Locations
Il punto di domanda, che abbiamo scelto di inserire nel titolo, rappresenta plasticamente l’incertezza in cui si trovano oggi le aziende riguardo all’uso di questo importante strumento.
Rispetto alle pronunce del Garante per la Protezione dei Dati personali italiano dello scorso autunno 2022², vi sono diverse novità, analizzate nel prosieguo, ma la situazione è ancora in evoluzione, così come lo strumento in esame.
Cosa sta succedendo in USA?
Rispetto alle pronunce del Garante per la Protezione dei Dati personali italiano dello scorso autunno 2022², vi sono diverse novità, analizzate nel prosieguo, ma la situazione è ancora in evoluzione, così come lo strumento in esame.
Cosa sta succedendo in USA?
Come noto, l’amministrazione americana ha emanato il 7 ottobre 2022 l’Executive Order n. 140863 (“EO”) volto a dare attuazione all’accordo quadro tra l’Unione Europea e gli USA – Data Privacy Framework (“DPF”)4; tale provvedimento costituisce - già oggi - un rilevante cambiamento del contesto giuridico del Paese, importatore dei dati raccolti attraverso GA, tanto da aver avviato un meccanismo di risposta positivo a livello europeo, in linea con quanto previsto dal Regolamento Europeo n.679/2016 (“GDPR”), in materia di trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali.
Infatti, alla luce di tale mutamento di prospettiva in favore di nuovi diritti e garanzie fondamentali per gli interessati, la Commissione Europea ha pubblicato, il 13 dicembre 2022, la bozza di decisione di adeguatezza degli Stati Uniti5, ai sensi dell’Articolo 45 del GDPR, con il duplice obiettivo di favorire i flussi di dati transatlantici e di affrontare le preoccupazioni sollevate dalla Corte di Giustizia dell’Unione europea nella decisione di luglio 2020 (c.d. “Schrems II”)6.
La Commissione ha accertato l’esistenza delle condizioni che soddisfano il criterio di equivalenza sostanziale, il c.d. “essential equivalence test”, così come interpretato dalla Corte di Giustizia, dopo aver confrontato il contesto giuridico in cui i dati personali vengono importati, quello americano post EO, con le garanzie e i diritti fondamentali riconosciuti ai cittadini europei.
Permangono, però, alcune criticità da considerare. Innanzitutto, i tempi previsti per l’adozione di tale decisione, oggi al vaglio dell’European Data Protection Board, non sono del tutto chiari. Se da un lato, la Commissione Europea si è data come obiettivo, per la fine del processo di adozione della stessa, agosto 2023, è anche vero che, nelle sue conclusioni, al paragrafo (196)7, prevede un’espressa clausola sospensiva di efficacia, correlata all’avversarsi di due condizioni non scontate: 1) l’adozione da parte delle agenzie di intelligence statunitensi delle policies and procedures previste dall’EO (ndr. ordine esecutivo che, a sua volta, ha concesso un limite temporale di applicazione entro un anno dalla sua emanazione, quindi, il 6 ottobre 2023); 2) il riconoscimento dell’Unione Europea come organizzazione qualificata ad azionare il meccanismo di reclamo, previsto dall’EO e di nuova concezione.
Secondariamente, l’Associazione Nyob, presieduta da Max Schrems, ha già preannunciato la futura impugnazione, come già avvenuto nel caso del Privacy Schield8. Infine, la Commissione per le libertà civili, la giustizia e gli affari interni del Parlamento europeo ha presentato, il 14 febbraio 2023, una bozza di risoluzione9 per sollecitare la Commissione Europea a non adottare una decisione di adeguatezza verso gli Stati Uniti.
Nonostante le criticità, la notizia della pubblicazione della bozza di decisione ha portato alcune aziende a considerarla, medio tempore, una soluzione ai rilievi delle autorità garanti europee in materia di GA, che, a loro volta, avrebbero sospeso le proprie ispezioni e istruttorie fino all’effettiva entrata in vigore.
A livello europeo, in effetti, non vi sono state nuove pronunce, anche se, recentemente (ndr. il 13 dicembre 2022) l’Autorità garante privacy finlandese, inserendosi nel solco già tracciato dalle altre autorità europee, ha ordinato al titolare del trattamento, che utilizzava GA nella sua versione GA3 (ndr. oltre a Google Tag Manager e a Matomo), di distruggere i dati personali raccolti attraverso gli strumenti proposti da Google e di interrompere il trasferimento degli stessi negli Stati Uniti.
Lo scenario sta comunque mutando e, in senso positivo, per una soluzione definitiva del “problema GA”.
In virtù di tali incertezze e in attesa della definitiva adozione della decisione di adeguatezza, sono state individuate nella prassi aziendale tre principali soluzioni operative, in ordine decrescente di rischio sanzionatorio:
1) migrare dalla versione GA3 alla versione GA410, ma senza installare alcun server proxy11, sulla base dell'assoluta necessità di business nell'uso di tale strumento e l'accertata assenza di alternative qualitativamente valide. Procedendo, quindi, a:
Infatti, alla luce di tale mutamento di prospettiva in favore di nuovi diritti e garanzie fondamentali per gli interessati, la Commissione Europea ha pubblicato, il 13 dicembre 2022, la bozza di decisione di adeguatezza degli Stati Uniti5, ai sensi dell’Articolo 45 del GDPR, con il duplice obiettivo di favorire i flussi di dati transatlantici e di affrontare le preoccupazioni sollevate dalla Corte di Giustizia dell’Unione europea nella decisione di luglio 2020 (c.d. “Schrems II”)6.
La Commissione ha accertato l’esistenza delle condizioni che soddisfano il criterio di equivalenza sostanziale, il c.d. “essential equivalence test”, così come interpretato dalla Corte di Giustizia, dopo aver confrontato il contesto giuridico in cui i dati personali vengono importati, quello americano post EO, con le garanzie e i diritti fondamentali riconosciuti ai cittadini europei.
Permangono, però, alcune criticità da considerare. Innanzitutto, i tempi previsti per l’adozione di tale decisione, oggi al vaglio dell’European Data Protection Board, non sono del tutto chiari. Se da un lato, la Commissione Europea si è data come obiettivo, per la fine del processo di adozione della stessa, agosto 2023, è anche vero che, nelle sue conclusioni, al paragrafo (196)7, prevede un’espressa clausola sospensiva di efficacia, correlata all’avversarsi di due condizioni non scontate: 1) l’adozione da parte delle agenzie di intelligence statunitensi delle policies and procedures previste dall’EO (ndr. ordine esecutivo che, a sua volta, ha concesso un limite temporale di applicazione entro un anno dalla sua emanazione, quindi, il 6 ottobre 2023); 2) il riconoscimento dell’Unione Europea come organizzazione qualificata ad azionare il meccanismo di reclamo, previsto dall’EO e di nuova concezione.
Secondariamente, l’Associazione Nyob, presieduta da Max Schrems, ha già preannunciato la futura impugnazione, come già avvenuto nel caso del Privacy Schield8. Infine, la Commissione per le libertà civili, la giustizia e gli affari interni del Parlamento europeo ha presentato, il 14 febbraio 2023, una bozza di risoluzione9 per sollecitare la Commissione Europea a non adottare una decisione di adeguatezza verso gli Stati Uniti.
Nonostante le criticità, la notizia della pubblicazione della bozza di decisione ha portato alcune aziende a considerarla, medio tempore, una soluzione ai rilievi delle autorità garanti europee in materia di GA, che, a loro volta, avrebbero sospeso le proprie ispezioni e istruttorie fino all’effettiva entrata in vigore.
A livello europeo, in effetti, non vi sono state nuove pronunce, anche se, recentemente (ndr. il 13 dicembre 2022) l’Autorità garante privacy finlandese, inserendosi nel solco già tracciato dalle altre autorità europee, ha ordinato al titolare del trattamento, che utilizzava GA nella sua versione GA3 (ndr. oltre a Google Tag Manager e a Matomo), di distruggere i dati personali raccolti attraverso gli strumenti proposti da Google e di interrompere il trasferimento degli stessi negli Stati Uniti.
Lo scenario sta comunque mutando e, in senso positivo, per una soluzione definitiva del “problema GA”.
In virtù di tali incertezze e in attesa della definitiva adozione della decisione di adeguatezza, sono state individuate nella prassi aziendale tre principali soluzioni operative, in ordine decrescente di rischio sanzionatorio:
1) migrare dalla versione GA3 alla versione GA410, ma senza installare alcun server proxy11, sulla base dell'assoluta necessità di business nell'uso di tale strumento e l'accertata assenza di alternative qualitativamente valide. Procedendo, quindi, a:
- sottoscrivere il Data Protection Agreement proposto dal fornitore, che include le nuove Standard Contractual Clauses (SCC);
- svolgere parallelamente il cd. DTIA (Data Transfer Impact Assessment);
- redigere un documento in accountability che tenga traccia della valutazione fatta in ordine all’uso di GA4 per mitigare il rischio sanzionatorio;
2) optare per uno strumento di misurazione alternativo, proposto da un competitor europeo, anche tra quelli indicati dalla stessa CNIL12, che rispetti i requisiti indicati dai provvedimenti delle Autorità Garanti (i.e., Matomo - Analytics Suite Delta proposto da AT Internet, etc.);
3) sospendere i flussi di dati personali verso Google LLC in USA, disinstallando GA.
In conclusione, possiamo sbilanciarci nel ritenere che nello svolgimento del DTIA, previsto nella soluzione 1), quella che risponderebbe meglio alle esigenze del business, si possa già dare atto di come il contesto giuridico americano sia positivamente mutato, alla luce del recente EO e delle considerazioni della Commissione europea riportate nella bozza di decisione. Non solo, ma si potrà anche positivamente rilevare la presenza di Google all’interno del meccanismo di certificazione Privacy Schield13, la cui gestione e verifica è sotto l’egida del International Trade Administration (ITA), U.S. Department of Commerce, lo stesso soggetto che dovrà verificare il rispetto dei principi stabiliti dal nuovo DPF e che traghetterà le aziende americane al nuovo meccanismo di certificazione. Dovranno comunque essere tenuti in considerazione i possibili rilievi che potranno emergere da parte dell’European Data Protection Board nel prossimo futuro.
A cura di:
Avv. Francesca Gravili
Avv. Edoardo Lombardo
Ringraziando la dott.ssa Martina Barbagallo per il supporto.
3) sospendere i flussi di dati personali verso Google LLC in USA, disinstallando GA.
In conclusione, possiamo sbilanciarci nel ritenere che nello svolgimento del DTIA, previsto nella soluzione 1), quella che risponderebbe meglio alle esigenze del business, si possa già dare atto di come il contesto giuridico americano sia positivamente mutato, alla luce del recente EO e delle considerazioni della Commissione europea riportate nella bozza di decisione. Non solo, ma si potrà anche positivamente rilevare la presenza di Google all’interno del meccanismo di certificazione Privacy Schield13, la cui gestione e verifica è sotto l’egida del International Trade Administration (ITA), U.S. Department of Commerce, lo stesso soggetto che dovrà verificare il rispetto dei principi stabiliti dal nuovo DPF e che traghetterà le aziende americane al nuovo meccanismo di certificazione. Dovranno comunque essere tenuti in considerazione i possibili rilievi che potranno emergere da parte dell’European Data Protection Board nel prossimo futuro.
A cura di:
Avv. Francesca Gravili
Avv. Edoardo Lombardo
Ringraziando la dott.ssa Martina Barbagallo per il supporto.
[1] Google Analytics è uno strumento di web analytics prevalentemente gratuito fornito da Google e che consente di analizzare statistiche sui visitatori di un sito web. Il servizio è usato anche per migliorare l’efficacia degli strumenti di digital marketing su internet oltre che dai webmaster per migliorare il funzionamento dei siti internet. Google Analytics è uno dei servizi di statistica più utilizzato nel web.
[2] Su tutte il Provvedimento del Garante per la Protezione dei Dati personali del 9 giugno 2022, doc. web. n.9782890, Caffeina Media S.r.l..
[3]https://www.whitehouse.gov/briefing-room/statements-releases/2022/10/07/fact-sheet-president-biden-signs-executive-order-to-implement-the-european-union-u-s-data-privacy-framework/
[4] https://ec.europa.eu/commission/presscorner/detail/en/IP_22_2087
[2] Su tutte il Provvedimento del Garante per la Protezione dei Dati personali del 9 giugno 2022, doc. web. n.9782890, Caffeina Media S.r.l..
[3]https://www.whitehouse.gov/briefing-room/statements-releases/2022/10/07/fact-sheet-president-biden-signs-executive-order-to-implement-the-european-union-u-s-data-privacy-framework/
[4] https://ec.europa.eu/commission/presscorner/detail/en/IP_22_2087
[5] https://commission.europa.eu/system/files/2022-12/Draft%20adequacy%20decision%20on%20EU-US%20Data%20Privacy%20Framework_0.pdf
[6] Su tutte la Sentenza del 16 luglio 2020 della Corte di Giustizia dell’Unione Europea (Grande Sezione) nel Caso C-311/18 (c.d. “Schrems II”).
[7] Given that the limitations, safeguards and redress mechanism established by EO 14086 are essential elements of the U.S. legal framework on which the Commission’s assessment is based, the entry into force of this Decision is conditional upon the adoption of updated policies and procedures to implement EO 14086 by all U.S. intelligence agencies and the designation of the Union as a qualifying organisation for the purpose of the redress mechanism.
[8] https://noyb.eu/en/privacy-shield-20-first-reaction-max-schrems
[9] DRAFT MOTION FOR A RESOLUTION to wind up the debate on the statement by the Commission pursuant to Rule 132(2) of the Rules of Procedure on the adequacy of the protection afforded by the EU-US Data Privacy Framework (2023/2501(RSP))
[10] Si segnala che le Autorità Garanti europee non si sono ancora espresse in materia di GA4, fatta salva l’autorità danese, che, pur non avendo adottato un provvedimento ad hoc, ha comunque analizzato lo strumento individuando alcuni profili di rischio legati all’uso degli unique identifier e nella raccolta degli indirizzi IP, anche se limitata e temporanea: https://www.datatilsynet.dk/english/google-analytics.
[11] Come è noto la CNIL (Commission Nationale de l'Informatique et des Libertés) ha suggerito la “proxification” come possibile soluzione tecnica, ma l'utilizzo di un server proxy, per evitare qualsiasi contatto diretto tra il terminale dell'utente internet e i server dello strumento di misurazione, comporta, di fatto, una perdita rilevante della qualità del dato restituito.
[7] Given that the limitations, safeguards and redress mechanism established by EO 14086 are essential elements of the U.S. legal framework on which the Commission’s assessment is based, the entry into force of this Decision is conditional upon the adoption of updated policies and procedures to implement EO 14086 by all U.S. intelligence agencies and the designation of the Union as a qualifying organisation for the purpose of the redress mechanism.
[8] https://noyb.eu/en/privacy-shield-20-first-reaction-max-schrems
[9] DRAFT MOTION FOR A RESOLUTION to wind up the debate on the statement by the Commission pursuant to Rule 132(2) of the Rules of Procedure on the adequacy of the protection afforded by the EU-US Data Privacy Framework (2023/2501(RSP))
[10] Si segnala che le Autorità Garanti europee non si sono ancora espresse in materia di GA4, fatta salva l’autorità danese, che, pur non avendo adottato un provvedimento ad hoc, ha comunque analizzato lo strumento individuando alcuni profili di rischio legati all’uso degli unique identifier e nella raccolta degli indirizzi IP, anche se limitata e temporanea: https://www.datatilsynet.dk/english/google-analytics.
[11] Come è noto la CNIL (Commission Nationale de l'Informatique et des Libertés) ha suggerito la “proxification” come possibile soluzione tecnica, ma l'utilizzo di un server proxy, per evitare qualsiasi contatto diretto tra il terminale dell'utente internet e i server dello strumento di misurazione, comporta, di fatto, una perdita rilevante della qualità del dato restituito.