L'uso di Google Analytics, uno strumento onnipresente utilizzato da milioni di siti Web per misurare il proprio pubblico e il comportamento degli utenti di Internet, potrebbe essere fondamentalmente messo in discussione su scala europea.

Questa è la decisione di giovedì 13 gennaio dell'autorità austriaca per la protezione dei dati personali che potrebbe prefigurare un'ondata di decisioni simili da parte di alcune sue controparti europee, indebolendo il funzionamento dei principali servizi digitali in Europa. L'autorità austriaca ha, infatti, ritenuto che un sito web relativo al settore della salute non sia conforme al Regolamento generale sulla protezione dei dati (GDPR), poiché utilizza questo servizio di Google.
Per il Datenschutzbehörde (DSB), l'equivalente austriaco della National Commission for Computing and Liberties (CNIL), è il trasferimento negli Stati Uniti dei dati degli utenti Internet europei che visitano questo sito a rappresentare un problema. Ritiene che, nonostante la loro pseudonimizzazione, questi dati potrebbero essere facilmente ricombinati per identificare i singoli utenti di Internet, in particolare dai servizi di intelligence americani. “Visitando un sito tramite Google Analytics, al browser web dell'utente viene assegnato un numero univoco. (…) È possibile combinare questo numero con altre informazioni, come l'indirizzo IP o altri dati del browser. Questa combinazione può creare un identificatore univoco che può essere assegnato all'utente del browser", spiega il DSB.

Crittografia insufficiente
Questa decisione fa seguito a una delle 101 denunce che l'attivista Max Schrems ha presentato nel 2020 a diverse autorità europee per la protezione dei dati, dopo la sua vittoria davanti alla Corte di giustizia dell'Unione europea (CGUE). Quest'ultimo, nella cosiddetta sentenza “Schrems II”, ha stabilito nel luglio 2020 che il diritto americano era fondamentalmente incompatibile con quello dell'Unione Europea (UE). In discussione: la possibilità per le autorità americane, ad esempio i servizi di intelligence, di aggirare il GDPR ottenendo dati personali da europei.

Il DSB, tuttavia, ha rifiutato, in questa fase, di sanzionare Google per l'utilizzo dei dati, ritenendo che solo il sito austriaco fosse responsabile per aver partecipato al trasferimento dei dati dall'Europa agli Stati Uniti. Ha inoltre ritenuto che le precauzioni adottate da Google per proteggere i dati raccolti dal suo servizio, ad esempio la loro crittografia, fossero insufficienti.

“È una decisione sensata e dettagliata. Fondamentalmente, ciò significa che le aziende non possono più utilizzare i servizi cloud statunitensi. Ormai è passato un anno e mezzo da quando la Corte di giustizia lo ha confermato per la seconda volta, quindi era giunto il momento per l'applicazione della legge”, ha detto Max Schrems.
A segno dell'importanza dell'argomento, Kent Walker, responsabile globale degli affari pubblici di Google, ha preso in mano la penna mercoledì 19 gennaio per reagire con forza: "Google offre da oltre quindici anni strumenti di misurazione dell'audience ad aziende del mondo intero. E in tutto questo tempo, non abbiamo ricevuto nemmeno una volta il tipo di richiesta [dalle autorità statunitensi] su cui [il DSB] sta speculando. E non ci aspettiamo di riceverne, perché è improbabile che una tale richiesta rientri nell'ambito molto ristretto della legge statunitense. »

Se Google è preoccupato, è perché questa decisione probabilmente ne prefigura altre. Infatti, i 101 reclami sono stati oggetto di coordinamento tra le autorità per la protezione dei dati personali. Le decisioni che dovrebbero essere prese a breve in ciascuno di questi casi dovrebbero quindi andare nella stessa direzione. La decisione del DSB arriva, ad esempio, pochi giorni dopo un'azione simile da parte dell'autorità per la protezione dei dati personali delle istituzioni dell'UE, che ha stabilito che l'uso di Google Analytics da parte del Parlamento europeo non era conforme al GDPR.

Questo servizio di Google non è l'unico a essere preso di mira da questi reclami: molti di loro prendono di mira Facebook Connect, uno strumento offerto da Facebook che consente di utilizzare il proprio account sul social network per connettersi a un sito di terze parti.
….
Una decisione che annuncia un movimento fondamentale
La decisione del DSB annuncia un movimento fondamentale, risultante dalla decisione "Schrems II" che effettua qualsiasi trasferimento di dati personali dall'Europa agli Stati Uniti, ovvero il cuore dell'attività dei grandi cloud provider e delle grandi piattaforme digitali – potenzialmente problematico ai sensi del diritto europeo. L'autorità irlandese per la protezione dei dati dovrebbe presto prendere una decisione in cui potrebbe ordinare a Facebook di cessare semplicemente il trasferimento di dati tra Europa e Stati Uniti.

Kent Walker, di Google, avverte delle conseguenze a cascata di decisioni simili a quelle del DSB: "Le persone dipendono sempre più dai trasferimenti di dati per i loro acquisti online, i loro viaggi, le loro consegne, persino il telelavoro, la gestione dei rapporti con i clienti o le operazioni di sicurezza" , avverte, facendo in modo che siano in gioco “centinaia di miliardi di euro”, ma cosa consiglia Google? La società ritiene che la decisione della CGUE del luglio 2020 non richieda "l'interruzione di tutti i movimenti di dati" a causa della "mera possibilità di accesso da parte di un altro governo". Google ritiene pertanto di aver adottato misure di sicurezza aggiuntive che forniscono "una protezione pratica ed efficace secondo qualsiasi standard ragionevole". Tutele giustamente ritenute insufficienti dal DSB.

Per trovare una soluzione alla difficoltà giuridica in cui si trovano Google e le altre grandi piattaforme digitali, il colosso californiano invita i dirigenti americani ed europei a concordare “velocemente” un testo che regoli gli scambi di dati tra Ue e Stati Uniti. Sono in corso discussioni tra Washington e la Commissione europea, ma un accordo del genere sembra difficile da ottenere. Richiederebbe un cambiamento nelle leggi dell'intelligence statunitense, che è una sfida importante, tanto più con il pochissimo spazio di manovra politico che il presidente Joe Biden ha al Congresso.

(Martin Untersinger e Alexandre Piquard su le Monde del 21/01/2022)
  CHI PAGA ADUC
l’associazione non percepisce ed è contraria ai finanziamenti pubblici (anche il 5 per mille)
La sua forza economica sono iscrizioni e contributi donati da chi la ritiene utile
DONA ORA