Il 13 gennaio, l'Autorità olandese per la protezione dei dati (AP) ha messo apertamente in discussione l'uso legale di Google Analytics nei Paesi Bassi. Nella sua dichiarazione, l'AP ha lasciato intendere che l'uso di Google Analytics potrebbe essere vietato in futuro.
Ciò avviene dopo che il DSB (l'equivalente austriaco dell'AP) ha confermato che l'uso di Google Analytics viola il regolamento GDPR.
Abbiamo scavato un po' più a fondo per vedere cosa sta realmente accadendo in questo momento.
Esploriamo!
Il reclamo
Il 14 agosto 2020, qualcuno (chiamiamolo "l'interessato") ha visitato un sito web su argomenti di salute mentre era connesso con le proprie credenziali. Il sito web in questione utilizzava Google Analytics per tracciare e monitorare i visitatori del sito.
Pochi giorni dopo, il 18 agosto 2020, NOYB (una ONG per i diritti digitali) ha presentato un reclamo al DSB per conto della "persona interessata". Il reclamo è stato presentato sia contro il fornitore del sito web che contro Google, in quanto proprietario di Google Analytics.
Il reclamo sostiene che il trasferimento dei dati a Google viola il regolamento GDPR, in quanto Google si qualifica come "fornitore di servizi di comunicazione elettronica". Ciò significa che a Google può essere ordinato di rivelare ai servizi di intelligence statunitensi i dati relativi ai cittadini dell'UE. Ciò significa che i dati personali dei cittadini dell'UE non sono sufficientemente protetti dalla sorveglianza degli Stati Uniti e quindi violano il regolamento GDPR.
Questo è il punto critico della denuncia. Per dirla senza mezzi termini: Non si tratta dell'uso di Google Analytics. Si tratta del trasferimento dei vostri dati personali a fornitori statunitensi.
La sentenza
Il primo reclamo ha portato a una decisione riguardante il cosiddetto "Schrems II", che si riferisce alla sentenza secondo cui il trasferimento di dati a fornitori statunitensi viola il regolamento GDPR. Si tratta di una sentenza in vigore dal luglio 2020, ma che finora è stata ampiamente ignorata dai responsabili del trattamento dei dati.
Il reclamo presentato da NOYB, per conto dell'interessato, comprendeva molteplici comunicazioni da entrambe le parti per un anno e mezzo. Google ha sostenuto che, anche se ci fosse stato un trasferimento, i dati non si sarebbero qualificati come dati personali perché non potevano essere assegnati alla "persona interessata". Inoltre, sosteneva che si sarebbe dovuto prendere in considerazione un "approccio basato sul rischio", in quanto il rischio di dover effettivamente divulgare i dati era molto basso.
L'organo di conciliazione ha deciso diversamente e ha rinunciato alla maggior parte delle argomentazioni sollevate da Google.
Google si qualifica come "fornitore di servizi di comunicazione elettronica" e può essere condannato a divulgare i dati personali. Il livello di protezione dei dati personali è quindi considerato inadeguato. Le misure aggiuntive messe in atto da Google sono state considerate insufficienti. Non sono state in grado di impedire la divulgazione di dati personali ai servizi segreti statunitensi.
La risposta di Google
Russell Ketchum, responsabile del Product Management di Google Analytics, ha risposto a nome di Google. Ha dichiarato che "Google Analytics aiuta i consumatori a rispettare le norme fornendo loro una serie di controlli e risorse". Ha affermato che gli indirizzi IP possono essere resi anonimi e che la raccolta dei dati può essere disattivata e cancellata (su richiesta).
Credo che non abbia colto il punto. Nella sua risposta, parla principalmente dal punto di vista del proprietario del sito web. Afferma che le organizzazioni controllano i dati che raccolgono. Tuttavia, il problema non riguarda i proprietari dei siti web. Si tratta dei visitatori del sito. I loro dati devono essere protetti ed è per questo che il GDPR è stato creato.
Il punto è il trasferimento dei dati a fornitori statunitensi, soggetti alla sorveglianza del governo americano, come Google. L'autore si sofferma solo su una frase, affermando che prima di trasferire i dati ai server negli Stati Uniti, gli indirizzi IP vengono resi anonimi.
Ciò viola comunque il regolamento GDPR. Il DSB ha stabilito che anche gli indirizzi IP anonimizzati sono dati personali, dato che possono essere combinati con altri dati digitali per identificare un visitatore. Questo è anche il punto in cui la maggior parte delle alternative a Google Analytics che rispettano la privacy sbagliano. Noi di Simple Analytics non raccogliamo mai il vostro indirizzo IP, nemmeno in modo anonimo, a differenza di altre alternative rispettose della privacy.
Le implicazioni
In conclusione: Si tratta di una decisione valida, ma non nuova. È una conferma di quanto stabilito nel luglio 2020, ma ora sembra avere un impatto maggiore. Personalmente, ho la sensazione che ora la legge verrà applicata.
Se crediamo che sia così, mi aspetto che altri Stati membri dell'UE seguano l'esempio austriaco. Il NOYB ha presentato un totale di 101 denunce in più Stati membri dell'UE e parla di una "risposta coordinata". I Paesi Bassi sono i primi a mettere in discussione l'uso legale di Google Analytics dopo l'Austria.
Come ha osservato Max Schrems (membro onorario del NOYB), le soluzioni sono due. O i fornitori statunitensi dovranno ospitare i dati esteri al di fuori degli Stati Uniti, oppure gli Stati Uniti si adegueranno a un'adeguata normativa sulla protezione dei dati.
Se non riusciamo a implementare una delle soluzioni sopra citate, in futuro ci troveremo a utilizzare prodotti diversi dall'altra parte dell'oceano. In ogni caso, ciò offre ad altri l'opportunità di competere con Google e con le "Big Tech" nel loro complesso.
Noi di Simple Analytics abbiamo costruito un'alternativa a Google Analytics basata sulla privacy. La nostra missione è dimostrare alle organizzazioni che l'analisi web può essere fatta in modo diverso, fornendo informazioni accurate e rispettando il GDPR. Inoltre, non dovrete mai preoccuparvi che i dati dei vostri visitatori vengano trasferiti a provider statunitensi, poiché i nostri server si trovano nei Paesi Bassi. Provateci.