Nei trasferimenti di dati personali con gli U.S.A. massimo rigore!
Si sono susseguiti, a partire dallo scorso gennaio, una serie di interventi, sia da parte dell’EDPS (Garante europeo della protezione dei dati personali) che da parte di alcune autorità di controllo, volti a sanzionare l’utilizzo nei siti web di cookies di fornitori statunitensi, primo fra tutti Google Analytics.
Il provvedimento del Garante europeo della protezione dei dati personali
I primi rilievi critici sono stati mossi dall’EDPS, in una decisione che lo stesso ha assunto nei confronti del portale web del Parlamento Europeo, con la funzionalità di consentire ai deputati ed al proprio personale di effettuare test COVID-19.
In sintesi, l’EDPS ha ritenuto non sufficienti le clausole contrattuali standard individuate dal Parlamento Europeo quale base giuridica del trasferimento di dati personali.
L’EDPS, in buona sostanza, ha fatto applicazione dei principi e delle indicazioni fornite dalla Corte di Giustizia nel caso Schrems II, ritenendo che in paesi a rischio per la protezione dei dati personali (come, per l’appunto, gli U.S.A.), i titolari debbano, comunque, individuare misure supplementari di protezione, proprio per essere in grado di garantire un livello di protezione sostanzialmente equivalente a quello garantito all’interno dell’Unione Europea.
È significativo, a questo riguardo, che l’EDPS nel proprio provvedimento abbia evidenziato che “l’utilizzo di clausole contrattuali standard o altro “transfer tool” non sostituiscono la valutazione ed accertamento caso per caso che un titolare deve effettuare per verificare se nel contesto specifico, il paese terzo di destinazione dei dati garantisca comunque un livello essenzialmente equivalente di protezione a quello riconosciuto nell’UE”.
In considerazione della normativa presente negli U.S.A., volta a consentire l’accesso governativo ai dati personali, l’EDPS ha pertanto concluso che “transfers of personal data to the US can only take place if they are framed by effective supplementary measures in order to ensure an essentially equivalent level of protection for the personal data transferred”.
Leggi la decisione dell'EDPS qui.
La raccolta di dati personali tramite cookies
In aggiunta alla decisione dell’EDPS, vanno altresì menzionati anche gli ulteriori provvedimenti emanati da parte delle Autorità Austriaca e Francese.
Entrambe, in linea con il precedente dell’EDPS, hanno rilevato la violazione del GDPR da parte di gestori di siti web, per effetto dell’utilizzo dei cookies Google Analytics.
Nello specifico, l’Autorità Austriaca ha ritenuto non sufficienti le ulteriori misure tecniche implementate, in quanto inidonee ad eliminare in radice la possibilità per le autorità statunitensi di svolgere le rispettive attività di sorveglianza e di accedere ai dati (in particolare, è stato ritenuto inidoneo l’utilizzo di alcune forme di crittografia). L’Autorità Austriaca ha, inoltre, rigettato le argomentazioni dirette a non ritenere qualificabili come dati personali i dati raccolti tramite i cookies.
Analogamente si è pronunciata anche la CNIL, rilevando come Google Analytics utilizzi un identificativo univoco, attribuito ai visitatori del sito, come tale pertanto qualificabile quale “dato personale”. Anche per la CNIL la conclusione è stata in linea con quella dell’Autorità Austriaca: il trasferimento di dati personali negli Stati Uniti attraverso Google Analytics non costituisce un trasferimento legittimo ai sensi del GDPR.
Per approfondire l'argomento:
