AGGIORNAMENTO: Il 10 luglio, la Commissione UE ha approvato la decisione di adeguatezza, con cui si assicura il trasferimento dei dati verso le aziende USA.
Da quasi un anno, le aziende italiane ed europee vivono nel dubbio che le soluzioni adottate nella gestione delle proprie piattaforme web siano a rischio di infrazione. A che punto sono le trattative tra Europa e Stati Uniti in tema di trasferimenti di dati personali? E quale significato hanno, per le imprese che devono scegliere come comportarsi sull’uso dei servizi digitali americani quali Google Analytics o il mondo di Meta?
Indice
I negoziati USA-UE e il parere del Parlamento Europeo
In uno dei nostri articoli sul tema, l’avevamo già evidenziato. Nel panorama europeo, il problema del ricorso ai servizi digitali di Google, Meta, o altre big-tech statunitensi, è di ordine politico. Certo, ha delle ripercussioni economiche, in termini di opportunità ed efficacia del business delle aziende europee che sfruttano tali servizi. E ha ripercussioni giuridiche, in termini di rischi di sanzione, se lo sguardo delle autorità garanti si rivolgesse critico anche verso le imprese europee (e non solo verso i suddetti colossi delle filiere americane). Resta il fatto, che è solo a livello politico che si potrà trovare la reale soluzione.
Quali sono stati, allora, gli ultimi passaggi salienti, e a che punto siamo giunti? Allerta spoiler: siamo ancora in una posizione, per così dire, “sospesa”…
Gli ultimi passaggi salienti
- 7 Ottobre 2022: l’annuncio della nascita di un nuovo e rafforzato Privacy Shield (ora denominato “Data Privacy Framework”) inizia a prendere forma. Il Presidente degli USA Joe Biden sottoscrive l’Executive Order 14086. Sono introdotte alcune nuove tutele sulle attività di intelligence americane, in direzione dei principi di protezione dei dati europei.
- 13 Dicembre 2022: la Commissione Europea pubblica il progetto della decisione di adeguatezza relativa al Data Privacy Framework. La decisione renderebbe nuovamente ammissibili il trasferimento e lo scambio di dati personali tra UE e USA.
- 14 Febbraio 2023: il “Comitato per le libertà civili, la giustizia e gli affari interni del Parlamento Europeo” solleva varie obiezioni al Framework, portando all’attenzione diverse disuguaglianze che permangono tra il quadro giuridico americano e quello europeo. La richiesta rivolta alla Commissione Europea è che non si adotti alcuna nuova decisione di adeguatezza per gli USA, a meno che non siano introdotte riforme più efficaci e significative.
- 28 Febbraio 2023: l’European Data Protection Board si esprime a favore degli aggiornamenti introdotti in USA e dei miglioramenti ottenuti nell’ambito del Data Privacy Framework UE-USA. L’EDPB, tuttavia, sottolinea anche alcune persistenti preoccupazioni e mette in dubbio la reale efficacia delle riforme europee.
- 11 Maggio 2023: il Parlamento Europeo vota una risoluzione con cui indica come non sufficienti le azioni degli USA e invita la Commissione Europea a proseguire i negoziati con la controparte statunitense. La ratio è molto sostanziale… Onde evitare che l’eventuale nuova decisione di adeguatezza (costruita su basi poco solide) venga invalidata dalla CGUE come già avvenuto con le note sentenze Schrems I e II, occorre raggiungere anche oltreoceano un maggiore livello di protezione dei dati.
L’ultima sanzione a Meta
Una delle più recenti conseguenze dell’azione di reclamo massive dirette ai servizi digitali statunitensi riguarda l’inchiesta su Meta da parte dell’Autorità Irlandese. Del 22 maggio 2023, l’annuncio della conclusione dell’inchiesta avente ad oggetto, ancora una volta, il trasferimento di dati di cittadini europei verso gli Stati Uniti. L’infrazione riguarda i trasferimenti sistematici dei dati degli utenti europei di Facebook. La titolarità diretta della società europea Meta Ireland è servita a poco, visto che, nel suo squilibrio di poteri, è sempre stata tenuta alla condivisione di dati con la controllante americana.
L’empasse normativo, poi, è ancora una volta lo stesso già visto l’anno scorso con Google. Nonostante l’utilizzo di Clausole Contrattuali Standard (le “SCC”) per il trasferimento extra UE e l’applicazione di alcune misure di sicurezza supplementari da parte di Meta Ireland, la trasmissione di dati in USA, complessivamente, non consente un’adeguata tutela dei diritti e delle libertà fondamentali dei cittadini europei. In conclusione, viene stabilito che:
- il diritto statunitense non fornisce un livello di protezione sostanzialmente equivalente a quello fornito dal diritto dell’UE;
- le Clausole Contrattuali Standard non possono compensare l’inadeguatezza della protezione fornita dal diritto statunitense;
- Meta Ireland non dispone di misure supplementari che compensino l’inadeguatezza della protezione fornita dal diritto statunitense;
- per il tipo di attività di Meta Ireland, non sussistono condizioni di deroga (art. 49 GDPR) applicabili che consentano di rendere lecito il trasferimento di dati attuato.
Esito: sanzione pari alla cifra record di 1,2 miliardi di euro. Al di là della cifra record, è importante notare che le Autorità irlandesi hanno chiuso l’analisi con una specifica. Pur applicandosi la decisione solo alle attività di Meta, le considerazioni possono essere estese a qualsiasi analoga piattaforma e servizio di comunicazione elettronica. Quindi? Nessun panico, nel mirino delle Autorità non ci sono le nostre aziende. Tuttavia, una sana attenzione alle modalità d’uso di strumenti quali il “Facebook Login” o il “Pixel di Meta” non può che essere la scelta corretta.
Il perenne dilemma di Google Analytics 4
Il polverone degli accordi sui flussi transatlantici di dati, dicevamo, è divenuto di diffuso interesse soprattutto in relazione alla dichiarazione di illiceità di Google Analytics 3, o Google Universal Analytics, uno dei servizi digitali più utilizzati sul web. E ricordiamo ancora una volta che le Autorità Garanti europee hanno mostrato posizioni abbastanza coerenti e lineari. Il coro di quelle che si sono esposte prendendo posizione contro Google Analytics, composto da Austria, Francia, Italia, Danimarca, si è peraltro recentemente ingrandito con la presa di posizione del garante norvegese. Più in sordina, le voci di Spagna e Lussemburgo, le cui autorità hanno respinto e archiviato alcuni reclami sul tema dei trasferimenti extra UE poiché i siti web in questione avevano, nel frattempo, rimosso gli strumenti (sempre delle famiglie di servizi di Google o di Facebook) presi di mira dalle denunce.
Il perenne dilemma, tuttavia, ruota intorno a GA4, ultima frontiera degli analytics, nonché unico servizio proposto, ormai, dal colosso americano. GA4 ci ha proiettati nell’era “cookie-less”, cullandoci nell’illusione che il GDPR fosse un fastidio da dimenticare. Ma ci si può davvero accontentare? Ecco i punti chiave.
I punti chiave sull’analisi della conformità di GA4
- Mentre al criterio della sicurezza dei dati si applica normalmente un approccio basato sul rischio che segue una logica “continua” (basso, medio, alto rischio), quando si ragiona sulla liceità di un trattamento, l’approccio dovrà essere discreto. O il trattamento è lecito, o è illecito. Non ci sono vie di mezzo. Certo, un illecito potrà essere più o meno grave, ma occorre essere consapevoli che, se il trasferimento extra UE è illecito, il quantità di dati che saranno trasmessi non è un fattore rilevante per spostare il parere su ciò che è lecito o meno.
- Per quanto siano stati minimizzati (o meglio, resi minimizzabili) i dati personali tracciati da GA4… e ancora, per quanto gli identificatori di traffico utilizzati da GA4 vengano NON considerati “Personal Identifiable Information” secondo l’approccio americano… di fatto, le Autorità europee (capitanate da Danimarca e Norvegia, in questo momento) restano dell’opinione che anche la nuova versione di analytics sia soggetta all’applicazione del GDPR. Con qualsivoglia configurazione.
D’altra parte, secondo molti, analizzati gradi di performance e i costi che bisogna sostenere per passare ad altre alternative (es. Matomo, Piwik), Google Analytics è imbattibile. A chi intende quindi far parte del folto gruppo di utilizzatori di GA4, il suggerimento resta quello di contenere i possibili danni. Configurare con attenzione gli “eventi” registrati delle attività di navigazione. Disattivare la funzionalità “Google Signal”. Dare informazioni complete nelle cookie policy. Vincolare l’attivazione dello script di GA4 a specifico consenso raccolto tramite banner…
Saranno tutte “toppe”, incapaci di offrire garanzie di compliance assolute, ma consentiranno di verificare se arrivi prima qualche nuovo parere ufficiale, o, ancora meglio, il tanto atteso accordo politico.