3 Febbraio 2022

Google Analytics viola il GDPR ? Google Analytics illegale in Europa ?

DSB austriaco: l’uso di Google Analytics viola la decisione “Schrems II” della CGUE.

Google Analytics è uno dei servizi più diffusi e popolari del web: è utilizzato da quasi tutti i siti web, e anche il social network Facebook (un miliardo di utenti) si affida ad esso. Ma come può garantire il rispetto delle nuove normative europee sulla protezione dei dati?

L’anno scorso Google ha aggiornato la sua Privacy Policy per adeguarsi al GDPR: in particolare, ha implementato un nuovo strumento per far sapere quali dati vengono raccolti e come vengono utilizzati. Le informazioni sono ora più dettagliate ed esplicite.

Google Analytics, tuttavia, non rispetterebbe le norme europee sul trasferimento dei dati, considerando insufficienti le misure tecniche, organizzative e contrattuali adottate da Google: la questione si contestualizza nelle attività successive alla sentenza Schrems II che ha dichiarato illegittimo l’accordo Privacy Shield tra Bruxelles e Washington.

Per lo stesso motivo, il GEPD ricorda che Google Analytics deve essere considerato un “processore” ai sensi dell’articolo 28 del GDPR, ma sottolinea anche che ciò non significa che sia soggetto a tutte le disposizioni di tale regolamento. Infatti, se una società desidera trattare i dati personali per conto di un’altra entità (in questo caso Google), allora deve assicurare che ci siano garanzie appropriate per una protezione adeguata di tali dati (articoli 32-36).

Sulla scia di questa decisione, le autorità austriache hanno chiesto a Google di conformarsi alle disposizioni del regolamento generale sulla protezione dei dati (GDPR) adottato nel 2018, in modo che gli utenti possano ottenere accesso, rettifica o cancellazione e portabilità dei dati.

A tal fine, Google ha dovuto fornire una copia di tutti i dati trattati per conto di ogni utente.

L’autorità DSB ha già pubblicato un primo rapporto di ispezione sull’argomento. Le conclusioni sono devastanti per Google, che non rispetterebbe le regole europee sul trasferimento dei dati. Infatti, il GEPD ricorda che la sentenza Schrems II ha dichiarato invalido l’accordo “Privacy Shield” tra l’UE e gli Stati Uniti in materia di trasferimenti di dati personali. Il GEPD invita quindi Google a compiere ulteriori sforzi per conformarsi alle norme europee.

Cos’è il Privacy Shield e quando è stato abolito ?

Lo scudo per la privacy GDPR è un accordo che ci permette di inviare i vostri dati negli Stati Uniti.

Lo scudo per la privacy GDPR è un nuovo quadro per i flussi di dati transatlantici tra gli Stati Uniti e l’UE. È “scudo per la privacy” perché protegge i dati personali quando vengono inviati dall’UE alle aziende statunitensi. L’accordo sostituisce un vecchio quadro, chiamato “safe harbor”, che è stato utilizzato da migliaia di aziende statunitensi dal 2000. safe harbor è stato abolito perché non era abbastanza forte nel proteggere le informazioni.

Lo scudo per la privacy GDPR funziona diversamente da safe harbor. Utilizza poteri di applicazione più forti e politiche più severe per le aziende americane che gestiscono i dati dei cittadini dell’UE. Questo farà in modo che le tue informazioni personali siano gestite bene e utilizzate solo per motivi legali.

Lo scudo per la privacy GDPR è entrato in vigore il 12 luglio 2016, ma da allora è stato controverso. Nel settembre 2017, i regolatori della privacy dell’UE hanno deciso che l’accordo non è abbastanza forte nel proteggere le informazioni delle persone. Hanno detto che avrebbero agito per sospendere l’accordo se non fossero stati fatti più cambiamenti entro settembre 2018.

Quali sono i rischi e le sanzioni per chi non rispetta il GDPR ?

In primis bisogna ragionare nell’ottica che se esistono violazioni è probabile che ci possano essere ripercussioni e sanzioni.
Ad esempio ecco una recente lista di avvenimenti:
9 giugno 2021: Garante Privacy italiano blocca l’app IO di PagoPA Spa anche per esportazione dati fuori EU (utilizzando anche Google Cloud a prescindere dalla location server in Europa o negli USA).
15 dicembre 2021: blocco esportazione dati extra EU in Germania per uso tecnogia USA nella filiera di servizio per la gestione consenso ai cookie.
22 dicembre 2021: in Austria il Garante blocca Analytics di Google ritenendo vada contro il GDPR per la stessa ragione.
A distanza di 1.5 anni dal 16 luglio 2020, data in cui la Corte di Giustizia Europea invalidava il Privacy US Shield, le aziende europee, ancora largamente non hanno capito l’andazzo.

Il GDPR è un grosso problema. Infatti, le multe possono essere enormi – fino al 4% delle entrate annuali globali di un’azienda o 20 milioni di euro, a seconda di quale sia il maggiore. Non vuoi rischiare di violare il GDPR, il che significa che devi sapere cosa dice e come si applica alla tua azienda.

Il regolamento generale sulla protezione dei dati (GDPR) è un regolamento con cui gli stati membri dell’Unione Europea stabiliscono standard comuni di protezione dei dati per i cittadini europei per quanto riguarda la raccolta dei dati personali. Regola anche l’esportazione dei dati personali al di fuori dell’UE.

 

 

Hai dei dubbi? Non sai da dove iniziare? Contattaci !

Abbiamo tutte le risposte alle tue domande per aiutarti nella giusta scelta.

Chatta con noi

Chatta direttamente con il nostro supporto prevendita.

0256569681

Contattaci telefonicamente negli orari d’ufficio 9:30 – 19:30

Contattaci online

Apri una richiesta direttamente nell’area dei contatti.

INFORMAZIONI

Managed Server S.r.l. è un player italiano di riferimento nel fornire soluzioni avanzate di sistemistica GNU/Linux orientate all’alta performance. Con un modello di sottoscrizione dai costi contenuti e prevedibili, ci assicuriamo che i nostri clienti abbiano accesso a tecnologie avanzate nel campo dell’hosting, server dedicati e servizi cloud. Oltre a questo, offriamo consulenza sistemistica su sistemi Linux e manutenzione specializzata in DBMS, IT Security, Cloud e molto altro. Ci distinguiamo per l’expertise in hosting di primari CMS Open Source come WordPress, WooCommerce, Drupal, Prestashop, Joomla, OpenCart e Magento, affiancato da un servizio di supporto e consulenza di alto livello adatto per la Pubblica Amministrazione, PMI, ed aziende di qualsiasi dimensione.

Red Hat, Inc. detiene i diritti su Red Hat®, RHEL®, RedHat Linux®, e CentOS®; AlmaLinux™ è un marchio di AlmaLinux OS Foundation; Rocky Linux® è un marchio registrato di Rocky Linux Foundation; SUSE® è un marchio registrato di SUSE LLC; Canonical Ltd. detiene i diritti su Ubuntu®; Software in the Public Interest, Inc. detiene i diritti su Debian®; Linus Torvalds detiene i diritti su Linux®; FreeBSD® è un marchio registrato di The FreeBSD Foundation; NetBSD® è un marchio registrato di The NetBSD Foundation; OpenBSD® è un marchio registrato di Theo de Raadt. Oracle Corporation detiene i diritti su Oracle®, MySQL®, e MyRocks®; Percona® è un marchio registrato di Percona LLC; MariaDB® è un marchio registrato di MariaDB Corporation Ab; REDIS® è un marchio registrato di Redis Labs Ltd. F5 Networks, Inc. detiene i diritti su NGINX® e NGINX Plus®; Varnish® è un marchio registrato di Varnish Software AB. Adobe Inc. detiene i diritti su Magento®; PrestaShop® è un marchio registrato di PrestaShop SA; OpenCart® è un marchio registrato di OpenCart Limited. Automattic Inc. detiene i diritti su WordPress®, WooCommerce®, e JetPack®; Open Source Matters, Inc. detiene i diritti su Joomla®; Dries Buytaert detiene i diritti su Drupal®. Amazon Web Services, Inc. detiene i diritti su AWS®; Google LLC detiene i diritti su Google Cloud™ e Chrome™; Microsoft Corporation detiene i diritti su Microsoft®, Azure®, e Internet Explorer®; Mozilla Foundation detiene i diritti su Firefox®. Apache® è un marchio registrato di The Apache Software Foundation; PHP® è un marchio registrato del PHP Group. CloudFlare® è un marchio registrato di Cloudflare, Inc.; NETSCOUT® è un marchio registrato di NETSCOUT Systems Inc.; ElasticSearch®, LogStash®, e Kibana® sono marchi registrati di Elastic N.V. Hetzner Online GmbH detiene i diritti su Hetzner®; OVHcloud è un marchio registrato di OVH Groupe SAS; cPanel®, L.L.C. detiene i diritti su cPanel®; Plesk® è un marchio registrato di Plesk International GmbH; Facebook, Inc. detiene i diritti su Facebook®. Questo sito non è affiliato, sponsorizzato o altrimenti associato a nessuna delle entità sopra menzionate e non rappresenta nessuna di queste entità in alcun modo. Tutti i diritti sui marchi e sui nomi di prodotto menzionati sono di proprietà dei rispettivi detentori di copyright. Ogni altro marchio citato appartiene ai propri registranti. MANAGED SERVER® è un marchio registrato a livello europeo da MANAGED SERVER SRL, Via Enzo Ferrari, 9, 62012 Civitanova Marche (MC), Italia.

Torna in alto