Recentemente l’attenzione dei Garanti Privacy europei si sta concentrando sulle attività di trattamento di dati personali attraverso i cookies con decisioni certamente rilevanti per tutte le aziende.
Il particolare interesse rispetto a questa tematica è stato sollecitato dai numerosi reclami inviati da NOYB – organizzazione senza scopo di lucro fondata dall’attivista Maximilian Schrems (già noto per aver dato origine alle famosissime sentenze Schrems), la quale – in maniera massiva – ha inviato reclami a tutte le autorità europee, segnalando che l’utilizzo dei cookies del pacchetto “Google Analytics” violi il GDPR.
Tra le prime autorità a pronunciarsi vi è il Garante Austriaco che ha – con una decisione(1) netta e interessante – ritenuto che l’uso dei cookies Google Analytics da parte di un fornitore di un sito web austriaco violasse il GDPR.
Più nello specifico, secondo l’Autorità il trasferimento di quelle informazioni a Google LLC doveva considerarsi effettuato in violazione degli art. 44 e seguenti del GDPR in quanto Google LLC si qualifica come fornitore di servizi di comunicazione elettronica e per tale ragione è soggetta, ai sensi del 50 U.S. Code § 1881(b)(4)(2), alla sorveglianza dei servizi di intelligence degli Stati Uniti, con l’evidente possibilità che gli venga ordinato di rivelare informazioni inerenti cittadini europei.
Proprio questa stessa ragione – e cioè la circostanza che i dati di cittadini europei possano illegittimamente essere soggetti al controllo dei servizi di intelligence statunitense – aveva condotto la Corte di Giustizia Europea ad emettere due provvedimenti(3)(4) che hanno invalidato sia il “Safe Harbor” sia il successivo “Privacy Shield” sollecitando la riorganizzazione degli accordi tra Unione Europea e Stati Uniti in materia di data protection.
Infatti, in entrambi i casi gli accordi internazionali tra UE e USA non consentivano di salvaguardare i cittadini europei rispetto ad eventuali richieste di accesso da parte delle autorità statunitensi per finalità di pubblica sicurezza e ciò ha portato la Corte di Giustizia a ritenere che questi accordi non fornissero un sufficiente livello di tutela.
E su questo punto è tornato anche il Garante Austriaco che ha precisato che:
- le standard contrattual clauses “vecchia edizione” certamente non possono considerarsi adeguate e ciò ovviamente sulla base della sentenza Schrems II che ha imposto non solo di emanare un nuovo modello di SCC ma anche di valutare misure addizionali per garantire un adeguato livello di tutela. A ciò ha aggiunto che la semplice sottoscrizione di SCC non possa essere di per sé risolutiva della criticità riscontrata e ciò per l’evidente circostanza che eventuali impegni contrattuali presi da Google LLC con clienti europei non possono certamente limitare l’attività delle autorità statunitensi. Sul punto specifica che nemmeno particolari misure tecniche o organizzative (come ad esempio la crittografia) possano effettivamente essere efficaci perché Google LLC sarebbe comunque tenuta a comunicarle e condividerle con l’autorità.
- i cookie pur essendo informazioni piccolissime sono in grado di consentire il tracciamento e la valutazione della localizzazione geografica, della connessione internet e del “contesto del visitatore” (browser utilizzato, risoluzione dello schermo e sistema operativo); il grandissimo numero di informazioni scambiate consente quindi di identificare la persona (ed anzi, le informazioni sono così tante che le attività di spionaggio ne risulterebbero anzi avvantaggiate). Sul punto l’Autorità specifica che non è assolutamente risolutiva la funzione di anonimizzazione dell’indirizzo IP fornita da Google. Infatti, in ragione della grande mole di informazioni disponibili, l’IP perde la sua centrale funzione di informazione idonea all’identificazione. Conseguentemente anche un’anonimizzazione degli indirizzi IP non rende queste informazioni esenti dall’applicazione del GDPR.
- la responsabilità può essere imputata esclusivamente al c.d. “data exporter” e cioè il sito web che utilizzava i suddetti cookies, in quanto il data importer non è soggetto al GDPR.
- Google Analytics tool (quantomeno nella sua versione corrente al momento dei fatti – di agosto 2020) non possa essere utilizzato se si vuole essere conformi al GDPR.
Si tratta di una decisione innovativa nella sua assolutezza, che sottolinea che il problema sta nell’evidente disallineamento normativo tra i due ordinamenti (quello europeo e quello statunitense) che deve essere risolto con strumenti normativi e non può essere rimesso alla negoziazione tra privati. Tale conclusione, sicuramente corretta, non offre però soluzioni rapide agli operatori.
Infatti, la strada delle negoziazioni internazionali è un obiettivo ambizioso, tanto più in una materia, come questa, ove c’è una forte frizione tra gli approcci alla tutela dei dati personali dei due ordinamenti.
Sul punto l’attivista Max Schrems ha sottolineato più volte che si augura un adattamento del sistema statunitense agli standard “garantisti” europei; tale adattamento potrebbe essere spinto, se non dalla volontà di aumentare le garanzie di difesa personale e di privacy degli individui, dalla volontà di sostenere l’industria tecnologica americana, che, con le decisioni in fieri delle autorità europee, potrebbe subire dei contraccolpi economici.
Tutto ciò premesso e – nel frattempo che una soluzione “normativa” venga presa a livello internazionale – quali possibili soluzioni si prospettano per le aziende nel prossimo futuro?
L’uso di altri pacchetti di cookies analitici offerti da altre società statunitensi certamente non è risolutivo: infatti, i ragionamenti effettuati dall’autorità per gli Analytics di Google possono valere in molti altri casi di servizi simili.
Nemmeno l’uso del consenso come base giuridica per il trasferimento – ai sensi dell’art. 49 del GDPR – si prospetta come una soluzione efficace. Infatti, il Comitato europeo per la protezione dei dati (EDPB) ne consente l’utilizzo solo per trasferimenti occasionali o non ripetitivi (cfr. Linee guida 2/2018 sulle deroghe di cui all’articolo 49 GDPR)(5).
A questo punto alle aziende non rimane che virare verso modelli di business “cookieless”, che superino cioè l’uso di cookie di terze parti. È, ad esempio, quanto Apple Inc. sta cercando di implementare; oppure attendere che Google LLC adatti il servizio di Analytics per i clienti europei, attraverso l’hosting di questi dati da società europea su territorio europeo per evitare il trasferimento extra SEE.
Sebbene ad un primo sguardo è proprio quest’ultima soluzione quella che sembrerebbe di più facile implementazione (con una sostanziale diversificazione dei prodotti per la clientela statunitense ed europea) non si deve sottovalutare la possibile scelta di evitare del tutto l’utilizzo di cookies di terza parte: è, infatti, noto che molte società stanno pensando a soluzioni che superino questa tecnologia e che rivoluzioneranno ancora il modo di fare marketing online.
Per approfondimenti, consultare i seguenti link e/o riferimenti:
(1) Austrian DPA – Google Analytics | DSB (Austria) – 2021-0.586.257 (D155.027) | in English
(1) Decisione Garante Austriaco DSB – Google Analytics, (in tedesco)
(5) Linee-guida 2/2018 sulle deroghe di cui all’articolo 49 del regolamento 2016/679 | EDPB, 25-05-2018
