In breve: che cosa è successo in Austria e che cosa dobbiamo fare
Una recente sentenza della Corte di Giustizia Europea ha riconosciuto la possibilità di proibire il trasferimento di dati verso altri Paesi, se non presenti le condizioni per garantire il rispetto del GDPR.
Questo potrebbe compromettere l’utilizzo di Google Analytics i cui dati sono trasferiti a Google LLC, negli Stati Uniti, poiché il modo in cui questi dati vengono utilizzati in USA potrebbero non essere conformi alle normative europee.
Google però non è stata ritenuta colpevole di alcuna violazione a differenza dei gestori del sito web, rei di aver permesso il trasferimento di dati identificativi quali indirizzi IP e identificativi utenti.
Al di là dei futuri interventi che Google credibilmente metterà in campo per ridimensionare il problema, è sufficiente anonimizzare le PII e gli indirizzi IP lato client o implementando un tracking server side per ridurre il rischio di trattamento inadeguato e trasferimento di dati personali.
Privacy online: contesto e tendenze
All’interno di un contesto internazionale pieno di stravolgimenti relativi a rispetto della privacy online e sovranità dei dati, la sentenza Schrems II ha segnato un punto di svolta nella sfera del trattamento dei dati degli utenti.
La Schrems II è una sentenza della Corte di Giustizia Europea che ha riconosciuto la possibilità di interrompere o proibire il trasferimento dei dati verso stati terzi (in particolare USA) se non presenti e garantite le condizioni per rispettare gli standard di protezione dei dati.
La domanda alla base della sentenza può essere riassunta così: se i dati raccolti e storati in Europa sono obbligatoriamente gestiti secondo le normative del GDPR, cosa succede ai dati raccolti in Europa ma trasferiti all’estero, in Paesi in cui vige una legislazione diversa e potenzialmente incompatibile con quella europea?
La domanda acquista rilevanza se riferita agli USA in cui gli enti governativi hanno accesso ai dati delle società americane.
Questa sentenza sembrerebbe avere ripercussioni dirette su Google Analytics, i cui dati raccolti vengono trasferiti presso la Google LLC, negli Stati Uniti, indipendentemente dal Paese in cui vengono raccolti.
La Schrems II non ha però riconosciuto alcuna responsabilità a Google, rendendo chiaro come non sia corretto affermare che Google Analytics sia illegale in Austria o in qualsiasi altro Paese d’Europa.
A essere colpita dalla sentenza è stato invece il provider del sito, reo di aver permesso il trasferimento di dati personali, compresi identificativi utente, indirizzi IP e parametri del browser a Google LLC, rendendo gli utenti identificabili.
Cosa succederà e come possiamo agire?
Come si stanno muovendo quindi gli attori in gioco e come possiamo muoverci noi per tutelarci da violazioni del GDPR?
Google ha già recentemente affermato di voler iniziare a muovere i primi passi verso una conservazione dei dati all’interno del territorio in cui vengono raccolti, per essere sicuri di non creare violazioni e contrasti con le leggi vigenti nel Paese.
Noi abbiamo la possibilità di ridurre il trattamento dei dati personali non adeguati semplicemente utilizzando tecniche di anonimizzazione dei dati legati a indirizzi IP, nomi, email, numeri di telefono o qualsiasi altra informazione che possa ricondurre a un singolo individuo.
Praticamente le armi a nostra disposizione sono:
- Anonimizzazione delle PII all’interno degli URL o di parametri raccolti attraverso javaScript lato client o implementando GTM Server Side
- Anonimizzazione degli indirizzi IP tramite anonimizzazione standard (che Google assicura essere efficace solo dopo che i dati sono giunti al server locale più vicino) o tramite implementazione di GTM Server Side sicura al 100%
Nessun bisogno quindi di cambiare Data Stack. Google Analytics, per performance e potenzialità, rimane il tool di riferimento per il mondo degli analytics.
