7 Giugno 2022
Le FAQ riguardano solo le decisioni di diffida della CNIL in merito all’uso di Google Analytics a seguito dell’invalidazione del Privacy Shield.La dichiarazione congiunta della Commissione europea e degli Stati Uniti del marzo 2022, in merito ad una futura decisione volta a fornire un quadro soddisfacente per i flussi di dati verso gli Stati Uniti, è in questa fase solo un annuncio politico. Il 6 aprile il Comitato dei Garanti Europei della Protezione dei Dati (EDPB) ha pubblicato una dichiarazione in cui ha chiarito che tale dichiarazione non costituisce un quadro giuridico su cui le organizzazioni possono fare affidamento per trasferire i dati negli Stati Uniti. |
Con riferimento ai provvedimenti
Il contesto
Il 16 luglio 2020 la Corte di giustizia dell’Unione Europea ha emesso un’importante sentenza. Il Privacy Shield, disciplinante i trasferimenti di dati tra l’Unione Europea e gli Stati Uniti, è stato invalidato perché non offriva garanzie adeguate contro il rischio di accesso illegale da parte delle autorità statunitensi ai dati personali dei residenti in Europa.
Solo l’istituzione di ulteriori misure di protezione tecnica, giuridica e organizzativa da parte delle organizzazioni per impedire tale accesso potrebbe, in pratica, consentire tali trasferimenti.
Ad agosto 2020 l’associazione NOYB ha presentato 101 reclami alle diverse autorità europee per la protezione dei dati personali riguardanti siti web utilizzando in particolare il diffusissimo strumento di analisi dell’audience Google Analytics, la cui casa madre ha sede negli Stati Uniti.
La decisione
Nel provvedimento pubblicato il 10 febbraio 2022 relativo a una di queste organizzazioni, la CNIL ha ritenuto che:
- le misure messe in atto da Google non sono sufficienti ad escludere la possibilità di accesso ai dati dei residenti europei;
- i dati degli utenti Internet europei vengono quindi trasferiti illegalmente tramite questo strumento.
Perché il provvedimento pubblicato online è stato reso anonimo?
Uno dei provvedimenti relativi all’utilizzo di Google Analytics è stato pubblicato in forma anonima sul sito web della CNIL il 16 febbraio 2022.
La decisione è stata resa anonima perché non sembrava utile citare il nome di un particolare editore del sito, essendo molto diffuso l’uso di questo strumento.
L’obiettivo è che tutti i titolari del trattamento che utilizzano questo strumento si conformino.
Le organizzazioni a cui è stata data formale diffida hanno una scadenza da rispettare?
Le organizzazioni a cui è stata data formale diffida hanno un periodo di un mese per conformarsi e giustificare tale conformità alla CNIL. Tale periodo di un mese può essere rinnovato, su richiesta delle organizzazioni interessate.
Tutti i titolari del trattamento dei dati che utilizzano Google Analytics in modo simile a queste organizzazioni devono ora considerare questo utilizzo illegale ai sensi del GDPR.
Devono quindi rivolgersi a un prestatore di servizi che offra sufficienti garanzie di conformità.
Questa interpretazione delle conseguenze della sentenza “Schrems II” della CNIL è condivisa a livello europeo?
Al fine di armonizzare le decisioni e fornire certezza del diritto ai diversi attori coinvolti, le autorità europee a cui sono state deferite le denunce dall’associazione NOYB in materia di trasferimenti da parte di Google Analytics, si sono organizzate in un gruppo di lavoro per esaminare insieme le questioni legali sollevate in questi fascicoli e coordinare le loro posizioni e decisioni.
La decisione della CNIL non è quindi la prima a livello europeo: un mese prima della CNIL, l’autorità austriaca per la protezione dei dati ha emesso a gennaio una prima decisione che va nella stessa direzione di quella francese.
Perché tutte le denunce presentate dall’associazione NOYB alla CNIL non sono state trattate contemporaneamente?
Tutte le denunce presentate dall’associazione NOYB riferite alla CNIL sono state oggetto di un’indagine coordinata: le situazioni sono state tuttavia esaminate caso per caso e sulla base delle risposte fornite dalle organizzazioni.
Tutte le organizzazioni in Francia il cui utilizzo di Google Analytics è stato oggetto di reclami da parte di NOYB sono state oggetto di diffide formali.
Per quanto riguarda l’utilizzo dello strumento Google Analytics, le clausole contrattuali standard e le garanzie aggiuntive possono consentire l’utilizzo di Google Analytics?
Le organizzazioni notificate avevano stabilito clausole contrattuali standard con Google, che l’azienda offre per impostazione predefinita agli utenti di questa soluzione. Secondo la CNIL, tali clausole contrattuali standard non possono, da sole, garantire un livello di protezione sufficiente in caso di richiesta di accesso da parte di autorità estere, in particolare se tale accesso è previsto da leggi locali.
Nella sua risposta alle richieste della CNIL, Google ha indicato di aver posto in essere ulteriori misure legali, organizzative e tecniche, ritenute tuttavia insufficienti a garantire l’effettiva protezione dei dati personali trasferiti, in particolare contro le richieste di protezione dei dati, dai servizi di intelligence statunitensi.
È possibile configurare lo strumento Google Analytics in modo da non trasferire dati personali al di fuori dell’UE?
No.
In risposta al questionario inviato dalla CNIL, Google ha indicato che tutti i dati raccolti tramite Google Analytics erano ospitati negli Stati Uniti.
Anche in assenza di trasferimento, l’utilizzo delle soluzioni offerte da società soggette a giurisdizioni extraeuropee rischia di porre difficoltà in termini di accesso ai dati. In effetti, le organizzazioni possono essere obbligate dalle autorità di Paesi terzi a divulgare dati personali ospitati su server situati nell’Unione Europea.
L’articolo 48 del GDPR limita tali comunicazioni ai soli casi in cui il Paese terzo richiedente e l’Unione Europea – o lo Stato membro interessato- siano parti di un accordo internazionale che prevede tali comunicazioni.
È possibile configurare Google Analytics in modo che solo i dati anonimi vengano trasferiti negli Stati Uniti?
Come parte del provvedimento, Google ha indicato di utilizzare misure di pseudonimizzazione, ma non l’ anonimizzazione . Google offre una funzione di anonimizzazione dell’indirizzo IP, ma questa non è applicabile a tutti i trasferimenti. Inoltre, gli elementi forniti da Google non consentono di determinare se tale anonimizzazione avvenga prima del trasferimento negli Stati Uniti.
Inoltre, il solo uso di identificatori univoci per differenziare le persone può aiutare a rendere i dati identificabili, specialmente se combinati con altre informazioni come i metadati del browser e del sistema operativo. Questi dati consentono il tracciamento preciso degli utenti, in alcuni casi su più dispositivi separati. L’EDPB, nelle sue raccomandazioni del 18 giugno 2021, ammette la possibilità di utilizzare la pseudonimizzazione come misura aggiuntiva. Tuttavia, il suo utilizzo è subordinato ad un’analisi volta a garantire che tutte le informazioni trasmesse non consentano in alcun modo una re-identificazione della persona, anche tenendo conto delle ingenti risorse a disposizione delle autorità che potrebbero voler effettuare una tale re-identificazione.
Infine, l’utilizzo di Google Analytics insieme ad altri servizi Google, compreso il marketing, può amplificare il rischio di tracciamento. In effetti, questi servizi, ampiamente utilizzati in Francia, possono consentire il controllo incrociato dell’indirizzo IP e quindi tracciare la cronologia di navigazione della maggior parte degli utenti di Internet su un gran numero di siti.
La crittografia potrebbe essere una protezione aggiuntiva sufficiente?
Differenza tra anonimizzazione e pseudonimizzazioneLa pseudonimizzazione è il trattamento dei dati personali in modo tale che i dati relativi a una persona fisica non possano più essere assegnati senza ulteriori informazioni. In pratica, la pseudonimizzazione consiste nel sostituire i dati direttamente identificativi (cognome, nome, ecc.) di un data set con dati indirettamente identificativi (alias, numero progressivo, ecc.).L’anonimizzazione consiste nell’utilizzare un insieme di tecniche in modo da rendere impossibile, in pratica, qualsiasi identificazione della persona con qualsiasi mezzo ed irreversibilmente. I dati anonimi non sono più soggetti al GDPR. |
Sì, ma a determinate condizioni.
L’implementazione della crittografia dei dati da parte di Google si è rivelata una misura tecnica insufficiente in quanto Google LLC cifra i dati stessi e ha l’obbligo di concedere l’accesso o fornire i dati importati di cui è in possesso, comprese le chiavi di crittografia necessarie per rendere i dati comprensibili. Poiché Google LLC conserva la possibilità di accedere in chiaro ai dati delle persone fisiche, tali misure tecniche non possono ritenersi efficaci in questo caso (si vedano le raccomandazioni 01/2020 dell’EDPB relative alle misure che integrano gli strumenti di trasferimento al fine di garantire il rispetto del livello di protezione dei dati personali dell’UE, paragrafo 85).
La crittografia è quindi una garanzia aggiuntiva insufficiente se l’organizzazione soggetta alle richieste delle autorità statunitensi può accedere ai dati personali in chiaro.
Affinché la crittografia possa essere considerata una sufficiente garanzia aggiuntiva, le chiavi di crittografia dovrebbero in particolare essere mantenute sotto il controllo esclusivo dell’esportatore di dati, o di altri soggetti stabiliti in un territorio che offra un livello di protezione adeguato (cfr. le raccomandazioni 01/2020 dell’EDPB relative alle misure che integrano gli strumenti di trasferimento al fine di garantire il rispetto del livello di protezione dei dati personali dell’UE, paragrafo 84).
Ci sono sufficienti garanzie aggiuntive per continuare a utilizzare lo strumento Google Analytics da solo?
Nessuna delle ulteriori garanzie presentate alla CNIL nell’ambito del provvedimento impedirebbe o renderebbe inefficace l’accesso dei servizi di intelligence statunitensi ai dati personali degli utenti europei quando utilizzano il solo strumento Google Analytics.
Tuttavia, si può ipotizzare una soluzione che permetta di coinvolgere un server proxy (o “ proxy ”) per evitare qualsiasi contatto diretto tra il terminale dell’utente Internet ed i server dello strumento di misura. Inoltre, occorre garantire che questo server soddisfi una serie di requisiti per poter ritenere che questa misura aggiuntiva sia in linea con quanto previsto dall’EDPB nelle sue raccomandazioni 01/2020, aggiornate il 18 giugno 2021.
È possibile continuare a trasferire i dati col consenso esplicito delle persone?
Il consenso esplicito degli interessati è una delle possibili deroghe previste in alcuni casi specifici dall’art. 49 del GDPR. Tuttavia, come indicato dall’EDPB nelle Linee Guida 2/2018, queste deroghe possono essere utilizzate solo per trasferimenti non sistematici. Questo significa che le deroghe non possono costituire una soluzione duratura e a lungo termine. In altre parole, il ricorso ad una deroga non può divenire la regola generale.
Con riferimento alle soluzioni a disposizione degli attori, esistono strumenti alternativi?
La CNIL ha di recente pubblicato un elenco di strumenti di misurazione dell’audience che possono essere esentati dal consenso, se correttamente configurati. Tale elenco comprende gli strumenti che hanno già dimostrato alla CNIL di poter essere configurati in modo da essere limitati a quanto strettamente necessario per l’erogazione del servizio, e quindi non richiedono il consenso dell’utente, ai sensi dell’articolo 82 della legge sulla protezione dei dati. [AC2]
Tuttavia, questo elenco non esamina attualmente le questioni sollevate dai trasferimenti internazionali, in particolare le conseguenze della sentenza “Schrems II”.
Come garantire che gli strumenti di misurazione dell’audience non trasferiscano i dati ad un Paese terzo in maniera inappropriata?
Nel caso in cui lo strumento previsto trasferisca dati al di fuori dell’Unione Europea o quando la società che pubblica lo strumento abbia legami patrimoniali o organizzativi con una società controllante situata in un Paese che preveda la possibilità per i servizi di intelligence di richiedere l’accesso a dati personali ubicati in un altro territorio, è necessario valutare il quadro giuridico del Paese terzo.
Tale valutazione può basarsi su:
- le decisioni della Corte di Giustizia dell’Unione Europea o della Corte europea dei diritti dell’uomo, che hanno potuto valutare la conformità di determinate normative agli standard europei in materia di protezione dei dati.
- le Raccomandazioni 2/2020 dell’EDPB relative alle garanzie essenziali europee per le misure di sorveglianza riguardanti gli standard che devono essere soddisfatti in termini di sorveglianza, nel Paese terzo, per valutare il livello di protezione dei dati.
Si può anche considerare di utilizzare il metodo di proxyification , che consente, quando è ben configurato, di inviare solo dati pseudonimizzati a un server situato al di fuori dell’Unione Europea.
I responsabili del trattamento dei dati possono adottare un approccio basato sul rischio, tenendo conto della probabilità di richieste di accesso ai dati?
No.
I dati personali trasferiti in un Paese al di fuori dell’Unione Europea devono beneficiare di un livello di protezione “sostanzialmente equivalente” a quello garantito nell’UE.
In particolare, la possibilità di accesso illecito ai dati personali, che va al di là di quanto necessario e proporzionato in una società democratica da parte delle autorità pubbliche, lede gravemente i diritti e le libertà fondamentali degli interessati.
Nel caso in cui tale accesso sia possibile (e non solo quando l’accesso è probabile) e le garanzie che regolano l’emissione delle richieste di accesso ai dati non consentano di garantire un livello di protezione dei dati sostanzialmente equivalente a quello garantito nell’Unione Europea (si vedano le Raccomandazioni 2/2020 dell’EDPB relative alle garanzie essenziali europee per le misure di sorveglianza), è necessario adottare misure tecniche aggiuntive per rendere impossibile o inefficace tale accesso .
Tali misure sono previste dall’EDPB nelle sue raccomandazioni 01/2020, aggiornate il 18 giugno 2021.
È possibile leggere il testo originale QUI.
Si ringrazia Alessandra Chiarini per la traduzione.