L’autorità austriaca per la protezione dei dati (“Datenschutzbehörde” o DSB) ha stabilito che i fornitori di siti web austriaci che utilizzano Google Analytics violano il GDPR.
La sentenza risale a una decisione presa nel 2020 dalla Corte di giustizia dell’Unione europea (CGUE) nota come “Schrems II” che ha segnato la fine del Privacy Shield – un accordo che consentiva il trasferimento dei dati dell’UE a società statunitensi certificati – secondo la quale i servizi cloud ospitati negli Stati Uniti non sono in grado di rispettare il GDPR e le leggi sulla privacy dell’UE.
Il 14 agosto 2020, un utente di Google aveva effettuato l’accesso a un sito Web austriaco che trattava di problemi di salute. Questo sito web utilizzava Google Analytics e i dati sull’utente furono trasmessi a Google. Sulla base di questi dati, Google è stato in grado di identificare l’utente. Il 18 agosto 2020, l’utente di Google ha presentato un reclamo all’autorità austriaca per la protezione dei dati con la collaborazione di una organizzazione no-profit: NOYB.
Il tribunale austriaco ha dichiarato adesso illegale questo trasferimento di dati.
Gli utenti di Google possono, teoricamente, agire su un’impostazione del loro account per proibire a Google di valutare in dettaglio il loro utilizzo di siti web di terze parti. Ma già il fatto che questa funzione esista, è la prova che Google è in grado di risalire all’individuo a partire dai suoi dati di utilizzo.
Molte aziende in Europa devono ora chiedersi se rimuovere Google Analytics dai loro siti web o rischiare una sanzione per aver violato il GDPR. A lungo termine, ci saranno due opzioni: o gli Stati Uniti cambiano le loro leggi sulla sorveglianza per supportare le loro attività tecnologiche, o i fornitori statunitensi dovranno ospitare i dati degli utenti europei Europa.
Se c’è una cosa da imparare da questo caso, è che ignorare le sentenze del tribunale e continuare a utilizzare Google Analytics non è un’opzione praticabile.
Rimuovere Google Analytics non significa che si debba rinunciare del tutto all’analisi del sito web. Esistono oggi diverse alternative praticabili. Ad esempio, Matomo è una potente piattaforma open source di analisi web che offre il 100% di proprietà dei dati e conformità al GDPR.
Come azienda europea, diventa molto rischioso affidare i dati sensibili degli utenti a società come Google che ignorano deliberatamente la legislazione europea sulla privacy e mettono i loro clienti commerciali europei a rischio di pesanti multe. (Le multe contro il sito web austriaco sulla salute nel caso discusso verranno decise successivamente).