Smetti di usare Google Analytics, avverte il garante della privacy svedese, in quanto emette multe per oltre 1 milione di dollari

L'autorità svedese per la protezione dei dati ha emesso un paio di multe in relazione alle esportazioni di dati degli utenti europei tramite Google Analytics, che ha riscontrato violare il regolamento sulla privacy del blocco a causa dei rischi posti dalla sorveglianza del governo statunitense.
Ha anche messo in guardia altre società dall'uso dello strumento di Google.
Le multe – poco più di $ 1,1 milioni per la società di telecomunicazioni svedese Tele2 e meno di $ 30.000 per il rivenditore online locale CDON – sono notevoli in quanto sono le prime di questo tipo a seguito di una serie di reclami sulla privacy strategica contro Google Analytics (e Facebook Connect) nell'agosto 2020.
L'autorità di regolamentazione ha ritenuto che le cosiddette misure supplementari applicate da Google ai dati degli utenti europei inviati negli Stati Uniti per l'elaborazione non fossero sufficienti per elevare il livello di protezione allo standard legale richiesto.
Compreso l'uso da parte di Google del troncamento dell'indirizzo IP (una misura di anonimizzazione) poiché, nel caso Tele2, ha affermato che la società non ha chiarito se il troncamento sia stato eseguito prima o dopo il trasferimento dei dati negli Stati Uniti, quindi non è riuscita a dimostrare che ci sia " nessun potenziale accesso all'intero indirizzo IP prima che l'ultimo ottetto venga troncato”.
Il watchdog ha anche riscontrato violazioni delle norme del regolamento generale sulla protezione dei dati (GDPR) del blocco sui trasferimenti verso paesi terzi nel caso dell'uso di Google Analytics da parte di altre due società, Coop e Dagens Industries, ma non ha emesso multe in quei casi.
“Nei suoi audit, IMY [il DPA svedese] ritiene che i dati trasferiti negli Stati Uniti tramite lo strumento statistico di Google siano dati personali perché i dati possono essere collegati ad altri dati univoci che vengono trasferiti.
L'autorità conclude inoltre che le misure tecniche di sicurezza che le società hanno adottato non sono sufficienti per garantire un livello di protezione sostanzialmente corrispondente a quello garantito all'interno dell'UE/SEE", ha scritto il regolatore in una nota.
“Tutte e quattro le società hanno basato le loro decisioni sul trasferimento di dati personali tramite Google Analytics su clausole contrattuali standard.
Dagli audit di IMY risulta che nessuna delle misure di sicurezza tecniche aggiuntive delle società è sufficiente.
IMY emette una sanzione amministrativa di 12 milioni di corone svedesi contro Tele2 e 300.000 corone svedesi contro CDON, che non ha adottato le stesse ampie misure protettive di Coop e Dagens Industri.
Tele2 ha recentemente smesso di utilizzare di propria iniziativa lo strumento di statistica.
IMY ordina alle altre tre società di smettere di utilizzare lo strumento.
Nel post sul blog – intitolato "Le aziende devono smettere di usare Google Analytics" – il regolatore ha aggiunto che le quattro decisioni dovrebbero essere trattate come una guida, sottolineando ciò che ha espresso come implicazioni più ampie.
L'anno scorso un certo numero di autorità di protezione dei dati dell'Unione europea, compresi i watchdog francese e italiano, hanno messo in guardia contro l'uso dello strumento di analisi di Google dopo aver riscontrato che un certo numero di utenti non rispettava le regole del blocco sui trasferimenti internazionali di dati.
Tuttavia, altri regolatori non hanno emesso sanzioni finanziarie, secondo la ONG noyb, che era alla base dei reclami originali, apparentemente favorendo un approccio più morbido per far rispettare il GDPR agli utenti di uno strumento così familiare nonostante lo stesso problema di trasferimento dei dati alla base di tutti.
I 101 reclami strategici originali di noyb hanno preso di mira una varietà di siti Web in tutta Europa che utilizzano Google Analytics o servizi Facebook simili sulla scia di una sentenza storica della Corte di giustizia dell'Unione europea nel luglio 2020 che ha invalidato un accordo di trasferimento di dati UE-USA chiamato Privacy Shield solo pochi anni dopo aver abbattuto il suo predecessore, Safe Harbor.
L'UE e gli Stati Uniti stanno finalizzando un terzo accordo sul trasferimento dei dati, denominato EU-US Data Privacy Framework, che dovrebbe essere completato entro la fine del mese e, almeno a breve termine, solleverà l'incertezza giuridica che è ha offuscato i trasferimenti di dati UE-USA da quando la CGUE ha colpito.
Detto questo, sono previste sfide legali al quadro in arrivo e varie istituzioni europee hanno espresso preoccupazione per il fatto che gli aspetti dell'accordo rinegoziato non vanno abbastanza lontano per rispondere alle preoccupazioni dei giudici.
Quindi resta da vedere se sarà la terza volta fortunata per una soluzione di alto livello allo scontro tra i diritti alla privacy dell'UE e le pratiche di sorveglianza degli Stati Uniti.
In una dichiarazione che commenta la decisione del watchdog svedese di emettere le prime sanzioni per l'uso illegale di Google Analytics, Marco Blocher di noyb, un avvocato per la protezione dei dati, ha dichiarato: “Siamo molto felici dell'ulteriore chiarimento da parte del DPA svedese.
È anche importante vedere che ci sono multe: è l'unico modo per convincere altre società a conformarsi ".
Google è stato contattato per commentare le decisioni del DPA.
Il garante della privacy francese ha scoperto per ultimo che Google Analytics viola le violazioni del GDPR I deputati al Parlamento europeo sollevano preoccupazioni per la bozza di accordo sul trasferimento dei dati UE-USA