Il 9 giugno 2022 il Garante della Privacy italiano ha stabilito che Google Universal Analytics (GA3) viola le norme del GDPR. In realtà, il provvedimento non si riferisce a Google Analytics in sé, ma al trasferimento dei dati personali degli utenti al di fuori del territorio europeo.
La maggior parte dei servizi online che molti di noi utilizzano quotidianamente, come Facebook Ads, Google Ads e Microsoft 365 esportano i dati negli Stati Uniti. Analytics è soltanto la punta dell’iceberg.
Che cos’è successo
Nell’estate del 2020 è stato presentato un reclamo al Garante Privacy per segnalare che una società aveva intenzione di trasferire a Google LLC (America) alcuni dati personali che la riguardavano. Il tutto in assenza delle garanzie del capo V del GDPR, dove si evidenziano tutte le condizioni che rendono legittimo il trasferimento dei dati nei paesi extra UE.
La società è stata invitata a fornire riscontro, ed effettivamente la sua controparte contrattuale era Google LLC. Successivamente, quest’ultima è stata sostituita da Google Ireland che continuava ad esportare i dati in America con Google LCC come subresponsabile del trattamento.
La nomina a Google come Responsabile del Trattamento (ex art. 28 GDPR) era stata stipulata con le clausole contrattuali standard. Era stata utilizzata l’anonimizzazione dell’indirizzo IP, la cifratura dei dati e non era stata utilizzata la condivisione dei dati. Dunque, sembrava fosse stato fatto tutto il possibile per rispettare e garantire i diritti degli interessati.
Il Garante, però, ha stabilito che tutto ciò non era comunque sufficiente poiché la pseudonimizzazione e la crittografia potevano essere sottoposte ad un procedimento differente, consentendo a Google di avere accesso ai dati degli utenti. Le clausole contrattuali standard non erano dunque sufficienti per impedire l’accesso degli USA ai dati.
La Danimarca vieta l’utilizzo di Google nelle scuole
Nel frattempo, la Danimarca ha espressamente vietato l’utilizzo dei prodotti Google nelle scuole. Gmail, Calendar, Google Docs e Google Drive sono stati banditi, proprio a causa della violazione del regolamento europeo sulla protezione dei dati.
Secondo quanto riportato da TechCrunch, Datatilsynet, l’agenzia danese per la protezione dei dati, ha stabilito che l’elaborazione dei dati degli studenti che utilizzano la suite software Workspace che si basa su Google «non soddisfa i requisiti» del GDPR.
In Danimarca, infatti, le scuole utilizzano i Chromebook di Google e di conseguenza Google Workspace. L’autorità danese, in particolare, ha riscontrato che il contratto per il trattamento dei dati (i termini e le condizioni di Google) permette il trasferimento dei dati agli altri paesi per fornire supporto, anche se tali dati sono normalmente archiviati in uno dei data center europei di Google.
Cosa ne pensa Google
TechCrunch riporta le parole di un portavoce di Google: «Sappiamo che gli studenti e le scuole si aspettano che la tecnologia che utilizzano sia legalmente conforme, responsabile e sicura. Ecco perché per anni Google ha investito in best practice sulla privacy e valutazioni diligenti dei rischi e ha reso la nostra documentazione ampiamente disponibile in modo che chiunque possa vedere come aiutiamo le organizzazioni a conformarsi al GDPR».
Continua: «Le scuole possiedono i propri dati. Trattiamo i loro dati solo in conformità con i nostri contratti con loro. In Workspace for Education, i dati degli studenti non vengono mai utilizzati per scopi pubblicitari o altri scopi commerciali. Organizzazioni indipendenti hanno verificato i nostri servizi e manteniamo le nostre pratiche sotto costante revisione per mantenere i più alti standard possibili di sicurezza e conformità” hanno aggiunto Google».
Iscriviti al canale Telegram di Servicematica
Notizie, aggiornamenti ed interruzioni. Tutto in tempo reale.
In tutta Europa le cose cominciano a cambiare
La Danimarca è l’ultimo di una serie di paesi europei che stanno cercando di regolamentare quello che l’Europa considera una violazione del GDPR.
In realtà, i trasferimenti dati tra USA e UE sono illegali dopo la storica sentenza della Corte di Giustizia Ue del 2020, che ha invalidato il Privacy Shield, ovvero l’accordo sul trasferimento dei dati tra Europa e Stati Uniti. Da allora le aziende europee si sono affidate ad uno strumento giuridico differente, le clausole contrattuali standard (SCC), per trasferire i dati transatlantici.
La legittimità di tutto questo, però, resta in gran parte non testata in tribunale.
Microsoft 365 è sicuro?
All’allarmismo generalizzato che è stato scatenato dal provvedimento dell’Autorità italiana nei confronti dei gestori che utilizzano Google Analytics, si è aggiunta anche la preoccupazione dei vari utenti che ogni giorno utilizzano Microsoft 365.
Il problema, infatti, non è limitato al mondo Google Analytics, ma a tutto il web in mano agli Over The Top. Parliamo dei fornitori di servizi online che si ritrovano in una situazione simile a quella di Google nei rapporti con i committenti e nel gestire le dinamiche commerciali del mondo digitale.
Ci sono vari motivi per alimentare la diffidenza nei confronti di Microsoft Corporation. L’opzione per l’archiviazione dai dati sui server Ue, per esempio, si riferisce ai «dati del cliente» che si trovano nei «termini dei servizi online». Restano esclusi i «dati diagnostici» ricevuti o raccolti da Microsoft. Non si accenna nemmeno ai «dati generati dal servizio», ovvero generati nell’ambito della gestione dei servizi online forniti da Microsoft.
Questi dati vengono archiviati su server che si trovano negli Stati Uniti. E non è finita qui. Il Garante tedesco evidenzia che i «dati del cliente», che dovrebbero essere archiviati su server europei, potrebbero essere oggetto di accesso da parte degli Stati Uniti. Il CLOUD Act, infatti, impone a tutti i provider degli USA di accedere ai dati, anche se vengono archiviati al di fuori del territorio statunitense.
Google Analytics 4 è uno strumento utile?
Google Analytics 4 ha una serie di parametri che consentono la gestione dei dati personali degli utenti. Si parte dal fatto che non viene gestito l’indirizzo IP: la gestione dei dati degli utenti è dotata di un proxy, ovvero un server di Google situato in Europa che non è controllato da Google LLC.
Secondo il colosso statunitense, con Google Analytics 4 non ci sono problemi di conformità al GDPR. I server utilizzati, essendo situati in Europa, lasciano la gestione dei dati alle norme europee.
Questa risposta, per le aziende è molto rassicurante, ma secondo Pietro Biase, attivista ed informatico di Monitora PA, non dovremmo fidarci nemmeno di Google Analytics 4. La legislazione americana impone a Google (così come a Microsoft e a Meta) di inviare i dati raccolti alle autorità che lo richiedono, anche se si trovano fuori dal territorio statunitense.
Dunque, anche se il titolo del trattamento di Google Analytics 4 ha i suoi server nel territorio europeo, i dati vengono forniti comunque a CIA e NSA.
Nessuno è escluso
Lo scorso luglio, sulla base di queste nuove norme di riferimento, la Commissione Irlandese per la protezione dei dati ha cominciato uno scontro legale nei confronti di Meta, emettendo un ordine preliminare di blocco a ogni trasferimento legittimo dei dati sui cittadini dell’UE verso gli USA.
È una situazione che potrebbe avere pesanti ricadute: infatti, la società statunitense potrebbe rischiare di chiudere, seppur temporaneamente, le sue offerte Instagram e Facebook in Europa. Non ci resta che seguire l’evoluzione degli eventi, anche se è chiaro che siamo di fronte ad un cambiamento radicale degli equilibri tra l’Europa e le big tech americane.
——————————–
LEGGI ANCHE:
L’importanza della comunicazione non verbale nella professione forense
