Indice dei contenuti
Con il provvedimento del 9 giugno 2022 (Caso Caffeina Media Srl), il Garante della Privacy italiano si è allineato alle posizioni assunte da altri Garanti europei, intimando alla Società di sospendere l’utilizzo di Google Analytics (nella versione Google Analytics 3) poiché tale soluzione presuppone il trasferimento negli Stati Uniti dei dati europei, per il quale il GDPR prevede delle specifiche condizioni, prima fra tutte la presenza di una “decisione di adeguatezza” che, tuttavia, è venuta meno con l’invalidazione del “Privacy Shield”. (Per approfondire, leggi “Trasferimento dei dati personali extra UE dopo la sentenza Schrems II“).
Dalla pubblicazione del provvedimento si è aperto un ampio confronto e dibattito, ancora in corso, e pertanto il nostro contributo va necessariamente inteso come “in progress”. Si pensi, in particolare, che a breve dovrebbe essere definito il nuovo accordo UE-USA che dovrebbe sostituire il sopra citato “Privacy Shield”, rendendo nuovamente possibile il trasferimento verso gli USA.
Di seguito, quindi, riportiamo alcuni punti di riferimento che riteniamo possano essere utili per guidarvi, come titolari del trattamento e/o fornitori di servizi, nelle scelte in grado di coniugare efficienza e conformità normativa.
Il trasferimento extra-UE è legato alla presenza di server negli Stati Uniti?
No. Le garanzie adeguate non riguardano (solo) gli specifici server sui quali sono localizzati i dati personali ma il fornitore di servizi: è quest’ultimo a dover essere “giuridicamente” controllabile.
Il passaggio a Google Analytics 4 risolve “automaticamente” i miei problemi?
No. L’indirizzo IP non è l’unica informazione che permette l’identificazione univoca; ogni browser ha una sua “firma” costituita dalla combinazione dell’IP (anche se troncato/anonimizzato) con altri fattori/impostazioni/utilizzi del browser stesso.
Quindi non posso più utilizzare questi sistemi?
Non necessariamente. L’esistenza di una decisione di adeguatezza non è l’unico presupposto per il trasferimento extra-UE. Una alternativa, ad esempio, è l’utilizzo delle clausole contrattuali standard predisposte dalla Commissione Europea, che tuttavia non può limitarsi alla predisposizione di testi bensì deve portare ad una valutazione circa l’effettiva capacità del fornitore di servizi di rispettare gli impegni presi. Naturalmente, si dovrà informare correttamente l’utente del sito su quanto si è stabilito.
Qual è il modo migliore per tutelarsi?
Lasciare traccia dei propri ragionamenti delle verifiche effettuate nel rispetto del principio di accountability, eventualmente valutando un “piano B”, scegliendo alternative a Google Analytics. Questo è uno dei casi nei quali l’adozione di procedure e l’interazione con il DPO – servizi offerti da Neostudio grazie ai suoi specialisti in Governance & Compliance – diventano fondamentali al fine di creare la prova di avere agito correttamente.