Google Analytics è uno dei servizi più diffusi e popolari del web: è utilizzato da quasi tutti i siti web, e anche il social network Facebook (un miliardo di utenti) si affida ad esso. Ma come può garantire il rispetto delle nuove normative europee sulla protezione dei dati?
L’anno scorso Google ha aggiornato la sua Privacy Policy per adeguarsi al GDPR: in particolare, ha implementato un nuovo strumento per far sapere quali dati vengono raccolti e come vengono utilizzati. Le informazioni sono ora più dettagliate ed esplicite.
Google Analytics, tuttavia, non rispetterebbe le norme europee sul trasferimento dei dati, considerando insufficienti le misure tecniche, organizzative e contrattuali adottate da Google: la questione si contestualizza nelle attività successive alla sentenza Schrems II che ha dichiarato illegittimo l’accordo Privacy Shield tra Bruxelles e Washington.
Per lo stesso motivo, il GEPD ricorda che Google Analytics deve essere considerato un “processore” ai sensi dell’articolo 28 del GDPR, ma sottolinea anche che ciò non significa che sia soggetto a tutte le disposizioni di tale regolamento. Infatti, se una società desidera trattare i dati personali per conto di un’altra entità (in questo caso Google), allora deve assicurare che ci siano garanzie appropriate per una protezione adeguata di tali dati (articoli 32-36).
Sulla scia di questa decisione, le autorità austriache hanno chiesto a Google di conformarsi alle disposizioni del regolamento generale sulla protezione dei dati (GDPR) adottato nel 2018, in modo che gli utenti possano ottenere accesso, rettifica o cancellazione e portabilità dei dati.
A tal fine, Google ha dovuto fornire una copia di tutti i dati trattati per conto di ogni utente.
L’autorità DSB ha già pubblicato un primo rapporto di ispezione sull’argomento. Le conclusioni sono devastanti per Google, che non rispetterebbe le regole europee sul trasferimento dei dati. Infatti, il GEPD ricorda che la sentenza Schrems II ha dichiarato invalido l’accordo “Privacy Shield” tra l’UE e gli Stati Uniti in materia di trasferimenti di dati personali. Il GEPD invita quindi Google a compiere ulteriori sforzi per conformarsi alle norme europee.
Cos’è il Privacy Shield e quando è stato abolito ?
Lo scudo per la privacy GDPR è un accordo che ci permette di inviare i vostri dati negli Stati Uniti.
Lo scudo per la privacy GDPR è un nuovo quadro per i flussi di dati transatlantici tra gli Stati Uniti e l’UE. È “scudo per la privacy” perché protegge i dati personali quando vengono inviati dall’UE alle aziende statunitensi. L’accordo sostituisce un vecchio quadro, chiamato “safe harbor”, che è stato utilizzato da migliaia di aziende statunitensi dal 2000. safe harbor è stato abolito perché non era abbastanza forte nel proteggere le informazioni.
Lo scudo per la privacy GDPR funziona diversamente da safe harbor. Utilizza poteri di applicazione più forti e politiche più severe per le aziende americane che gestiscono i dati dei cittadini dell’UE. Questo farà in modo che le tue informazioni personali siano gestite bene e utilizzate solo per motivi legali.
Lo scudo per la privacy GDPR è entrato in vigore il 12 luglio 2016, ma da allora è stato controverso. Nel settembre 2017, i regolatori della privacy dell’UE hanno deciso che l’accordo non è abbastanza forte nel proteggere le informazioni delle persone. Hanno detto che avrebbero agito per sospendere l’accordo se non fossero stati fatti più cambiamenti entro settembre 2018.
Quali sono i rischi e le sanzioni per chi non rispetta il GDPR ?
Il GDPR è un grosso problema. Infatti, le multe possono essere enormi – fino al 4% delle entrate annuali globali di un’azienda o 20 milioni di euro, a seconda di quale sia il maggiore. Non vuoi rischiare di violare il GDPR, il che significa che devi sapere cosa dice e come si applica alla tua azienda.
Il regolamento generale sulla protezione dei dati (GDPR) è un regolamento con cui gli stati membri dell’Unione Europea stabiliscono standard comuni di protezione dei dati per i cittadini europei per quanto riguarda la raccolta dei dati personali. Regola anche l’esportazione dei dati personali al di fuori dell’UE.
