L'Agenzia francese per la protezione dei dati (CNIL) è uscita allo scoperto la scorsa settimana: L'uso di Google Analytics è in conflitto con la normativa GDPR.
Nel suo comunicato stampa, il CNIL ha concluso che i trasferimenti verso gli Stati Uniti non sono sufficientemente regolamentati. Si fa riferimento allo sforzo coordinato tra i Paesi dell'UE per trarre collettivamente le conseguenze della sentenza"Schrems II" della Corte di giustizia del governo europeo. La dichiarazione arriva poche settimane dopo un'analoga dichiarazione del DSB (l'organo di controllo austriaco).
È il secondo Paese dell'UE a riconoscere apertamente la violazione dell'articolo 44 del GDPR da parte di Google. Riteniamo che altri seguiranno probabilmente l'esempio.
- CNIL: Google Analytics è in conflitto con il GDPR
- Cosa ci riserverà il futuro?
- Aggiornamenti
- Analitica semplice
CNIL: Google Analytics è in conflitto con il GDPR
Sebbene ci sia voluto un po' di tempo prima che le autorità di regolamentazione agissero (l'indagine risale all'agosto 2020), ora lo slancio sembra essere in pieno vigore. Dopo che il DSB ha pubblicato la sua dichiarazione il mese scorso, il CNIL ha dato la notizia la scorsa settimana.
Nel nostro precedente post (in inglese), in cui trattiamo la decisione del DSB di invalidare l'uso di Google Analytics, analizziamo la causa principale di queste reazioni.
In breve, le leggi GPDR dell'UE richiedono la protezione dei dati per i propri cittadini. Gli Stati Uniti, tuttavia, non si attengono a queste linee guida. Non forniscono ai cittadini non statunitensi alcun modo per sapere come i loro dati vengono elaborati o (mal)utilizzati. In risposta a ciò, la CNIL risponde che i trasferimenti di dati possono avvenire solo se vengono fornite garanzie adeguate, cosa che al momento non avviene.
Cosa ci riserverà il futuro?
Il secondo domino è caduto. La Francia è diventata il secondo paese dell'UE a invalidare apertamente l'uso di Google Analytics. Nella sua dichiarazione, il CNIL ha parlato di uno sforzo coordinato da parte di più Paesi dell'UE. Nei prossimi mesi ci aspettiamo che altri Paesi dell'UE seguano l'esempio.
Sebbene Google abbia adottato misure per regolare meglio i trasferimenti di dati, ciò non è stato sufficiente, in quanto non esclude ancora l'accessibilità di questi dati per i servizi di intelligence statunitensi.
Finora non è noto se la CNIL abbia multato l'operatore del sito web in questione. Tuttavia ha posto un ultimatum. L'operatore del sito web ha un mese di tempo per conformarsi alle leggi sulla protezione dei dati o trovare un fornitore alternativo di analisi web. Nel frattempo, la CNIL sta lavorando a un elenco di raccomandazioni per sostituire Google Analytics con alternative conformi, come Simple Analytics.
Aggiornamenti
Dopo la decisione sono successe molte cose:
- anche il GPDP italiano e l'Ombudsman finlandese si sono pronunciati contro l'uso di Google Analytics. Il CNIL e il GPDP sono entrambi DPA influenti, quindi altri potrebbero seguire il loro esempio
- il Datatylsinet norvegese probabilmente si pronuncerà contro Google Analytics in un caso ancora in sospeso
- la DPA danese ha sostanzialmente abbracciato lo stesso approccio in un comunicato stampa sull'uso di Google Analytics
- è in arrivo un nuovo quadro per i trasferimenti di dati tra l'UE e gli Stati Uniti. Il nuovo quadro normativo è ancora problematico per alcuni aspetti e sarà sicuramente contestato in tribunale. Siamo di fronte a un'altra sentenza Schrems ed è difficile dire come si svolgerà il processo.
Abbiamo anche scritto due blog sui trasferimenti di dati in generale e sui problemi di Google Analytics con i trasferimenti di dati. Questi blog contengono informazioni più approfondite.
Analitica semplice
La protezione del futuro della vostra azienda è fondamentale per tutte le imprese del pianeta. L'adozione di una soluzione orientata alla privacy per la vostra analisi web è una delle azioni che dovrete intraprendere per essere a prova di futuro (soprattutto se siete un'azienda dell'UE). Provate a metterci alla prova per rendere la vostra attività a prova di futuro.