Dopo i provvedimenti del Garante austriaco della protezione dei dati personali secondo cui l’uso continuo di Google Analytics viola il Regolamento europeo GDPR n. 2016/679 anche Il Garante francese per la protezione della privacy (CNIL), dopo aver ricevuto i reclami dall’associazione NOYB, presieduta da Schrems, il 10 febbraio 2022 ha ordinato a un gestore di siti Web francese di conformarsi al GDPR e di interrompere il servizio.
Google analytics è un software di statistiche che, attraverso i cosiddetti cookies, ottiene la profilazione dei cittadini raccogliendone i gusti, la capacità di spesa, lo stato di salute, le tendenze politiche, religiose, sessuali.
Attaraverso l’incrocio dei dati raccolti permette, all’utilizzatore del software, di ottenere la cosiddetta capacità predittiva nell’andamneto dei consumi, degli orientamenti ludici, culturali, sociali, economici. (Es. i tuoi ordini su Amazon, l’acquisto di medicinali e integratori, i mi piace su Facebook, l’acquisto di libri, la visione di film, ecc.).
CNIL ha analizzato le condizioni in cui i dati raccolti attraverso l’uso di Google Analytics sono stati trasferiti negli Stati Uniti e i rischi a carico dei cittadini che acquistano beni, servizi e notizie su internet monitorati da Google Analytics. Il Garante francese ha riscontrato l’accessibilità ai servizi di intelligence statunitensi dei dati personali raccolti, per la prestazione di beni e servizi ai cittadini francesi, in violazione del Regolamento europeo, come evidenziato dalla sentenza “Schrems II” della Corte di Giustizia dell’Unione Europea del 16 luglio 2020.
I fornitori statunitensi e gli esportatori di dati dell’UE hanno ampiamente ignorato la sentenza della CGUE. Microsoft, Facebook, Amazon, Google e altre big tech USA hanno fatto ricorso sulle cosiddette “clausole contrattuali standard” per continuare i trasferimenti di dati personali senza la protezione prevista dal GDPR.
In questi ultimi giorni è stato pubblicizzato a lettere cubitali, ripetutamente su tutti i mezzi di informazione, un nuovo accordo transatlantico tra Europa e USA per trasferire i dati personali, salvaguardando la privacy degli utenti. L’annuncio è stato diramato venerdì 25 marzo 2022 dalla presidente della Commissione europea, Ursula von der Leyen, e dal presidente degli Stati Uniti, Joe Biden.
E’ su queste dichiarazioni di accordo che è intervenuto il Comitato Europeo per la Protezione dei dati Personali (EDPB) con un comunicato che accoglie con favore gli impegni assunti dagli Stati Uniti per proteggere la privacy e i dati personali degli europei quando i loro dati vengono trasferiti negli Stati Uniti come primo passo positivo nella giusta direzione.
L’EDPB osserva, però, che questo annuncio non costituisce un quadro giuridico sulla base del quale si possono trasferire i dati negli Stati Uniti senza intraprendere le azioni necessarie per conformarsi alla giurisprudenza della Corte di Giustizia dell’Unione europea (CGUE), e in particolare alla sua decisione Schrems II del 16 luglio 2020.
Per il testo della dichiarasione originale di EDPB, clicca qui.
Personalmente, dopo la sentenza della Corte di giustizia dell’Unione europea, ho sempre evitato di utilizzare i software in cloud delle Big tech per il trattamento dei dati personali ed ho sempre eseguito salvataggi in locale con copie degli archivi su fornitori di cloud europei.
Ora, però, mi sorge un dubbio. Considerato che:
1) le amministrazioni pubbliche acquistano suite in cloud di big tech USA su Consip e Mepa (Mercato elettronico della Puubblica Amministrazionegestito dal Ministero dell’Economia e Finanze);
2) per la Didattica a distanza, con registrazione di lezioni e trattamento di immagini anche di minori, gli unici fornitori sono le big tech USA con l’approvazione del Ministero dell’Istruzione – MIUR;
3) i video dei consigli comunali e di altri organi collegiali vengono riversati su youtube che fornisce spazio e velocità di riproduzione a costo zero;
4) l’archiviazione e la conservazione dei documenti informatici, contenenti tutti i dati dei cittadini europei, viene indirizzata in gran parte sui servizi cloud saas con storage fornito dalle big tech USA. E si che sono anche qualificate da AGID – Agenzia per l’Italia Digitale – della Presidenza del Consiglio dei ministri, perchè in questa meravigliosa europa la mano sinistra non sa quello che fa la destra;
e l’elenco potrebbe contitnuare. In questo scenario, mi chiedo, faccio bene a non utilizzare e sconsigliare di utilizzare i software in cloud delle big tech per il trattamento dei dati personali oppure è solo un problema di Google Analytics?
Il tentennamento dell’Europa ed il percepire le big tech solo come mucche da mungere con sanzioni milionarie il cui peso economico ricadrà sui cittadini europei, dimostra un palese senso di inferiorità e incapacità di sviluppare modelli alternativi, Una situazione che sicuramente approfondirà il divario tecnologico tra vecchio e nuovo continente con le prevedibili conseguenze economche e sociali.
Igino Addari
DPO Actainfo
Actaprivacy software cloud saas qualificato da AGID per l’adempimento del GDPR
Per l’attuazione degli obblighi richiesti dal nuovo Regolamento UE Software cloud saas ActaPrivacy per la gestione degli adempimenti previsti per la protezione dei dati personali dal GDPR 2016/679.