Sulla spinta dei 101 reclami presentati da NOYB – European Center for Digitale Rights (organizzazione non governativa fondata da Maximilian Schrems, www.noyb.eu), l’anno 2022 ha visto diversi Garanti europei pronunciarsi sul tema di Google Universal Analytics (GA3), qualificandolo non conforme al Regolamento europeo n. 679/2016 (GDPR).
La società statunitense ha immesso nel mercato Google Analytics 4 (GA4), che non è una semplice evoluzione di GA3, ma un prodotto completamente nuovo.
Gli addetti ai lavori sono ancora oggi divisi tra chi lo ritiene conforme al GDPR e chi no. Nel frattempo, solamente Datatilsynet, il Garante danese, ha preso posizione sul tema pubblicando delle FAQ (Frequently Asked Questions), reperibili all’indirizzo https://www.datatilsynet.dk/english/google-analytics.
Quali dati tratta e trasferisce Google?
Una delle principali soluzioni presentate da Google per garantire la conformità di GA4 al GDPR è la mancata registrazione dell’indirizzo IP dell’utente-interessato: secondo la società statunitense, non vi sarebbe più un trasferimento di dati personali in quanto l’utente non sarebbe più identificabile.
Le pronunce dei Garanti europei su GA3 avevano evidenziato come il troncamento dell’ultimo ottetto dell’indirizzo IP non fosse un trattamento di pseudonimizzazione adeguato. Infatti, Google ha il controllo di numerosi dati che, analizzati nel loro insieme, permettono di re-identificare l’utente. Questo è ancora più vero nel caso in cui l’utente navighi utilizzando il proprio profilo Google, ipotesi frequente nella realtà odierna: la società statunitense può incrociare i dati raccolti dal servizio di Analytics con l’identità del profilo dell’utente che sta navigando nel sito (o app) sottoposto ad analisi.
La soluzione prevista da GA4 di non procedere alla registrazione dell’indirizzo IP potrebbe sembrare efficace. L’indirizzo IP viene infatti elaborato solamente per poter localizzare l’utente al fine di indirizzare i flussi di dati verso il server più vicino, ma non viene conservato.
Tuttavia, tale soluzione non risulta sufficiente e adeguata.
L’abolizione del Privacy Shield è stato certamente un evento di cui si è parlato molto. Nella bagarre generata dalla decisione della Corte di Giustizia Europea sul Caso Schrems II, pochi però sono stati gli esperti che si sono esposti e hanno cercato di individuare delle soluzioni pratiche alle problematiche emerse a seguito di detta sentenza. Tra di essi, fortunatamente, anche l’Avv. Manuela Soccol, che in questo webinar enucleava alcuni dei consigli e delle buone pratiche individuati, poi, lo scorso 10 novembre, dall’EDPB nelle “Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data”.
I consigli dell’EDPB
Il Comitato Europeo per la Protezione dei Dati Personali ha finalmente sciolto le riserve, pubblicando una serie composita di raccomandazioni relative al trasferimento dei dati personali in territorio extra-UE, organizzandole in quattro diversi step.
1^ Step: mappare i flussi di dati.
Come prima cosa, è necessario mappare tutti i trasferimenti di dati posti in essere verso paesi terzi. Perché? Essere consapevoli della destinazione dei dati personali è essenziale per garantire che al trattamento siano applicati livelli di sicurezza equivalenti a quelli europei.
2^ Step: individuare lo strumento normativo su cui si basa il trasferimento
Il secondo passo da seguire è quello di identificare lo strumento normativo su cui si basa il trasferimento. Gli artt. 45, 46 e 49 del GDPR, sono chiari sul punto: decisioni di adeguatezza, clausole standard, binding corporate rules, o le eccezioni di cui all’art.49 (es. consenso dell’interessato, esecuzione di un contratto, etc.) possono essere le basi che legittimano tale trasferimento. Non preoccupatevi: il vostro legale o il vostro DPO dovrebbero aver individuato a monte, prima che il trattamento fosse posto in essere, lo strumento normativo in questione.
3^ Step: assessment sulla normativa del paese importatore
Questo step risulta necessario unicamente in assenza di decisioni di adeguatezza della Commissione Europea. In altri termini, il Titolare del Trattamento dovrà verificare la presenza dei presupposti di cui all’art. 46 del GDPR, ossia delle “garanzie adeguate” e, per gli interessati, di“diritti azionabili e mezzi di ricorso effettivi”. Al fine di verificare se sussistono tali circostanze, l’EDPB consiglia di far riferimento alle raccomandazioni dallo stesso fornite nelle“European Essential Guarantees recommendations”. Si badi che l’intero processo di valutazione deve essere documentato e condotto sulla base del principio di accountability.
4^ Step: eventuale applicazione di misure ulteriori
Si tratta del passo sicuramente più importante. Posto che sentenza Schrems II ha precisato che le Clausole Contrattuali Standard possono essere utilizzate solo in presenza di misure ulteriori, qualora il trasferimento di dati si basasse su tali clausole è essenziale verificare la sussistenza di misure tecniche aggiuntive… ma, quali? Ce lo dice l’EDPB, mediante l’elencazione di diversi accorgimenti, all’interno dell’Annex 2 delle Raccomandazioni.
In tal senso, a titolo esemplificativo, relativamente ai data storage e ai backup, il documento afferma che il trasferimento può ritenersi sicuro, se per esempio:
1. i dati personali vengono elaborati utilizzando una crittografia avanzata prima della trasmissione;
2. l’algoritmo di crittografia e la sua parametrizzazione (ad esempio, lunghezza della chiave, modalità operativa, se applicabile) sono conformi allo stato dell’arte e possono essere considerati robusti contro la crittoanalisi eseguita dalle autorità pubbliche nel paese destinatario;
3. le chiavi sono gestite in modo affidabile (generate, amministrate, archiviate, se pertinente, collegate all’identità di un destinatario previsto e revocate);
4. le chiavi sono conservate esclusivamente sotto il controllo dell’esportatore di dati o di altre entità incaricate di questo compito, che risiedono nel SEE o in un paese terzo con normativa adeguata.
Consigli dello Studio
I nostri consigli si possono riassumere in poche parole: accountabilty, DPIA e bilanciamento degli interessi. Al di là di quanto espresso dalle citate raccomandazioni, che peraltro non vanno esenti da critiche di vario genere, è essenziale che il Titolare del Trattamento analizzi l’opportunità di trasferire i dati personali all’estero effettuando una preventiva valutazione di impatto e bilanciando gli interessi in gioco, tra sicuramente anche le misure eventualmente adottate dal fornitore estero in ordine all’annoso problema dei cybercrime. Tale genere di valutazione è tutt’altro che agevole. Pertanto, è senza dubbio essenziale che il Titolare del Trattamento si rivolga ad un legale esperto nel settore, che possa condurlo alla decisione più sicura ed adatta al suo business.
Si fanno, infatti, attendere le Linee Guida promesse dal Comitato Europeo per la Protezione dei Dati (EDPB), e nessun Garante Privacy europeo sembra volersi esporre sul punto, tranne il LfDI Baden-Wuerttemberg, ovverosia l’Ente incaricato per la protezione dei dati e della libertà di informazione del land Baden-Wuerttermberg. Martedì scorso, questo ente ha infatti emesso delle Linee Guida sul trasferimento internazionale dei dati personali alla luce della sentenza sul caso Schrems II.
Le premesse delle Linee Guida
In premessa, l’Autorità sottolinea come sebbene la succitata sentenza non abbia invalidato le clausole contrattuali standard (SCC), risulta pur sempre necessario che il Titolare del Trattamento si assicuri che, nel concreto, il livello di protezione dei dati personali del paese extra-UE di trasferimento sia equipollente a quello garantito all’interno dell’Unione. Peraltro, l’Ente sottolinea che il rispetto di tale presupposto deve essere interpretato alla luce della Carta dei diritti fondamentali dell’UE e dell’articolo 46 del GDPR.
I suggerimenti delle Linee Guida
L’Autorità peraltro non si è limitata a delle affermazioni di principio, chiarendo in quali circostanze, nonostante l’abolizione del Privacy Shield, a fronte delle succitate SCC, il trasferimento dei dati personali extra-UE, può ritenersi valido. In particolare, la medesima precisa che a tal fine il c.d. “Importatore” deve garantire misure tecniche tali da impedire efficacemente l’acceso ai dati personale da parte delle autorità governative estere. L’Ente elenca le seguenti ipotesi:
Utilizzo di crittografia di cui solamente “l’Esportatore” conosca la chiave e che sia, al contempo, impossibile da violare per i servizi governativi;
Implementazione di anonimizzazione o pseudonimizzazione, il cui codice sia conosciuto unicamente dall’Esportatore;
Le Linee Guida contengono anche apposita check-list, che può essere utilizzata dalle società interessate per valutare le misure da adottare al fine di conformarsi alla sentenza Schrems II. In particolare, si consiglia di:
Effettuare un bilancio dei servizi utilizzati che prevedono il trasferimento dei dati personali in aree extra-UE;
Contattare i fornitori di servizi (Responsabili del Trattamento) per informarli delle conseguenze del caso Schrems II;
Verificare l’eventuale sussistenza di una decisione di adeguatezza per il paese terzo, ove vengono trasferiti i dati personali;
Analizzare l’ordinamento giuridico del succitato paese terzo;
Verificare se le SCC eventualmente approvate dalla Commissione europea possono essere utilizzate;
Verificare che le SCC siano effettivamente in uso e che sia garantita almeno una delle condizioni di cui ai punti 1, 2, 3.
Modifiche alle SCC
L’Autorità, poi, sottolinea come sia importante che i Titolari del Trattamento contattino i fornitori di servizi, che trasmettono i dati in paesi extra-UE, per concordare le seguenti modifiche contrattuali. In particolare, è essenziale prevedere:
l’obbligo da parte dell’Importatore di informare gli Interessati che i loro dati personali potranno essere trasferiti in un paese terzo, il quale non dispone di un livello di protezione adeguato alla luce del GDPR;
l’obbligo per l’Importatore di informare immediatamente l’Esportatore e gli Interessati qualora riceva richieste di accesso ai dati personali trattati – giuridicamente vincolanti – da parte di un’autorità governativa;
l’obbligo per l’Importatore di astenersi dalla comunicazione dei dati personali alle autorità governative, fino a quando il giudice competente non lo ordini;
una clausola di risarcimento danni, secondo cui le parti concordano che qualora una delle stesse sia ritenuta responsabile per qualsivoglia violazione delle SCC, causata dall’altra, quest’ultima si impegna a sostenere i costi, i danni, le spese, le perdite gravanti sulla prima, in proporzione al grado della propria responsabilità.
Consigli finali
Nonostante il tenore particolarmente austero delle Linee Guida, l’Autorità tedesca ha dichiarato di essere consapevole che non sempre è agevole per i Titolari del Trattamento rinvenire nel mercato soluzioni alternative, per il trattamento dei dati personali, che siano di valore pari a quelle già in uso. Conseguentemente pare adotterà un approccio quanto mai ragionevole nei giudizi sul punto.
Ad ogni buon conto, nel silenzio generale dei Garanti Europei, pare evidente che le società che trattano dati personali non possono in alcun modo astenersi dal consultare un professionista del settore, che può certamente guidarle nel modo più sicuro possibile attraverso questo ginepraio di indicazioni e soluzioni tecniche.
Per sciogliere eventuali dubbi e/o perplessità, non esitate a contattare lo Studio Legale Soccol.
