Bruxelles – Che altre autorità nazionali per la protezione dei dati potessero seguire l’esempio tracciato dall’Austria sul caso Google Analytics sembrava probabile già qualche settimana fa. Ecco perché non stupisce – ma non per questo è meno importante – la decisione della Commission Nationale de l’Informatique et des Libertés (CNIL, il garante della privacy francese) sulla stessa questione: l’uso di Google Analytics viola il Regolamento Generale per la Protezione dei Dati (GDPR) dell’UE e “ordina, se necessario, di smettere di utilizzare questo servizio nelle condizioni attuali”.
Così come stabilito dalla decisione del Dateschutz behörde austriaco, anche la CNIL considera “illegale” il trasferimento transfrontaliero dei dati personali dei cittadini UE verso gli Stati Uniti attraverso il servizio Google Analytics, dal momento in cui il regime in atto non è in linea con quanto stabilito dalla Corte di Giustizia dell’Unione Europea. A scatenare il caso è stata l’organizzazione non governativa austriaca noyb, che ha denunciato la Big Tech con sede a Mountain View con 101 reclami nei 27 Paesi membri UE e in Islanda, Norvegia e Liechtenstein. L’accusa è di aver ignorato la sentenza Schrems II (che prende il nome da Max Schrems, attivista e fondatore dell’ONG noyb) dei giudici europei sullo stop nel 2020 al primo accordo politico tra Bruxelles e Washington, a causa di inadeguatezza nella protezione dei dati dei cittadini europei sul suolo statunitense.
La revisione del cosiddetto Privacy Shield – recentemente sotto attacco da parte dell’azienda Meta di Mark Zuckerberg – è oggetto di intensi contatti tra le due sponde dell’Atlantico, considerato il fatto che al momento la maggior parte dei trasferimenti UE verso gli Stati Uniti è illegale. Ciò nonostante, i dati raccolti attraverso Google Analytics sono ospitati (cioè memorizzati ed elaborati) negli Stati Uniti e “anche se Google ha adottato misure supplementari, queste non sono sufficienti per escludere l’accessibilità di questi dati per i servizi segreti americani“, si legge nella nota della CNIL.
A tutti gli effetti “esiste un rischio per gli utenti francesi che utilizzano questo servizio e i cui dati vengono esportati”. Ma questa seconda decisione nel giro di un mese da parte di un’autorità nazionale europea per la protezione dei dati personali mostra quanto siano rilevanti per tutta l’UE le violazioni attraverso Google Analytics, il programma di statistiche più utilizzato. Affidandosi a questo servizio, i siti web europei trasmettono le informazioni dei loro utenti alla multinazionale statunitense, che non sta rispettando le decisioni della massima autorità giudiziaria dell’Unione in assenza di una decisione di adeguatezza sul trasferimento dei dati transfrontalieri.
Nonostante in questi casi il Regolamento Generale per la Protezione dei Dati dell’UE preveda multe fino a 20 milioni di euro (o il 4 per cento del fatturato annuale), la CNIL ha ordinato a Google di rendere entro un mese il trattamento conforme al GDPR. In alternativa, o dovrà cessare l’utilizzo del servizio Analytics, o dovrà sfruttare un altro strumento “che non comporti un trasferimento di dati al di fuori dell’Unione Europea”.
