Google Analytics e trasferimento dati negli USA: è legittimo?

L’ UTILIZZO DI GOOGLE ANALYTICS E IL TRASFERIMENTO DI DATI NEGLI USA PUO’ CONSIDERARSI LEGITTIMO?

Continuano ad essere dichiarati illegali, da parte delle autorità per la protezione dei dati, i servizi offerti da Google Analytics, il programma di statistiche più diffuso per i siti web ospitati sui server europei. A dirlo è l’Autorità francese per la protezione dei dati (CNIL) che, riprendendo la decisione dell’Autorità Austriaca (Datenschutzbehörde), ordina a un sito web francese di conformarsi al Regolamento UE sulla protezione dei dati personali.

Ebbene, entrambe le decisioni trarrebbero origine dai 101 reclami che l’associazione, che fa riferimento all’attivista Max Schrems, ha presentato in seguito alla sentenza “Schrems II” del luglio 2020, con la quale la Corte di giustizia UE ha ritenuto non valido il cd. Privacy Shield (alla lettera scudo per la privacy) adottato nel 2016 dalla Commissione europea in seguito alla decadenza dell'accordo Safe Harbor.

FACCIAMO UN PASSO INDIETRO: DOPO L’ADDIO AL PRIVACY SHIELD QUALI SONO STATE LE CONSEGUENZE?

Una volta constatato che le autorità americane potevano accedere ai dati personali trasferiti dagli Stati membri verso gli Stati Uniti trattandoli in maniera del tutto incompatibile con le finalità del loro trasferimento (oltre al fatto che l’accesso agli stessi poteva avvenire anche al di là di quanto strettamente necessario per la protezione della sicurezza nazionale) la maggior parte dei trasferimenti verso gli USA divengono illegali e quindi sanzionabili.

La normativa statunitense sarebbe infatti in contrasto non solo con il principio di proporzionalità ma, non conferendo agli interessati alcun diritto nei confronti delle autorità statunitensi, violerebbe addirittura il requisito di tutela giurisdizionale.

COME RISOLVERE LA SITUAZIONE?

Di fronte a questa situazione, l’EDPB (European Data Protection Board) il 10 novembre 2020 ha adottato una bozza di Raccomandazioni (n.1/2020).

Premesso che per loro stessa natura tali raccomandazioni non hanno forza di legge (e quindi non sono vincolanti), risultano comunque utilissime in quanto forniscono un modello di “Data Transfer Impact Assessment” (DTIA) con il quale il data exporter può analizzare il trasferimento e le misure supplementari da mettere in campo per rispettare i principi imposti dalla normativa UE.
Vediamo quindi cosa è opportuno fare al fine di essere in linea con il GDPR.

COME ESSERE IN LINEA CON IL GDPR?

Cerchiamo di capire insieme

Prima di effettuare il trasferimento dei dati su server fuori dall’UE/SEE (Spazio Economico Europeo) occorrerà:

  1. Effettuare una mappatura di tutti i trattamenti (inclusi gli strumenti software utilizzati, i cloud, le newsletter, ecc.) in modo da avere contezza di dove vadano i dati che si trattano.
    In questo modo potranno essere individuati i paesi terzi coinvolti e verificare che i dati siano adeguati, pertinenti e limitatati a quanto necessario in relazione alle finalità per le quali sono trasferiti e trattati nel Paese terzo;
  2. Verificare che lo strumento su cui si basa il trasferimento sia tra quelli elencati nel Capitolo V del GDPR.
    A seconda del tipo di strumento utilizzato, infatti, le azioni suggerite dalle Raccomandazioni potrebbero cambiare;
  3. Valutare la legge o prassi del Paese terzo.
    La valutazione dovrà effettuarsi qualora il trasferimento non possa fondarsi né su una decisione di adeguatezza ex articolo 45 del GDPR, né su una deroga ai sensi dell’articolo 49 del GDPR. In questi casi, è infatti necessario condurre un’analisi più puntuale sulla legislazione dei paesi terzi verso i quali si intende trasferire i dati, al fine di individuare eventuali disposizioni in grado di incidere, nel caso concreto, sull’efficacia degli strumenti di trasferimento ex articolo 46 del GDPR su cui si fa affidamento;
  4. Individuare e adottare le eventuali misure supplementari necessarie.
    Nel caso in cui dalla valutazione effettuata risulti che la legislazione del paese terzo verso il quale si intende trasferire i dati non garantisce una protezione sostanzialmente equivalente a quella prevista dalla normativa europea l’EDPB, nell’Allegato 2 alle Raccomandazioni 01/2020, fornisce un elenco non esaustivo di misure tecniche, contrattuali e organizzative supplementari, a supporto della disamina degli esportatori;
  5. Adottare eventuali procedimenti formali.
    L’EDPB fornisce ulteriori informazioni in merito a tali eventuali adempimenti formali ed evidenzia che in alcuni casi potrebbe essere necessario consultare le autorità di controllo competenti;
  6. Rivalutare, ad intervalli adeguati, il livello di protezione dei dati trasferiti verso paesi terzi, per verificare se ci sono stati o ci saranno sviluppi che possono influire su di essi.
    Tale controllo va effettuato in ogni caso in cui si effettuano trasferimenti ai sensi del Capitolo V del GDPR, in quanto il principio di accountability richiede una vigilanza continua sul livello di protezione dei dati personali.

A QUESTO PUNTO NON RESTA CHE CHIEDERSI: TUTTO CIO’ E’ SUFFICIENTE A CONSENTIRE I TRASFERIMENTI NEGLI USA?

Ebbene, anche se le raccomandazioni dovessero essere osservate, il problema di un trasferimento fuori controllo non può dirsi completamente risolto.

Occorre infatti tenere ben presente che gli USA per il tipo di legislazione in vigore, non possono, allo stato, essere considerati uno “Stato adeguato” dal punto di vista dei principi del diritto europeo.

Sicuramente le Raccomandazioni dell’EDPB costituiscono un’espressione della volontà di intervenire sul punto, ma la strada da fare è ancora molto lunga. Ed infatti, sebbene abbiano, in qualche modo, rafforzato il principio di responsabilizzazione degli operatori che effettuano trattamenti di dati personali, si trascura il fatto che, spesso il titolare del trattamento non sempre è in grado di procedere alle valutazioni richieste dalle Raccomandazioni (spesso si tratta infatti di ponderare l’esistenza di sistemi di sorveglianza statali dei quali, il più delle volte, non si ha notizia pubblica).

Certo è che, in attesa di ridefinire la questione, le autorità di controllo continueranno a monitorare l’applicazione del GDPR e che, nell’esercitare i propri poteri, terranno in debita considerazione le azioni intraprese dagli esportatori per garantire che i dati da essi trasferiti godano di un livello di protezione sostanzialmente equivalente a quella prevista nei paesi dell’UE.

./

Associati ad AICEL
Verifica di Avere i Requisiti Richiesti

AICEL è l'unica Associazione di Categoria dei Venditori on-line. Essere Socio AICEL significa prima di tutto fare eCommerce con passione, avere una forte etica e svolgere il proprio lavoro nel pieno rispetto delle regole. 

Iscrivitii Ora!

 

Le Guide AICEL

Far bene l'eCommerce fa bene all'eCommerce

Scopri di più...

 

ScontiAicel

il portale degli sconti

ScontiAICEL è uno dei servizi offerti da AICEL che permette l'incontro fra i venditori e i consumatori

Scopri di più | Vai al Portale
Oltre 1309 Aziende associate
Più di 399 Certificazioni
Da più di 15 anni nel settore
Sono 1122 i negozi

AICEL Informa

Notizie e Informazioni dall'Associazione. Ecco le ultime notizie pubblicate
Calendario eCommerce 2023: scarica subito

Calendario eCommerce 2023: scarica subito

Abbiamo raccolto le date e le ricorrenze più importanti per l'eCommerce nel 2023. Il planner in download gratuito è lo strumento indispensabile per pianificare campagne marketing di successo

Scopri di pIù
Nuova Sezione - Approfondimenti

Nuova Sezione - Approfondimenti

Nuova sezione nel portale. AICEL analizza e commenta le notizie di impatto nel settore eCommerce

Scopri di pIù
Arriva il provvedimento di attuazione della Direttiva Omnibus

Arriva il provvedimento di attuazione della Direttiva Omnibus

In fase di approvazione il Decreto Legislativo che aggiunge nuove disposizioni al Codice del Consumo

Scopri di pIù
Finanziamenti e Bandi aperti

Finanziamenti e Bandi aperti

Scopri di più
Formazione AICEL

Formazione AICEL

Scopri di più
Sala stampa

Sala stampa

Scopri di più
Come fare per

Come fare per [Guide]

Scopri di più
© Aicel - Associazione Italiana Commercio Elettronico C.F. 93022240175 | Cookie Policy | Privacy
Gestione consensi