Con una corposa decisione resa pubblica il 14 gennaio 2022, il Garante per la protezione dei dati personali austriaco (“Datenschutzbehörde” o, per brevità, “DSB”) ha ritenuto che l’impiego di Google Analytics violi le norme del Regolamento europeo per la protezione dei dati n. 2016/679 (di seguito, “Regolamento”).
Come è noto, Google Analytics è il servizio offerto dall’omonima Big Tech che analizza il traffico e la navigazione di un sito web e produce dettagliate statistiche sugli utenti del sito. Il servizio, reso normalmente attraverso l’installazione del relativo cookie sul sito web del gestore, è fornito avvalendosi prevalentemente di server ubicati entro i confini dell’Unione europea, ma non mancano i casi in cui Google trasferisca i dati personali verso server collocati al di fuori dell’Europa.
Ed è proprio questa eventualità al centro della pronuncia del Garante austriaco.
Secondo il DSB, non sarebbero sufficienti le clausole contrattuali standard sottoscritte da Google e dal gestore del sito web ai fini del trasferimento dei dati negli Stati Uniti d’America, che, come è noto, non garantiscono più un livello di protezione adeguato dopo che la Corte di Giustizia dell’Unione europea ha invalidato il Privacy Shield.
Il ricorso alle standard contractual clauses è stato giudicato dal DBS inadeguato alla luce del fatto che il mero strumento contrattuale – al pari delle misure aggiuntive adottate – non può impedire alle autorità statunitensi di intelligence di accedere ai dati personali trattati da Google LLC, che opera come fornitore di servizi di comunicazione elettronica e in quanto tale è soggetto all’attività di surveillence americana.
È il momento di correre ai ripari e disattivare immediatamente i Google Analytics?
Non necessariamente. La pronuncia del DSB trae origine, infatti, da un caso particolare in cui la funzione di anonimizzazione degli indirizzi IP non era stata correttamente attivata dal gestore del sito web, prima del trasferimento dei dati ai server fuori Ue.
Inoltre, una volta ritenute inadeguate le clausole standard ai fini del trasferimento all’estero, il gestore del sito web, in qualità di titolare del trattamento di dati personali, non poteva contare su altre garanzie appropriate o altri strumenti tra quelli indicati agli artt. 46 e seguenti del Regolamento.
La decisione austriaca costituirà una milestone della strategia europea in materia di data protection o resterà un caso isolato? La risposta non tarderà ad arrivare. Il caso appena commentato rappresenta, infatti, solo il primo dei 101 reclami relativi al trasferimento di dati all’estero, che sono stati presentati a varie autorità di controllo europee da parte dell’organizzazione no profit NOYB (ONG fondata proprio da Max Schrems, l’attivista austriaco noto per le proprie iniziative contro un altro colosso del web, Facebook).
Ad oggi ciò che è certo è che la pronuncia austriaca rappresenta un esempio di sovranità digitale europea, che occorrerà soppesare prudentemente per evitare che la sua concreta attuazione determini, di fatto, un isolamento tecnologico ed economico per l’Europa.
