POST 13/2022
Con la decisione D155.027 GA l’autorità austriaca per la protezione dei dati ha dichiarato che Google Analytics non rispetta le regole europee sul trasferimento dei dati.
Tale decisione scaturisce dalla sentenza Schrems II dell’alta corte europea a mente della quale è stato stabilito che il Privacy Shield, cioè la normativa che fino a quel momento era stata punto di riferimento per regolare il trasferimento dei dati tra UE e USA, non era allineato al GDPR. Questo, in particolare, perché la legge statunitense consente che le Big Tech possano fornire alle autorità i dati personali degli utenti per motivi di sorveglianza e sicurezza.
Il garante austriaco ha, dunque, riscontrato che tutti i siti che utilizzano Google Analytics di fatto esportano negli Stati Uniti dati personali dei visitatori come i loro indirizzi IP e i loro identificatori univoci che vengono memorizzati nei cookie, informazioni che in certi casi, secondo le leggi americane, possono essere poi fornite anche alle autorità ed ha ritenuto insufficienti le misure tecniche, organizzative e contrattuali adottate da Google per garantire il rispetto delle regole europee sul trasferimento dei dati.
Decisioni simili sono attese in altri stati membri dell’UE, poiché i regolatori hanno cooperato su questi casi in una task force dell’European Data Protection Board.
Tommaso Talluto
Avvocato – Studio EPICA – Treviso