TUTELA DEI DATI PERSONALI
Autorità per la protezione dei dati austriaca: Google Analytics viola i principi della sentenza Schrems II.
L'autorità austriaca per la protezione dei dati ("Datenschutzbehörde" o "DSB") ha deciso su un caso modello dei ricorrenti di NOYB ("None of Your Business") che l'uso continuo di Google Analytics viola il GDPR. Questa è la prima decisione sui 101 reclami modello presentati da NOYB sulla scia della cosiddetta decisione "Schrems II".
Nel 2020, la Corte di giustizia (CGUE) ha deciso che l'uso di fornitori statunitensi viola il GDPR, poiché le leggi sulla sorveglianza degli Stati Uniti richiedono a fornitori statunitensi come Google o Facebook di fornire dati personali alle autorità statunitensi. Decisioni simili sono attese in altri Stati membri dell'UE, poiché le autorità di regolamentazione hanno collaborato su questi casi in una "task force" istitutita dal Comitato Europeo per la protezione dei dati personali (EDPB). il DSB austrico è la prima Autorità di protezione dei dati ad emandare una decisione.
Come è noto, a Luglio del 2020 la CGUE ha emesso la sua rivoluzionaria sentenza "Schrems II", ritenendo che un trasferimento a fornitori statunitensi che rientrano in FISA 702 e EO 12.333 violi le regole sui trasferimenti internazionali di dati nel GDPR. La CGUE ha di conseguenza annullato l'accordo UE-USA di trasferimento "Privacy Shield", dopo aver annullato il precedente accordo "Safe Harbor" nel 2015. I fornitori statunitensi e gli esportatori di dati dell'UE hanno in gran parte ignorato il caso. Proprio come Microsoft, Facebook o Amazon, Google ha fatto affidamento sulle cosiddette "clausole contrattuali standard" per continuare i trasferimenti di dati.
Nelle sue difese davanti al DSB, Google ha presentato osservazioni sostenendo di aver implementato misure tecniche e organizzative atte ad evitare le interferenze di autorità pubbliche USA, ma il BSB ha respinto queste misure come assolutamente inutili quando si tratta di sorveglianza degli Stati Uniti.
La decisione ha un immediato e diretto impatto per quasi tutti i siti web dell'UE. Google Analytics è il programma di statistiche più comune. Mentre ci sono molte alternative che sono ospitate in Europa o possono essere self-hosted, molti siti web si affidano a Google e quindi inoltrano i loro dati utente alla multinazionale statunitense. Il fatto che le autorità di protezione dei dati possano ora dichiarare illegali i servizi statunitensi esercita un'ulteriore pressione sulle società dell'UE e sui fornitori statunitensi affinché si orientino verso opzioni sicure e legali, come l'hosting al di fuori degli Stati Uniti. Una decisione analoga sui trasferimenti UE-USA è stata presa dal Garante europeo della protezione dei dati (GEPD) una settimana prima.
A lungo termine, sembrano esserci due opzioni: o gli Stati Uniti adattano le protezioni di base per gli stranieri per supportare la loro industria tecnologica, o i fornitori statunitensi dovranno ospitare dati stranieri al di fuori degli Stati Uniti.
Il DSB ha respinto anche le difese di Google LLC che sosteneva che in qualità di destinatario dei dati fossero inapplicabili le norme sui trasferimenti di dati, che riguarderebbero solo entità dell'UE e non destinatari statunitensi. Tuttavia, il DSB ha dichiarato che indagherà ulteriormente su Google LLC in relazione a potenziali violazioni degli articoli 5, 28 e 29 del GDPR, poiché sembra discutibile se Google sia stato autorizzato a fornire dati personali al governo degli Stati Uniti senza un ordine esplicito da parte dell'esportatore di dati dell'UE. Il DSB emetterà una decisione separata in materia.
La decisione non riguarda una potenziale sanzione, in quanto è vista come una procedura di esecuzione "pubblica", in cui il denunciante non viene ascoltato. Non ci sono informazioni se sia stata emessa una sanzione o se il DSB stia pianificando di emettere anche una sanzione. Il GDPR prevede sanzioni fino a 20 milioni di euro o il 4% del fatturato globale in questi casi.
Nel 2020, la Corte di giustizia (CGUE) ha deciso che l'uso di fornitori statunitensi viola il GDPR, poiché le leggi sulla sorveglianza degli Stati Uniti richiedono a fornitori statunitensi come Google o Facebook di fornire dati personali alle autorità statunitensi. Decisioni simili sono attese in altri Stati membri dell'UE, poiché le autorità di regolamentazione hanno collaborato su questi casi in una "task force" istitutita dal Comitato Europeo per la protezione dei dati personali (EDPB). il DSB austrico è la prima Autorità di protezione dei dati ad emandare una decisione.
Come è noto, a Luglio del 2020 la CGUE ha emesso la sua rivoluzionaria sentenza "Schrems II", ritenendo che un trasferimento a fornitori statunitensi che rientrano in FISA 702 e EO 12.333 violi le regole sui trasferimenti internazionali di dati nel GDPR. La CGUE ha di conseguenza annullato l'accordo UE-USA di trasferimento "Privacy Shield", dopo aver annullato il precedente accordo "Safe Harbor" nel 2015. I fornitori statunitensi e gli esportatori di dati dell'UE hanno in gran parte ignorato il caso. Proprio come Microsoft, Facebook o Amazon, Google ha fatto affidamento sulle cosiddette "clausole contrattuali standard" per continuare i trasferimenti di dati.
Nelle sue difese davanti al DSB, Google ha presentato osservazioni sostenendo di aver implementato misure tecniche e organizzative atte ad evitare le interferenze di autorità pubbliche USA, ma il BSB ha respinto queste misure come assolutamente inutili quando si tratta di sorveglianza degli Stati Uniti.
La decisione ha un immediato e diretto impatto per quasi tutti i siti web dell'UE. Google Analytics è il programma di statistiche più comune. Mentre ci sono molte alternative che sono ospitate in Europa o possono essere self-hosted, molti siti web si affidano a Google e quindi inoltrano i loro dati utente alla multinazionale statunitense. Il fatto che le autorità di protezione dei dati possano ora dichiarare illegali i servizi statunitensi esercita un'ulteriore pressione sulle società dell'UE e sui fornitori statunitensi affinché si orientino verso opzioni sicure e legali, come l'hosting al di fuori degli Stati Uniti. Una decisione analoga sui trasferimenti UE-USA è stata presa dal Garante europeo della protezione dei dati (GEPD) una settimana prima.
A lungo termine, sembrano esserci due opzioni: o gli Stati Uniti adattano le protezioni di base per gli stranieri per supportare la loro industria tecnologica, o i fornitori statunitensi dovranno ospitare dati stranieri al di fuori degli Stati Uniti.
Il DSB ha respinto anche le difese di Google LLC che sosteneva che in qualità di destinatario dei dati fossero inapplicabili le norme sui trasferimenti di dati, che riguarderebbero solo entità dell'UE e non destinatari statunitensi. Tuttavia, il DSB ha dichiarato che indagherà ulteriormente su Google LLC in relazione a potenziali violazioni degli articoli 5, 28 e 29 del GDPR, poiché sembra discutibile se Google sia stato autorizzato a fornire dati personali al governo degli Stati Uniti senza un ordine esplicito da parte dell'esportatore di dati dell'UE. Il DSB emetterà una decisione separata in materia.
La decisione non riguarda una potenziale sanzione, in quanto è vista come una procedura di esecuzione "pubblica", in cui il denunciante non viene ascoltato. Non ci sono informazioni se sia stata emessa una sanzione o se il DSB stia pianificando di emettere anche una sanzione. Il GDPR prevede sanzioni fino a 20 milioni di euro o il 4% del fatturato globale in questi casi.
