.
    Nel caso in cui dalla valutazione effettuata risulti che la legislazione del paese terzo verso il quale si intende trasferire i dati non garantisce una protezione sostanzialmente equivalente a quella prevista dalla normativa europea l’EDPB, nell’Allegato 2 alle Raccomandazioni 01/2020, fornisce un elenco non esaustivo di misure tecniche, contrattuali e organizzative supplementari, a supporto della disamina degli esportatori;
  5. Adottare eventuali procedimenti formali.
    L’EDPB fornisce ulteriori informazioni in merito a tali eventuali adempimenti formali ed evidenzia che in alcuni casi potrebbe essere necessario consultare le autorità di controllo competenti;
  6. Rivalutare, ad intervalli adeguati, il livello di protezione dei dati trasferiti verso paesi terzi, per verificare se ci sono stati o ci saranno sviluppi che possono influire su di essi.
    Tale controllo va effettuato in ogni caso in cui si effettuano trasferimenti ai sensi del Capitolo V del GDPR, in quanto il principio di accountability richiede una vigilanza continua sul livello di protezione dei dati personali.

A QUESTO PUNTO NON RESTA CHE CHIEDERSI: TUTTO CIO’ E’ SUFFICIENTE A CONSENTIRE I TRASFERIMENTI NEGLI USA?

Ebbene, anche se le raccomandazioni dovessero essere osservate, il problema di un trasferimento fuori controllo non può dirsi completamente risolto.

Occorre infatti tenere ben presente che gli USA per il tipo di legislazione in vigore, non possono, allo stato, essere considerati uno “Stato adeguato” dal punto di vista dei principi del diritto europeo.

Sicuramente le Raccomandazioni dell’EDPB costituiscono un’espressione della volontà di intervenire sul punto, ma la strada da fare è ancora molto lunga. Ed infatti, sebbene abbiano, in qualche modo, rafforzato il principio di responsabilizzazione degli operatori che effettuano trattamenti di dati personali, si trascura il fatto che, spesso il titolare del trattamento non sempre è in grado di procedere alle valutazioni richieste dalle Raccomandazioni (spesso si tratta infatti di ponderare l’esistenza di sistemi di sorveglianza statali dei quali, il più delle volte, non si ha notizia pubblica).

Certo è che, in attesa di ridefinire la questione, le autorità di controllo continueranno a monitorare l’applicazione del GDPR e che, nell’esercitare i propri poteri, terranno in debita considerazione le azioni intraprese dagli esportatori per garantire che i dati da essi trasferiti godano di un livello di protezione sostanzialmente equivalente a quella prevista nei paesi dell’UE.

./

Associati ad AICEL
Verifica di Avere i Requisiti Richiesti

AICEL è l'unica Associazione di Categoria dei Venditori on-line. Essere Socio AICEL significa prima di tutto fare eCommerce con passione, avere una forte etica e svolgere il proprio lavoro nel pieno rispetto delle regole. 

Iscrivitii Ora!

 

Le Guide AICEL

Far bene l'eCommerce fa bene all'eCommerce

Scopri di più...

 

ScontiAicel

il portale degli sconti

ScontiAICEL è uno dei servizi offerti da AICEL che permette l'incontro fra i venditori e i consumatori

Scopri di più | Vai al Portale
Oltre 1255 Aziende associate
Più di 383 Certificazioni
Da più di 14 anni nel settore
Sono 1094 i negozi

AICEL Informa

Notizie e Informazioni dall'Associazione. Ecco le ultime notizie pubblicate
IL GARANTE PRIVACY BOCCIA  GOOGLE ANALYTICS

IL GARANTE PRIVACY BOCCIA GOOGLE ANALYTICS

Garante Privacy ed illegittimo utilizzo di Google Analytics Universal: vietati i trasferimenti di dati personali verso gli Stati Uniti 

Scopri di pIù
AICEL  in Università a parlare di Privacy nell'ecommerce

AICEL in Università a parlare di Privacy nell'ecommerce

Seminario tenuta dal Vice Presidente AICEL presso l'Università Magna Graecia di Catanzaro

Scopri di pIù
Importazione di spedizioni di valore trascurabile: la circolare dell'Agenzia delle Dogane

Importazione di spedizioni di valore trascurabile: la circolare dell'Agenzia delle Dogane

Con una nuova circolare del 3 maggio 2022, l'Agenzia delle Dogane ha fornito alcune indicazioni procedurali con riferimento allo sdoganamento di beni di modico valore.

Scopri di pIù
Finanziamenti e Bandi aperti

Finanziamenti e Bandi aperti

Scopri di più
Formazione AICEL

Formazione AICEL

Scopri di più
Sala stampa

Sala stampa

Scopri di più
Come fare per

Come fare per [Guide]

Scopri di più
© Aicel - Associazione Italiana Commercio Elettronico C.F. 93022240175 | Cookie Policy | Privacy
Gestione consensi