L’Autorità svedese per la protezione della privacy (IMY) ha verificato il modo in cui quattro aziende utilizzano Google Analytics per le statistiche web. L’IMY ha comminato multe amministrative a due di queste aziende. Una delle aziende ha recentemente smesso di utilizzare lo strumento statistico di propria iniziativa, mentre l’IMY ha ordinato alle altre tre di smettere di utilizzarlo.
L’IMY ha verificato le modalità di trasferimento dei dati personali negli Stati Uniti da parte di quattro società attraverso Google Analytics, uno strumento di misurazione e analisi del traffico sui siti web. Le società controllate sono CDON, Coop, Dagens Industri e Tele2. Gli audit riguardano una versione di Google Analytics a partire dal 14 agosto 2020.
Gli audit si basano sulle denunce dell’organizzazione None of Your Business (NOYB) alla luce della sentenza Schrems II della Corte di giustizia europea (CGUE). Le denunce sostengono che le aziende, in violazione della legge, trasferiscono dati personali negli Stati Uniti.
Secondo il regolamento sulla protezione dei dati, il GDPR, i dati personali possono essere trasferiti a Paesi terzi, cioè a Paesi al di fuori dell’UE/SEE, se la Commissione europea ha deciso che il Paese in questione ha un livello adeguato di protezione dei dati personali corrispondente a quello dell’UE/SEE. Tuttavia, la CGUE ha stabilito con la sentenza Schrems II che gli Stati Uniti non potevano essere considerati un livello di protezione adeguato al momento della sentenza.
Nelle sue verifiche, l’IMY ritiene che i dati trasferiti agli Stati Uniti tramite lo strumento statistico di Google siano dati personali perché possono essere collegati ad altri dati unici trasferiti. L’autorità conclude inoltre che le misure tecniche di sicurezza adottate dalle aziende non sono sufficienti a garantire un livello di protezione sostanzialmente corrispondente a quello garantito all’interno dell’UE/SEE.
“Il fatto che l’IMY abbia deciso contemporaneamente su questi casi chiarisce quali siano i requisiti per le misure di sicurezza tecnica e altre misure quando si trasferiscono dati personali in un Paese terzo, in questo caso gli Stati Uniti“, afferma il consulente legale Sandra Arvidsson, che ha condotto gli audit delle società.
In assenza di una decisione sul livello di protezione adeguato da parte della Commissione europea, i dati possono essere trasferiti sulla base di clausole contrattuali standard decise dalla Commissione europea. Tuttavia, secondo la CGUE, tali clausole contrattuali standard possono dover essere integrate con garanzie aggiuntive se è necessario che la protezione che le clausole intendono fornire sia mantenuta nella pratica.
Tutte e quattro le società hanno basato le loro decisioni sul trasferimento dei dati personali tramite Google Analytics su clausole contrattuali standard. Dalle verifiche dell’IMY risulta che nessuna delle misure tecniche di sicurezza aggiuntive adottate dalle società è sufficiente. L’IMY emette una multa amministrativa di 12 milioni di corone svedesi nei confronti di Tele2 e di 300.000 corone svedesi nei confronti di CDON, che non ha adottato le stesse misure di protezione estese di Coop e Dagens Industri. Tele2 ha recentemente smesso di utilizzare lo strumento statistico di propria iniziativa. L’IMY ordina alle altre tre società di smettere di utilizzare lo strumento.
“Queste decisioni hanno implicazioni non solo per queste quattro aziende, ma possono anche fornire indicazioni per altre organizzazioni che utilizzano Google Analytics“, afferma Sandra Arvidsson.
https://www.imy.se/en/news/four-companies-must-stop-using-google-analytics