Google Analytics e il GDPR. Arriva, ma era previsto, un nuovo provvedimento che riguarda il tormentato rapporto tra il popolare tool di analisi del traffico Web e il Regolamento Europeo sulla protezione dei dati personali. Stavolta a pronunciarsi, dopo il Garante austriaco, è quello francese, che ha sancito l’incompatibilità di Analytics con le regole del GDPR.
Il nodo è quello del trasferimento dei dati personali al di fuori dello spazio in cui vige il Regolamento Europeo. Sul punto, le regole sono abbastanza semplici: per portare i dati a spasso, serve garantire la loro protezione. Occorre, in particolare, un livello equivalente di sicurezza, compresi i mezzi a tutela degli interessati.
La sicurezza nel trasferimento dei dati personali
La Commissione Europea, dopo un’analisi del contesto, può emanare un provvedimento in cui certifica l’adeguatezza del Paese straniero che riceve i dati trasmessi. Il trasferimento verso un soggetto che si trova in uno di questi stati è quindi considerato sicuro. In alternativa, sono le parti (chi trasmette i dati e chi li riceve) che possono concludere un contratto dotato di una serie di clausole che assicurano la sicurezza. Questi sono gli strumenti principalmente utilizzati nella prassi e previsti dal GDPR.
Nel caso del trasferimento di dati verso gli USA, gli operatori si sono affidati negli anni alle decisioni di adeguatezza, che però la Corte di Giustizia (con le famose sentenze Schrems e Schrems II) ha spazzato via. A detta della Corte, infatti, le regole vigenti negli USA, dove è consentito un penetrante controllo da parte dell’Autorità pubblica, non sono in grado di offrire quel corredo di protezione “stile GDPR” che serve per garantire un trasferimento sicuro. Né possono dirsi automaticamente sufficienti le clausole contrattuali, perché un soggetto privato, per quanto si vincoli a proteggere i dati, nulla può contro le richieste dell’Autorità.
Una situazione difficile e in continua evoluzione
La situazione è piuttosto complicata, soprattutto pensando a quanti dati, ogni giorno, transitano dall’UE agli USA. A finire nel mirino, quindi, è stato anche il servizio di Google Analytics. I dati trattati dal tool, infatti, consentono l’identificazione delle persone a cui si riferiscono, per quanto è necessaria una attività specifica. Il fatto che vadano a finire sui server di Google, in territorio statunitense, non garantisce la loro sicurezza. Per questa ragione, sia il Garante austriaco che quello francese, hanno vietato di avvalersi del servizio, alle condizioni vigenti.
Dietro a queste decisioni c’è nuovamente Max Schrems, che ha proposto una serie di reclami alle varie Autorità Garanti europee. Nelle prossime settimane, quindi, arriveranno altre pronunce, tra cui quella del Garante italiano. Che fare, quindi? Gli scenari sono diversi. Potrebbe essere, infatti, che Google cerchi di adeguarsi, inserendo nel suo contratto nuove clausole e nuove funzionalità, tali da superare le obiezioni in tema sicurezza. Può essere che altri player, finora marginali, possano (ovviamente con tempi e modalità non immediate) guadagnare spazio, offrendo un servizio che non transita per gli States. Appare difficile, ma temporaneamente potrebbe succedere, che i gestori di siti Internet rinuncino all’uso di Google Analytics, magari in attesa di tempi migliori. Sullo sfondo, e qua i tempi si allungano pericolosamente, si spera che una nuova decisione di adeguatezza possa consentire nuovamente la circolazione dei dati.
Avv. Andrea MARTINIS
diritto civile (responsabilità civile, assicurazioni, recupero crediti), privacy, diritto penale