Nella sezione "opinioni", Engage ospita degli approfondimenti realizzati da affermati professionisti del digitale e della comunicazione, dedicati ai temi caldi del mercato. In questo articolo firmato da Jakob Bak, SVP & Co-Founder Adform, che vede contributi anche di Anders Pilgaard Andersen Senior Vice President, General Counsel Adform e di Elena Turtureanu, Senior Compliance Director, Legal & Privacy Adform, si affrontano i risvolti delle sentenze europee sulla violazione del GDPR
Molteplici e recenti sentenze delle Autorità di protezione dei dati personali dei Paesi UE hanno confermato violazioni delle norme del GDPR da parte di Google Analytics, poiché la raccolta e il trasferimento negli USA di informazioni private come indirizzi IP, cookie e identificatori online, sono compiuti in modo illegale e in violazione dell'articolo 44 del regolamento. In altre parole, l’invio di dati personali verso gli Stati Uniti non è stato adeguatamente protetto dalle leggi di sorveglianza del governo statunitense. Questo non rappresenta solo una sfida per le molteplici imprese che utilizzano Google Analytics, ma anche per tutte quelle che collaborano con piattaforme adtech e martech con sede negli USA, in quanto sostanzialmente seguono lo stesso comportamento.
Una tappa fondamentale di questa vicenda è il 13 gennaio di quest’anno, quando l’Autorità per la protezione dei dati austriaca ha sancito che l’uso di Google Analytics viola il GDPR. Una posizione che ha fatto notizia anche se a dire il vero una settimana prima l’EDPB – European Data Protection Board, che rappresenta le authority degli stati dell’Unione - aveva contestato al parlamento europeo casi di violazione del GDPR anche in relazione all’uso di Google Analytics.
Dopo l’Austria, si sono susseguite comunicazioni analoghe da parte degli organi competenti olandesi, danesi e francesi. Le pronunce hanno generalmente sostenuto che l'assetto esistente, in cui i dati dei cittadini europei sono raccolti, trasferiti e conservati negli Stati Uniti, è in violazione del GDPR, poiché il governo USA ha la capacità di accedere alle informazioni dei cittadini europei in base alle leggi di sorveglianza in vigore. Le misure supplementari (tecniche, legali e organizzative) nei casi in questione sono state considerate insufficienti per impedire l'accesso del governo degli Stati Uniti.
Anders Pilgaard Andersen, Senior Vice President, General Counsel di Adform (nella foto qui sotto), spiega come questi recenti sviluppi impongano riflessioni da parte di tutta l'industry pubblicitaria.
“Il verdetto contro Google Analytics basato sulla sentenza Schrems II rappresenta una sfida enorme per le aziende che utilizzano piattaforme adtech e martech con sede negli Stati Uniti. Qualsiasi sistema che, al pari di Google Analytics, elabora i dati dei cookie degli utenti europei, è probabilmente coinvolto: la DPA francese ha dichiarato che il suo verdetto ‘si estende ad altri strumenti utilizzati da siti che comportano il trasferimento di dati di utenti internet europei negli Stati Uniti’. La DPA danese ha fatto sapere che altri casi saranno presto esaminati in tutta l'UE e che ce ne sarebbero circa un centinaio ancora in sospeso.
In passato UE e USA hanno gestito e risolto la questione attraverso, l’attualmente non più valido accordo Privacy Shield, e mentre tutti si augurano una soluzione simile, sembra che la tolleranza delle Autorità continentali in relazione a pratiche di accesso ai dati dei suoi cittadini si sia ridotta. Il rapido sviluppo dell’ambito regolatorio in Europa, che appare coordinato e allineato, così come la breve finestra di un mese imposta dalla Francia per conformarsi, non lascia alle imprese molto tempo per agire.
Dal 25 marzo scorso si è aperto lo spiraglio di un nuovo accordo per la protezione dei dati che regoli il trasferimento dei dati personali tra le due sponde dell'Atlantico. Ad annunciarlo Ursula von der Leyen, presidente della Commissione Europea, e Joe Biden, presidente degli Stati Uniti. Al momento si tratta di un'intesa, o meglio di una dichiarazione di intenti politica, per risolvere l’impasse introdotta dalla Corte di Giustizia dell'Unione Europea che ha invalidato il Privacy Shield che regolamentava lo scambio di dati transatlantico.
Nella realtà siamo ancora lontani dall’aver siglato un accordo concreto e approvato, soprattutto, a causa della struttura delle leggi federali di sorveglianza degli Stati Uniti e del tempo necessario a introdurre cambiamenti a livello federale negli Stati Uniti. In un tale contesto, sia l'UE sia la Corte di Giustizia Europea richiedono l’introduzione di garanzie nelle leggi per proteggere i dati europei degli utenti e non è ancora noto come potranno essere adottate in futuro.
Siamo quindi nel mezzo di una sfida molto importante e dagli imminenti risvolti per molte piattaforme adtech, perché occorre anche tenere in considerazione la recente sentenza dell’Autorità belga per la protezione dei dati su IAB Europe e il suo Transparency & Consent Framework (TCF). Nonostante tale pronuncia restituisca alcune incertezze e criticità riguardanti il ruolo di IAB come data controller (va sottolineato che IAB Europe ha deciso di appellarsi al pronunciamento), presenta anche aspetti incoraggianti. Per molti inserzionisti, agenzie, tech vendor ed editori, infatti, si tratta di un passo avanti atteso da tempo affinché il TCF diventi un codice di condotta per l'industria della pubblicità online riconosciuto dall'UE. Il costante lavoro di IAB Europe per rendere il TCF il primo sigillo di certificazione o codice di condotta del GDPR ai sensi degli art. 41 e 42 dello stesso regolamento, rappresenta una grande iniziativa per il comparto e garantirebbe maggiore trasparenza a tutte le parti interessate, dagli utenti agli inserzionisti, fino ai fornitori di tecnologia e agli editori”.
Panoramica degli ultimi casi
Non c’è solo la già citata pronuncia del 13 gennaio dell’Österreichische Datenschutzbehörde, autorità austriaca di protezione dei dati. Lo stesso giorno l’omologa olandese Autoriteit Persoonsgegeven ha rilasciato un comunicato stampa in cui sosteneva che le aziende UE avrebbero dovuto astenersi dall’uso di Google Analytics, aggiungendo che ‘l'utilizzo di Google Analytics potrebbe presto non essere più consentito’.
Successivamente, in Francia una decisione pubblicata il 10 febbraio dalla Commission Nationale de L’informatique et des Libertes (CNIL) ha ordinato alla proprietà di un sito web di cessare l’utilizzo di Google Analytics, definendola pratica illegale.
Anche l’Autorità danese di protezione dati ha recentemente emesso una decisione contro un grande editore locale per aver continuato a utilizzare Google Analytics.
Le conseguenze
Con l'obiettivo di fare ulteriore chiarezza, Elena Turtureanu, Senior Compliance Director, Legal & Privacy di Adform, afferma: “queste decisioni hanno in comune due punti: primo, la portata dei dati trasferiti irregolarmente come gli indirizzi IP troncati, gli identificatori online e i dati complementari associati a questi identificatori e, secondo, le contromisure accessorie, siano legali, contrattuali, organizzative o tecniche, che non sono 'sufficienti a escludere l'accessibilità di questi dati da parte dei servizi segreti americani'. Dall'introduzione del GDPR - e più precisamente da quando il Privacy Shield è stato invalidato con la delibere Max Schrems II - sono emerse diverse speculazioni sugli impatti per le aziende europee che utilizzano i servizi tecnologici con sede/domicilio/proprietà negli Stati Uniti. La domanda più frequente è se le clausole contrattuali standard siano sufficienti per permettere l'uso continuo di piattaforme tecnologiche statunitensi che conservano i dati nel Paese. La decisione dell’Autorità austriaca, e quelle successive, mandano un chiaro messaggio: l'uso di piattaforme tecnologiche statunitensi è diventato più difficile e forse addirittura impossibile.
Le aziende che operano in Europa e raccolgono dati sui propri clienti, devono ora considerare se valga la pena di continuare a sfruttare i servizi delle piattaforme con sede negli Stati Uniti. Come sempre, settori e comparti altamente regolamentati e con un'elevata attenzione alla compliance, come per esempio le società finanziarie, le telco e aziende simili, stanno già ragionando sulle decisioni strategiche da intraprendere in base a questi ultimi sviluppi. Tuttavia, anche alla luce del nuovo accordo USA-UE (anche se ancora solo a livello politico) va sottolineato che imprese, organizzazioni ed enti che fanno affari a livello internazionale devono prendere in considerazione soluzioni di archiviazione ed elaborazione dei dati localizzate; inoltre è necessario ripensare a come operare a livello globale in presenza di attività di trattamento dei dati più che mai intrecciate. In poche parole, occorre puntare sui vantaggi dei fornitori di servizi e piattaforme con progettazione e infrastruttura che permettono l'elaborazione dei dati all'interno dell'UE, oltre al fatto non secondario, che sono sottoposti a giurisdizione non statunitense”.