Da Schrems I ai Google Analytics: l'illegittimo trasferimento dei dati verso gli USA
La Corte di Cassazione è tornata sul tema della deindicizzazione.
Sono trascorsi ormai sette anni dalla storica pronuncia della Corte di Giustizia dell'Unione europea con cui è stato invalidato il Safe Harbour, l'accordo tra Ue e USA che riconosceva l'adeguatezza del livello di protezione garantito dagli Stati Uniti d'America ai dati personali ivi trasferiti.
Da allora, molteplici tentativi ( n.1) sono stati compiuti per trovare un nuovo accordo che coniugasse non solo i profili giuridici connessi alla data protection, bensì anche gli interessi e i valori sottesi ai due modelli, quello europeo e quello americano. Come è noto, si tratta di culture, principi e diritti molto diversi. Il modello europeo è garantistico, improntato alla salvaguardia dei diritti fondamentali e si propone come riferimento globale regolatorio; il modello americano pone, invece, l'accento sugli interessi imprenditoriali e di sicurezza nazionale ed ha un approccio di natura auto-regolatoria.
Oggi si torna a parlare di trasferimento dei dati verso gli Stati Uniti d'America soprattutto per due motivi: il Trans-Atlantic Data Privacy Framework, il nuovo accordo Ue-USA per la protezione dei dati annunciato dalla Commissione europea il 25 marzo scorso (n.2), e Google, il colosso del web che, tra i tanti servizi, offre uno strumento di web analytics ai gestori di siti Internet volto all'elaborazione di statistiche sugli utenti e sul traffico Internet (c.d. "Google Analytics").
Google è stato infatti recentemente al centro dell'attenzione di diverse autorità garanti europee per la protezione dei dati personali, da ultimo proprio il Garante italiano per la protezione dei dati personali che, con provvedimento del 9 giugno 2022, n. 224, ha dichiarato illegittimo l'utilizzo dei Google Analytics. Vediamo perché e quali scenari, a seguito di questa decisione, si aprono per i gestori dei siti web e gli operatori del settore.
Stop ai Google Analytics
In primo luogo, il Garante privacy italiano ha verificato se il trattamento dei dati, tramite Google Analytics, integrasse un trasferimento di dati personali all'estero, ossia al di fuori dello Spazio economico europeo.
Il servizio di analisi e statistica offerto da Google attraverso l'omonimo cookie comporta la raccolta di alcuni dati personali degli utenti e informazioni relative alle modalità di interazione di questi ultimi con il sito web, tra cui identificatori on-line unici; indirizzo, nome del sito web e dati di navigazione; indirizzo IP del dispositivo utilizzato dall'utente; informazioni relative al browser, al sistema operativo, alla risoluzione dello schermo, alla lingua selezionata, nonché a data e ora della visita al sito web.
Sebbene controparte contrattuale dei vigenti Google Analytics Terms of Service sia Google Ireland Limited (con sede in UE), i termini di utilizzo prevedono che i dati degli utenti possano essere trasferiti ad alcune società del gruppo, tra cui Google LLC con sede proprio negli Stati Uniti d'America. Dunque, il trasferimento all'estero dei dati sussiste.
In secondo luogo, l'Autorità ha esaminato se tale trasferimento fosse legittimo e, pertanto, effettuato in conformità al Capo V del Reg. (UE) 2016/679 ("GDPR") che disciplina le condizioni e i presupposti per i trasferimenti di dati verso Paesi terzi fuori dallo SEE e verso organizzazioni internazionali.
Nel caso di specie, il gestore del sito web (titolare del trattamento) e Google avevano sottoscritto le c.d. standard contractual clauses, un pacchetto di clausole contrattuali, pre-approvate dalla Commissione europea, la cui sottoscrizione vincola le parti al trattamento dei dati trasferiti conformemente ai principi stabiliti nel GDPR. Le SCC rappresentano proprio una delle garanzie che il GDPR (e, prima ancora, la Direttiva 95/46/CE) ammette ai fini del trasferimento, in assenza di una decisione di adeguatezza.
Tuttavia, il Garante ha ritenuto queste clausole contrattuali insufficienti a garantire un livello adeguato di protezione dei dati trasferiti alla luce di una valutazione del contesto specifico in cui sarebbero stati importati i dati. Infatti, l'ordinamento statunitense prevede particolari limitazioni al diritto alla protezione dei dati personali e altrettante deroghe alla normativa data protection in modo da consentire alle autorità di intelligence di accedere ai dati personali per esigenze di sicurezza nazionale.
A nulla poi sono valse le misure (tecniche, contrattuali e organizzative) supplementari fornite da Google, ritenute dal Garante italiano inidonee a ridurre o a impedire le possibilità di accesso ai dati da parte delle autorità statunitensi, così come la possibilità di re-identificazione degli utenti.
Sulla scia dell'orientamento già espresso dai Garanti francese ed austriaco, dunque, anche il Garante italiano ha ritenuto illecito il trasferimento di dati personali verso gli Stati Uniti derivante dall'utilizzo del cookie Google Analytics.
Quali alternative per il trasferimento di dati all'estero?
La decisione del Garante italiano non può passare inosservata in considerazione dell'inevitabile impatto che già sta suscitando nel mondo del web.
La ratio applicata dal Garante e la decisione dallo stesso assunta sono inoltre applicabili in via analogica a qualsiasi strumento che comporti il trasferimento di dati personali verso un Paese, il cui livello di protezione dei dati sia ritenuto non adeguato.
Quindi è la fine di ogni rapporto commerciale, e non, con gli Stati Uniti d'America e, in generale, con ogni Paese terzo non sicuro dal punto di vista della data protection? No, ma non può negarsi che questi rapporti diventeranno inevitabilmente più complessi, soprattutto quando si svolgano nel mondo digitale e attraverso la rete Internet, perlomeno fino al raggiungimento di un accordo ufficiale tra Ue e USA.
Il GDPR prevede altre condizioni che possono legittimare il trasferimento di dati personali, alcune delle quali però sono applicabili solo ad un novero ristretto di soggetti (si pensi alle Binding Corporate Rules, valide soltanto all'interno del gruppo imprenditoriale o del gruppo di imprese che svolgono attività economiche comuni); altre risultano invece difficilmente implementabili nel contesto digitale che richiede un approccio universale e generale (sono evidenti le difficoltà di raccogliere e, ancora di più, gestire il consenso al trasferimento di ogni singolo utente di ogni sito Internet); altre ancora non risultano sinora pienamente attuate (come codici di condotta e meccanismi di certificazione).
In questi casi, si potrebbero quindi invocare le deroghe, elencate all'art. 49 del GDPR, che ammettono il trasferimento dei dati all'estero, pur in assenza di una decisione di adeguatezza o di garanzie adeguate. Tra queste, ad esempio, il trasferimento è ammesso quando necessario all'esecuzione di un contratto concluso tra l'interessato e il titolare del trattamento oppure se il trattamento è necessario per importanti motivi di interesse pubblico; per accertare, esercitare o difendere un diritto in sede giudiziaria o, ancora, per tutelare gli interessi vitali dell'interessato o di altre persone.
Infine, il GDPR prevede una specifica disposizione, spesso trascurata perché applicabile in pochi contesti ma comunque degna di menzione, per i casi in cui non sussistano nemmeno i presupposti di operatività delle deroghe sopra indicate: in questi casi, il trasferimento verso un Paese terzo o un'organizzazione internazionale è ammesso soltanto se non è ripetitivo, riguarda un numero limitato di interessati, è necessario per il perseguimento degli interessi legittimi cogenti del titolare del trattamento e il titolare del trattamento abbia fornito garanzie adeguate relativamente alla protezione dei dati personali. In tal caso, però, il titolare del trattamento deve informare del trasferimento l'autorità di controllo.
Le soluzioni medio tempore e gli scenari futuri
Il Garante ha espressamente richiamato "all'attenzione di tutti i gestori italiani di siti web, pubblici e privati, l'illiceità dei trasferimenti effettuati verso gli Stati Uniti attraverso Google Analytics (…) e (ha) invita(to) tutti i titolari del trattamento a verificare la conformità delle modalità di utilizzo di cookie e altri strumenti di tracciamento utilizzati sui propri siti web, con particolare attenzione a Google Analytics e ad altri servizi analoghi, con la normativa in materia di protezione dei dati personali" . (n.3)
Sebbene, nel caso di specie, il Garante abbia solo ammonito il gestore del sito web colpevole di aver impiegato, senza garanzie sufficienti, i Google Analytics, non può escludersi che nel futuro l'Autorità possa adottare provvedimenti sanzionatori più gravi.
I modi di affrontare questo nuovo orientamento sono essenzialmente due: continuare a utilizzare i Google Analytics, auspicando il raggiungimento nel breve termine di un accordo Ue-USA, oppure neutralizzare il rischio, ricorrendo a soluzioni alternative.
Duplici sono anche i risvolti di quanto qui commentato: da un lato, la presa di posizione uniforme in relazione al caso Google Analytics, che sta coinvolgendo sempre più autorità garanti europee, fungerà da booster per le istituzioni europee per intensificare e accelerare il procedimento di approvazione del già citato Trans-Atlantic Data Privacy Framework.
Dall'altro lato, si apre un'opportunità di business, prima di oggi difficilmente immaginabile a causa della dominanza di Google nel settore analytics, che potrebbe costituire la fortuna di molti operatori.
* a cura di Laura Greco, DigitalMediaLaws
---------------------------
Note
(1 )Intense negoziazioni hanno dato alla luce il Privacy Shield che ha, tuttavia, seguito le stesse sorti del suo predecessore ed è stato dichiarato invalido nel 2020 dalla Corte di Giustizia dell'Unione europea nell'ambito della vertenza C-311/18, meglio nota come "Schrems II", dal nome dell'attivista austriaco che per primo ha denunciato Facebook Ireland Ltd per trasferimento illecito di dati personali all'estero.
(2) Qui il comunicato stampa della Commissione europea: https://ec.europa.eu/commission/presscorner/detail/it/ip_22_2087.
( 3 ) Garante per la protezione dei dati personali, comunicato stampa del 23 giugno 2022, consultabile al link https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9782874.
Vittorio Buonaguidi, Cristina Scarpinato*
Norme & Tributi Plus DirittoGiovanna Boschetti*
Norme & Tributi Plus DirittoGiovanna Boschetti*
Norme & Tributi Plus DirittoAvv. Pietro Maria Mascolo
Dottrina