Oggi vogliamo ritornare sul recente caso di censura da parte dal Garante Privacy per il trasferimento transfrontaliero di dati personali per mezzo di Google Analytics.
RIFLESSIONI SUL CASO CAFFEINA MEDIA
Il 9/06/2022 il Garante Privacy, con il provvedimento n. 224, ha censurato Caffeina Media in virtù dei trasferimenti di dati personali avvenuti all’oscuro dei titolari a causa e per mezzo di Google Analytics.
Il Garante ha imposto a Caffeina Media di porre rimedio alla situazione mediante misure adeguate, che nella sostanza non possono che sostanziarsi nella rinuncia ad Analytics; il Garante ha, anche, motivato la decisione, sottolineando che l’adozione di una clausola contrattuale ad hoc nell’ambito degli accordi tra Google e Caffeina Media, ai sensi dell’art. 46 del GDPR, non rendeva leciti i trasferimenti di dati oggetto di indagine poiché non era stata svolta da Caffeina Media una analisi tesa a verificare in concreto l’idoneità di detta clausola a salvaguardare i dati trasferiti negli USA da trattamenti non rispondenti agli standard posti dal GDPR, resi possibili dalla legislazione di quella nazione.
In questa luce può essere utile e interessante rinfrescare la memoria sugli strumenti giuridici predisposti dal GDPR per omologare i trasferimenti transfrontalieri di dati personali, che il Garante ha preso in considerazione per adottare il provvedimento n. 224 de 09 giugno 2022; in particolare sugli strumenti oggetto dell’art. 46 del GDPR, definiti dal medesimo come “garanzie adeguate”, in forza delle quali il trasferimento transfrontaliero dei dati personali può essere considerato lecito.
In linea generale è evidente che sia più conveniente affidarsi alle clausole contrattuali tipo, predisposte dalla Commissione ovvero dai Garanti nazionali; e ciò per 2 ragioni quasi banali:
- non hanno bisogno di omologazione;
- il loro testo, essendo predisposto a priori, è per definizione garanzia adeguata ai fini della legittimazione del trasferimento dei dati personali.
Ciò precisato, è bene sottolineare che la ragione in forza della quale la clausola contrattuale predisposta da Caffeina Media nella trattativa con Google ha generato giudizio di inadeguatezza da parte del Garante non risiede nel suo testo che non è stato oggetto di alcuna censura in sé stesso.
Quella specifica clausola contrattuale è stata considerata inadeguata poiché secondo il Garante, Caffeina Media aveva omesso di verificarne l’efficacia in concreto, a tutela dei diritti dei titolari dei dati, una volta inserita nel contesto legislativo Statunitense, dove alcune disposizioni consentono ai vari organismi di sicurezza di acquisire i dati personali importati dall’esterno elidendo completamente le garanzie poste dalle clausole contrattuali finalizzate alla tutela dei diritti dei titolari dei dati.
Di conseguenza, il giudizio di inadeguatezza del Garante non ha colpito la clausola contrattuale negoziata con Google, quanto il comportamento di Caffeina Media nell’omettere una verifica in concreto della sua efficacia.
GDPR: PRINCIPI GENERALI PER I TRASFERIMENTI TRANSFRONTALIERI
L’art. 40 del GDPR pone 2 principi generali in tema di trasferimento dei dati personali:
- un principio generale di libera circolazione dei dati personali all’interno della UE (dove il territorio in oggetto non è esattamente quello della UE ma quello dello Spazio Economico Europeo composto dalla UE e dai territori di Norvegia, Islanda e Liechtenstein);
- un principio generale di circolazione controllata dei dati personali al di fuori del predetto territorio europeo.
Devono essere fatte alcune precisazioni: i trasferimenti presi in considerazione coincidono con i trasferimenti verso un paese terzo o una organizzazione internazionale, ma anche con i trasferimenti successivi da quel paese terzo/quella organizzazione internazionale a un altro paese terzo/altra organizzazione internazionale.
COSA FA GOOGLE CON ANALYTICS?
Google offre ai titolari dei vari siti web un servizio di analisi statistica sulla navigazione, trattando i dati di coloro che visitano tali siti.
Questo significa che Google in realtà tratta per le sue finalità (offrire il servizio di analisi statistica della navigazione) e con i suoi mezzi (hardware e software) i dati personali di coloro che visitano i siti web delle entità che, gratuitamente o a pagamento, si appoggiano ad Analytics.
Questa è la descrizione di un titolare del trattamento a tutti gli effetti, non di un responsabile: ciò potrebbe voler dire che tutte le richieste di cancellazione dei dati che sono state e saranno indirizzate ai soggetti titolari dei siti web a causa di Analytics potrebbero essere state o saranno mal indirizzate, poiché in realtà il corretto destinatario delle medesime potrebbe/dovrebbe essere Google.
Quello che è certo è che questa ricostruzione alternativa dei rapporti è coerente con le problematiche nel porre in essere la cancellazione dei dati sopra descritte.
IL NOSTRO PUNTO DI VISTA
Possiamo di conseguenza affermare che un titolare del trattamento particolarmente coscienzioso farebbe bene a ricomprendere nel concetto di trasferimento transfrontaliero, non solo il trasferimento quanto tale ma anche la mera comunicazione transfrontaliera del dato personale.
Va da sé che il titolare del trattamento deve indicare ogni trasferimento di dati personali nel registro dei trattamenti.
L’articolo 46 del GDPR prevede come regola di ordine generale che il titolare e il responsabile del trattamento possa effettuare trasferimenti transfrontalieri di dati personali verso un paese terzo/una organizzazione internazionale, laddove abbia fornito garanzie adeguate, e a condizione che i titolari dei dati da trasferire dispongano di diritti azionabili e di mezzi di ricorso effettivi.
Sono considerate garanzie adeguate, che non necessitano di una verifica da parte del Garante:
- uno strumento giuridicamente vincolante, dotato di efficacia esecutiva tra autorità o organismi pubblici;
- le norme vincolanti d’impresa oggetto dell’art. 42 del GDPR;
- le clausole tipo di protezione dei dati personali messe a punto dalla Commissione Europea;
- le clausole tipo di protezione dei dati personali messe a punto dai Garanti nazionali e approvate dalla Commissione Europea;
- un codice di condotta associato all’impegno dotato di efficacia vincolante ed esecutiva, assunto dal titolare/responsabile del trattamento nel paese terzo, ad applicare garanzie adeguate anche con riferimento alla tutela dei diritti dei titolari dei dati;
- un meccanismo di certificazione approvato ai sensi dell’art. 42 del GDPR, di nuovo associato all’impegno da parte del titolare/responsabile del trattamento nel paese terzo ad applicare garanzie adeguate anche con riferimento alla tutela dei diritti dei titolari dei dati.
I sei strumenti appena elencati si distinguono per non avere bisogno di una omologazione da parte dei vari Garanti nazionali onde essere considerati garanzie adeguate.
- le clausole contrattuali tra il titolare/responsabile del trattamento e il titolare/responsabile del trattamento ovvero il destinatario dei dati personali nel paese terzo/organizzazione internazionale (queste clausole sono proprio lo strumento che il Garante non ha ritenuto possedere una garanzia adeguata a legittimare il trasferimento dei dati negli USA nel caso di Caffeina Media);
- le norme da inserire negli accordi amministrativi tra autorità/organismi pubblici che prevedono diritti effettivi ed azionabili dai titolari dei dati personali.
La soluzione potrebbe essere la seguente: Caffeina Media e Google sono in rapporto di co-titolarità del trattamento: entrambi ne determinano le finalità (per Caffeina godere del servizio di statistica di navigazione, per Google offrirlo), uno di essi (Google) mette a disposizione i mezzi (hardware e software) strumentali al medesimo, mentre l’altro (Caffeina) mette a disposizione i dati di chi naviga il suo sito.
Se questa ricostruzione si affermasse, le richieste di cancellazione dovrebbero essere indirizzate sia ai vari titolari dei siti web, sia a Google, ma sarebbe comunque solo quest’ultima ad avere le capacità tecniche necessarie ad assecondarla.
E tu cosa pensi a riguardo? Scrivilo nei commenti oppure, se ha necessità di ulteriori informazioni, scrivici all’indirizzo info@abinnovationconsulting.com.
