Il Garante per la protezione dei dati personali italiano si è recentemente espresso sulla liceità dei trasferimenti di dati personali messi in atto da Google a seguito della dichiarazione di invalidità della decisione sull'adeguatezza del Privacy Shield.
Nell’articolo che segue verranno riassunti gli aspetti principali della decisione del Garante evidenziando quali sono gli impatti per gli enti che utilizzano il servizio di Google Analytics e alcuni problemi di fondo.
Il caso e la decisione del Garante.
Con il provvedimento del 9 giugno 2022, n. 224 il Garante per la protezione dei dati personali ha dichiarato l’illegittimità del trattamento dei dati personali degli utenti del sito www.caffeinamagazine.it effettuato da Caffeina Media S.r.l. tramite Google Analytics.
La società, in qualità di titolare del trattamento, secondo quanto emerso dall’attività istruttoria condotta dall’Autorità, ha effettuato trattamenti di dati personali degli utenti del proprio sito in violazione degli artt. 44 e 46, 5, par. 1, lett. a) e par. 2, 13, par. 1, lett. f), e dell’art. 24, del Regolamento Regolamento EU 679/2016.
In particolare, Caffeina Media S.r.l. avrebbe raccolto, attraverso le funzionalità offerte da Google Analytics, in particolare i cookie, una molteplicità di dati degli utenti, anche altamente identificativi 1, e trasferito gli stessi negli Stati Uniti (tramite Google Ireland Limited in qualità di responsabile del trattamento e Google LLC in qualità di sub responsabile); Pese la cui la legislazione nazionale non garantisce agli interessati una tutela analoga a quella approntata nel contesto europeo. L’Autorità ha, quindi, ingiunto alla società di conformarsi alle indicazioni prescritte con il provvedimento entro 90 giorni dalla notifica dello stesso e di sospendere i flussi di dati verso Google LLC.
Le motivazioni.
Alla base della decisione del Garante si riscontra una complessa architettura di argomentazioni che vale la pena riassumerne qui per comprendere la portata della decisione. In particolare, l’Autorità ha fondato la decisione in commento sulle seguenti motivazioni.
a) Inidoneità della normativa USA a garantire gli stessi livelli di protezione per i diritti degli individui previsti dalla normativa comunitaria. Richiamando i precedenti giurisprudenziali sul punto 2, il Garante sottolinea come la protezione offerta dallo scudo UE- USA per la privacy (c.d. Privacy Shield) non garantisca un livello di tutele equivalenti a quelle predisposte dalla normativa comunitaria dal momento che il diritto statunitense ammette «deroghe alla normativa in materia di protezione dei dati personali che eccedono le restrizioni ritenute necessarie in una società democratica», consentendo alle autorità pubbliche USA l’accesso ai dati personali degli utenti per finalità di intelligence3.
b) La mancata adozione di misure di tutela supplementari da parte del titolare. Le misure di tutela attuate dalla società titolare del trattamento non sono risultate adeguate in quanto non conformi alle indicazioni fornite dall’EDPB con la Raccomandazione 1/2022. In particolare, la chiave di cifratura dei dati è di esclusivo possesso del responsabile (Google LLC) e le misure organizzative e contrattuali adottate non sono sufficienti a compensare l’inadeguatezza di quelle tecniche. Inoltre, le clausole contrattuali tipo per il trasferimento non sono state sottoposte alla valutazione circa la loro efficacia in concreto considerando il contesto complessivo (gli strumenti utilizzati, le circostanze del trasferimento, la legislazione del Paese terzo).
c) La mancata ottemperanza al principio di accountability del titolare, in quanto la società ha omesso di verificare nel caso specifico, anche con l’aiuto del responsabile, se la legislazione nel Paese di esportazione incidesse sull’efficacia delle garanzie di cui all’art. 46 del GDPR, riscontrando inoltre come la disparità di potere contrattuale delle parti non possa costituire un esimente di tali responsabilità insite nel ruolo di titolare del trattamento.
d) Incompletezza dell’informativa ex art. 13, GDPR dal momento che non conteneva gli elementi necessari prescritti in caso di trasferimento dei dati.
Alcune considerazioni.
Innanzitutto, si deve sottolineare che l’approccio del Garante è sicuramente coerente sia con il Regolamento EU 679/2016 e i relativi principi fondativi, sia con l’evoluzione della giurisprudenza europea relativa alla idoneità del Privacy Shield a garantire i diritti e le libertà individuali nel nuovo quadro normativo vigente.
Si può dire che la decisione sia un precipitato naturale del venir meno dello scudo e mette indubbiamente in luce l’esigenza di dare indicazioni per colmare questo vuoto normativo: senza regole certe per il trasferimento dei dati negli USA, infatti, è necessario indirizzare gli operatori su come affrontare il tema in modo coerente con il nuovo assetto normativo.
In questa direzione si è mosso infatti l’EDPB attraverso delle FAQ dedicate emanate in seguito della sentenza della Corte di giustizia con cui il Privacy Shield è stato invalidato. Tuttavia, ora il problema si sposta in sede di contenzioso sul piano applicativo, correttivo e sanzionatorio. Non si può fare a meno di sottolineare, quindi, quanto l’impatto di questa decisione sia significativo e problematico per tutti gli enti pubblici e privati che si avvalgono dei servizi di Google Analytics o, in generale, di strumenti forniti da soggetti che si trovano in una posizione contrattuale preminente che influisce negativamente sulla capacità del titolare del trattamento di intervenire in maniera efficace per l’adempimento dei propri obblighi, sia a livello contrattuale, che tecnico, che di monitoraggio delle azioni intraprese dal responsabile per conformarsi alle eventuali misure organizzative ulteriori eventualmente concordate.
Il Privacy Shield è stato giustamente “dismesso” dal Giudice europeo, tuttavia, in assenza di un nuovo accordo, il titolare del trattamento, qualsiasi siano la sua entità, la sua attività il suo know-how, deve di fatto sopportare l’onere di un vuoto normativo intensificando, magari in maniera notevole, gli sforzi per individuare e implementare misure di tutela, soprattutto tecniche, ulteriori che possono essere di difficile implementazione, anche tenuto conto appunto del know-how e delle risorse finanziarie che necessitano tali interventi. Diversamente, sarà necessario, individuare strumenti alternativi a quelli che implicano o potrebbero implicare rischi dal punto di vista del controllo sui trasferimenti dei dati negli Stati Uniti e, probabilmente, interrompere l’utilizzo, nel caso specifico, di Google Analytics.
Ed è qui che si riscontra, quindi, il problema di fondo: l’assenza di un nuovo assetto a livello di regolamentazione bilaterale della materia tra Unione Europea e Stati Uniti. In questo contesto è urgente un’azione di natura normativa che intervenga alla radice del problema. In conclusione, vale la pena sottolineare brevemente che le sanzioni comminate (l’ammonimento di conformarsi alla decisione e alle leggi e l’assenza per il momento di sanzioni pecuniarie) lasciano trasparire un atteggiamento del Garante orientato prevalentemente più alla soluzione di un delicato problema giuridico che all’applicazione rigida di ingenti sanzioni pecuniarie senza tenere conto della complessità del contesto.
NOTE:
1 Interazioni con il sito, pagine visitate e servizi proposti, indirizzo IP del dispositivo dell’utente e informazioni relative al browser, al sistema operativo, alla risoluzione dello schermo, alla lingua selezionata, la data e l’ora della visita al sito web. Soprattutto l’indirizzo IP, se combinato con altri dati di cui Google potrebbe essere in possesso considerata la molteplicità dei servizi offerti all’utenza.
2 Corte di Giustizia, sentenza C-311/18 del 16 luglio 2020 (c.d. Schrems II).
3 In particolare, l’Executive Order 12333 e l’art. 702 del Foreign Intelligence Surveillance Act.
