Il data watchdog danese è l'ultimo soggetto che si è espresso in merito alla gestione dei trasferimenti internazionali di dati da parte di Google viola il GDPR
LA VICENDA DELLA DANIMARCA CONTRO GOOGLE WORKSPACE
Il data watchdog danese ha bandito la suite di produttività Workspace di Google.
Alla base di tale decisione ci sono i crescenti timori che i prodotti messi a disposizione da Google non siano compatibili con le regole poste in essere dal GDPR.
Il Garante Privacy di recente, infatti, è intervenuto a stabilire che i trasferimenti internazionali dei dati contenuti nei server di Google violano le leggi sulla protezione dei dati personali.
Il caso:
La sentenza dell’Agenzia danese per la protezione dei dati, Datalisynet, fa seguito a una valutazione del rischio del trattamento dei dati personali da parte delle scuole primarie del comune di Helsingør, nella Danimarca nord-orientale.
Dal 3 agosto, infatti, alle organizzazioni del settore pubblico nella regione sarà vietato utilizzare Google Workspace, che include Gmail e la suite di app Google Docs, nonché i suoi laptop Chromebook.
La pena prevista, per coloro che non rispettano tale divieto posto dal Garante danese, potrebbe essere addirittura il carcere.
Sebbene la sentenza si applichi inizialmente solo a Helsingør, è probabile che venga estesa in tutto il paese e, addirittura, a tutti i comuni danesi che utilizzano i sistemi di Google.
L’indagine portata avanti dal Datalisynet ha messo in luce che i dati personali dei cittadini danesi che utilizzano Workspace e Chromebook sono stati trasferiti a server con sede negli Stati Uniti senza l’appropriato livello di anonimizzazione e, di conseguenza, c’è una violazione delle norme contenute all’interno del GDPR.
Come abbiamo più volte ribadito, qualsiasi trasferimento di dati tra Europa e Stati Uniti sono tecnicamente illegali, (caso Schrems II del 2020); inoltre, il Privacy Shield, accordo esistente tra Stati Uniti ed Europa, non risulta essere compatibile con il GDPR.
Questo perché la legge statunitense consente al suo governo di requisire i dati dei clienti dalle aziende per motivi di sicurezza nazionale, cosa invece vietata dal GDPR.
Da allora le aziende si sono affidate a uno strumento giuridico diverso, le clausole contrattuali standard (SCC), per i trasferimenti di dati transatlantici, le quali offrono sicuramente una maggiore protezione.
Un nuovo accordo, il Trans-Atlantic Data Privacy Framework, è stato negoziato all’inizio di quest’anno.
Al momento, esiste solo a livello politico, piuttosto che legale, ed è probabile che venga contestato dagli attivisti della privacy se e quando entrerà in vigore.
QUALI PAESI EUROPEI HANNO MESSO FUORI LEGGE I PRODOTTI GOOGLE?
La Danimarca è l’ultimo, di una serie di paesi europei, a tentare di mettere in luce e regolamentare le eventuali violazioni da parte del colosso Google in materia di protezione dei dati personali.
Per esempio: a gennaio, l’autorità austriaca per la protezione dei dati (DSB) ha pubblicato risultati che sembravano mostrare che le aziende che utilizzano Google Analytics avrebbero inavvertitamente trasferito indirizzi IP e identificatori nei dati dei cookie dei loro clienti fuori dall’UE negli Stati Uniti, che ritenevano essere in violazione del GDPR.
Allo stesso modo si è espressa, a giugno, l’autorità francese (CNIL), ritenendo illegale l’uso di Google Analytics in tutto il paese, mentre l’autorità di regolamentazione italiana del Garante per la protezione dei dati personali (SA) ha fatto lo stesso settimane dopo.
In generale, possiamo affermare che gli esperti in materia di protezione dei dati personali stanno mettendo in luce che i metodi utilizzati da Google per trasferire le informazioni negli Stati Uniti “non garantiscono attualmente un livello adeguato di protezione dei dati personali degli utenti”.
IL NOSTRO PUNTO DI VISTA
Sicuramente, e con tutta certezza, possiamo affermare che gli strumenti implementati da Google risultano essere quasi indispensabili al giorno d’oggi, soprattutto per quanto concerne il lavoro svolto online dagli imprenditori, soprattutto per quella categoria che ha deciso di investire nel web e nelle nuove tecnologie.
Dall’altra parte, bisogna sempre tenere conto delle nuove pronunce fatte dal garante Privacy, soprattutto per quanto concerne il trasferimento dei dati personali al di fuori dell’UE.
Non risulta essere facile, in ogni caso, prendere una posizione drastica in materia; siamo del parere che non può esserci una posizione totalmente favorevole e totalmente contraria all’uso degli strumenti offerti da Google; allo stesso tempo, bisogna riconoscere e tenere conto del bilanciamento di interessi in gioco.
Ad oggi, la materia che disciplina la protezione dei dati personali, non può più essere ignorata o fatta passare in secondo piano; ma, bensì, bisogna riconoscerle il suo peso, importanza e valore.
La soluzione più facile sarebbe, sicuramente, quella che il colosso Google prendesse la decisione di adeguarsi alla normativa comunitaria, prevedendo l’uso di server esclusivamente europei senza, di conseguenza, doverli trasferire negli stati uniti.
Fino al momento in cui questa implementazione da parte di Google non avviene bisogna trovare degli strumenti adatti alla sua sostituzione, noi siamo qui per aiutarti in questa scelta.
Di seguito alcuni di questi strumenti:
- La scelta e la cancellazione dei dati: In questo momento bisogna valutare se cambiare verso Google Analytics 4 (v. punto successivo) o altro sistema di analisi: nel primo caso avrete sempre il vostro Google, oppure potrete sceglierne diversi per le analisi del vostro sito (ad esempio: matomo);
- Google Analytics 4: Google a fronte dei diversi sviluppi applicativi del GDPR, in ultimo il provvedimento del Garante Privacy, ha sviluppato come possibile soluzione Google Analytics 4 il quale, purtroppo, non è esente da problematiche;
- Informative e banner cookie: effettuata la scelta tra diversi strumenti di analytics, piuttosto che l’implementazione di GA4 come descritto al punto precedente, bisognerà modificare le informative e il banner dei cookies presenti sui vostri siti: in tal senso, una volta effettuata la scelta ed effettuata l’implementazione tecnica, vi chiediamo di comunicarci la scelta di modo da poter modificare le vostre informative e dare indicazioni su come modificare (ove necessario) il banner dei cookies.
Hai già adeguato la tua attività online a quanto disposto dal GSPR e dal Garante Privacy, oppure hai necessità di un supporto?
I nostri esperti sono pronti a fornirti la migliore soluzione per adeguare le tue attività online alle disposizioni del Garante Privacy ed al GDPR, mettendoti al riparo da possibili sanzioni.
Scrivici all’indirizzo info@abinnovationconsulting.com, oppure compilando il modulo che trovi di seguito.
