NEWS
Comunicazione: facciamo chiarezza su Analytics e Privacy
Il 10 Luglio 2023 la Commissione Europea ha adottato la decisione di adeguatezza per l’EU-US Data Privacy Framework ponendo così fine a quella situazione complessa e di difficile soluzione che aveva riguardato molte delle nostre imprese associate.
Situazione di difficoltà creatasi dopo che la Corte di giustizia dell'Unione europea, nel luglio 2020, aveva invalidato il c.d. “Privacy Shield” che fino a quel momento aveva permesso la comunicazione di dati UE-USA senza restrizioni, stabilendo che i dati personali trasferiti e conservati negli Stati Uniti non godevano di quel livello adeguato di protezione richiesto dal GDPR e ulteriormente accentuatasi dopo l’ammonimento del 23 giugno 2022 del Garante per la protezione dei dati personali italiano verso Caffeina Media S.r.l.
L’intervento dell’Authority, col senno del poi, dovuta probabilmente alla consapevolezza dello stallo su un problema che non sembrava dovesse trovare rapida soluzione, aveva evidenziato l'illiceità del trattamento di dati personali effettuato utilizzando Google Analytics II, che poteva comportare una comunicazione di dati dei visitatori italiani dei siti web delle imprese italiane che usavano il servizio web verso Google LLC, nota società statunitense
In seguito a numerose richieste provenienti dal mondo imprenditoriale pervenute a CNA, questa, resasi conto che la soluzione politica sarebbe tardata ad arrivare, ha cercato di fornire soluzioni pratiche alle imprese (prodotti alternativi o passaggio evolutivo a Google Analytics III) e ha attivato il suo Ufficio di Bruxelles per portare avanti la questione con SMEs (Small and medium-sized enterprises).
CNA, nei mesi successivi, interloquendo in varie occasioni col Garante della privacy, ha evidenziato che le micro, piccole e medie imprese, contrariamente a quelle più strutturate, non potevano realisticamente contare su quei tipi di soluzioni alternative alla mancante decisone di adeguatezza, proposti dalla stessa Autorità di garanzia, quali le clausole contrattuali standard o le norme vincolanti d'impresa.
Necessità compresa dal Garante che ha dimostrato sempre un atteggiamento attendista e non penalizzante verso le imprese.
Per fortuna, come già anticipato, da luglio scorso le imprese statunitensi che aderiscono al’ “EU-US Data Privacy Framework” – essendo intervenuta la decisione di adeguatezza della Commissione UE, sono in grado di garantire un adeguato livello di protezione per i dati personali trasferiti dall’UE alle aziende statunitensi, senza l’obbligo di dover adottare ulteriori garanzie per la protezione dei dati.
Rispetto al precedente “Privacy Shield”, per superare alcuni dei numerosi dubbi mossi dalla Corte di Giustizia UE, dal Comitato europeo per la protezione dei dati (Edpb) e dai vari esperti in materia, sono state introdotte nuove salvaguardie quali:
- la imitazione dell’accesso ai dati dei cittadini della UE da parte dei servizi di intelligence statunitensi
- l’istituzione di un Tribunale di Revisione sulla Protezione dei Dati (DPRC) accessibile ai cittadini dell’UE.
- la possibilità data ai cittadini UE di varie vie di ricorso nei confronti delle aziende statunitensi che trattano i loro dati (sono stati introdotti meccanismi di risoluzione delle controversie indipendenti, gratuiti e un collegio arbitrale).
La «Data Privacy Framework List» è stata assegnata alla gestione del Dipartimento del commercio degli Stati Uniti e il suo funzionamento sarà soggetto a revisioni periodiche da parte della Commissione Europea, dei rappresentanti delle autorità europee per la protezione dei dati e delle autorità statunitensi.
Ovviamente per avere la certezza che l’impresa statunitense aderisca al Data privacy framework le nostre imprese dovranno verificare, collegandosi al sito https://www.dataprivacyframework.gov/s/participant-search la loro effettiva presenza all’interno della lista.
La lista è consultabile tramite motore di ricerca e richiede anche una ulteriore attenzione, ovvero che la copertura dell’accordo si estenda a tutte le attività poste in essere dalla azienda stessa. Lo si fa verificando la voce “covered data”. Le imprese statunitensi che ad oggi vi hanno aderito sono 2.555.
La vicenda, per fortuna in massima parte risolta positivamente, evidenzia l’importanza che scelte politiche in Italia e in Europa non siano mai del tutto avulse dalle esigenze produttive anche delle PMI.
Qualche dubbio residuale potrebbe esserci per Google Analytics, se infatti si va a vedere nel dettaglio l’elenco dei prodotti certificati di Google, Google Analytics non si ha la certezza assoluta che, anche indirettamente, che questo prodotto venga autocertificato. L’assenza potrebbe essere giustificata dal fatto che da tempo Google Analytics è stato messo sotto la lente di ingrandimento del Comitato europeo per la Protezione dei Dati e di diverse Authority nazionali (compresa quella italiana) e quindi una iscrizione immediata ed esplicita di fronte ai dubbi espressamente manifestati dalle Autorità di controllo avrebbe potuto rappresentare una evidente forzatura. Visto però che GA4, a suo tempo, non è stato ritenuto non conforme al GDPR da parte dell’Authority italiana ma è stato sottoposto a verifica approfondita, si potrebbe azzardare affermando che quanto valeva prima, a maggior ragione vale ora in presenza di una decisione di adeguatezza per i trasferimenti di dati verso gli USA, ben consapevoli però di non poter affatto escludere successivi cambiamenti di orientamento in merito.
Naturalmente continueremo a monitorare la questione fornendovi ulteriori aggiornamenti relativi a futuri sviluppi.