Dopo la decisione del Datenschutzbehörde (DSB) pubblicata il 13 gennaio da NOYOB anche la Commission Nationale de l’Informatique et des Libertés (CNIL) ha dichiarato, oggi 10 febbraio, che l’utilizzo di Google Analytics (GA) viola la disciplina sui trasferimenti di dati personali al di fuori dell’Unione Europea di cui all’art. 44 del GDPR.
Il Garante francese, in linea con l’autorità austriaca, fa seguito alla sentenza “Schrems II” con cui la Corte di Giustizia aveva ritenuto la normativa statunitense non adeguata rispetto alle garanzie richieste da quella europea, in ragione della carenza di strumenti legislativi idonei ad assicurare un’adeguata protezione dei dati personali dei cittadini europei.
Google, che aveva dichiarato pubblicamente che i dati degli interessati trasferiti tramite GA negli Stati Uniti erano adeguatamente protetti, è stata nuovamente smentita in ragione della sempre più nota Section § 702 del FOIA, che permette alle agenzie governative di avere accesso ai database privati di società americane per questione di sicurezza nazionale.
Tuttavia, è opportuno osservare che la CNIL non ha dichiarato l’illiceità dei servizi di GA in sé, bensì il mero trasferimento di dati personali, affermando che il trasferimento negli Stati Uniti potrà continuare qualora abbia ad oggetto i soli dati statistici anonimi.
Quanto sopra d’altro canto deve essere letto alla luce della pronuncia del DSB. Secondo il garante austriaco, l’indirizzo IP, da cui vengono cancellate (da Google stessa) le ultime quattro cifre, non sarebbe anonimo – ma solo pseudonimizzato – poiché tale informazione potrebbe essere sufficiente ad effettuare il single-out di un utente qualora fosse combinata con altri dati detenuti da Google.
Logica conseguenza di tale ragionamento è dunque l’applicazione del GDPR e delle garanzie per il trasferimento dei dati di cui all’art. 46, al momento incompatibili con la Section § 702 del FOIA.
Nel caso in questione la CNIL ha proposto di cessare l’utilizzo di GA sul sito e consigliato l’uso di strumenti di analisi alternativi che non comportino un trasferimento verso gli Stati Uniti.
Inoltre, l’autorità ha avviato un programma di valutazione per determinare quali soluzioni di misurazione e analisi del pubblico dei siti web possano essere adottate in assenza di un consenso è ragionevole aspettarsi che l’Autorità francese possa rilasciare, nel prossimo futuro, una propria guida con cui tracci un primo perimetro per l’utilizzo in compliance dei servizi di tracciamento GA e affini.
In conclusione, in assenza di una decisione adottata dalla Commissione europea che dichiari l’adeguatezza dell’ordinamento statunitense, il trasferimento di dati verso gli USA può essere realizzato solo in presenza di tangibili garanzie adeguate, ai sensi dell’art. 46 del GDPR, le quali, però, quando presentate – sia da Google che da altri operatori- sono state qualificate non compliant alla normativa europea.
A cura dell’Avv. Giovanni Di Stefano e del Dott. Emiliano Guerreschi
All’indomani della chiusura dei lavori del Security Summit tenutosi a Milano, un breve contributo sulla situazione nazionale in tema di cybersicurezza alla luce dei dati del Rapporto Clusit 2024 sulla sicurezza ICT in Italia e del Rapporto annuale sull’evoluzione della cybersecurity, realizzato da Assintel – Confcommercio.
La normativa in materia di whistleblowing pone al 17 dicembre 2023 la seconda scadenza per l’adeguamento, termine ultimo che interessa le PMI. Nel contributo si effettua una panoramica degli enti interessati e delle attività che è necessario vengano realizzate ai fini della compliance.
L’Italia è da sempre conosciuta in tutto il mondo per le proprie eccellenze alimentari. Il settore agroalimentare si è rivelato essere una delle principali industry dell’economia italiana. Perciò, il Governo italiano è intervenuto per supportare il primato mediante il DDL Made in Italy. Quest’ultimo prevede molteplici misure volte ad intensificare il sistema sanzionatorio nell’ambito della lotta alla contraffazione e ad agevolare le modalità d’investimento.
In un momento storico in cui i canoni degli affitti aumentano vertiginosamente anche a causa del fenomeno del Fast Tourism, il legislatore italiano tenta di individuare una soluzione regolamentando gli affitti brevi. Tale proposta di intervento normativo, tuttavia, non ha incontrato il favore delle associazioni competenti del mondo immobiliare e turistico, i quali affermano che sia lesiva sul piano del diritto di proprietà.
La partita sul tema resta ancora aperta e nell’articolo si analizzano i punti principali e le critiche della proposta di legge.
SAPG è uno studio legale internazionale con solide basi tradizionali orientato alla continua innovazione