C'è stato uno sviluppo significativo nella vicenda Google Analytics 4, che ora è considerato legale in Europa a seguito della recente adozione del quadro sulla privacy dei dati UE-USA da parte della Commissione europea.
La notizia arriva tra gli avvertimenti dell'Autorità svedese per la protezione della privacy (IMY) sui potenziali rischi di sorveglianza associati a GA4.
Lo status legale di GA4 in Europa e l'avvertimento dell'IMY sono parti interconnesse di una narrazione globale più ampia sulla privacy dei dati, le normative sulla protezione e i trasferimenti di dati transatlantici.
Adozione del quadro sulla privacy dei dati UE-USA
La Commissione Europea ha ratificato il nuovo Data Privacy Framework UE-USA, affermando che gli Stati Uniti forniscono una protezione equivalente per i dati personali trasferiti dall'UE a quelli forniti all'interno dell'Unione.
Questa decisione consente la trasmissione sicura dei dati dall'UE alle società statunitensi coinvolte nel quadro senza la necessità di misure supplementari di protezione dei dati.
Il quadro introduce rigorose garanzie che affrontano le preoccupazioni sollevate in precedenza dalla Corte di giustizia europea. Queste salvaguardie limitano l'accesso dei servizi di intelligence statunitensi ai dati dell'UE, limitandolo a ciò che è essenziale e proporzionato e istituendo un tribunale per il riesame della protezione dei dati (DPRC). I cittadini dell'UE avranno accesso a questo tribunale.
Migliori tutele rispetto ai meccanismi precedenti
Il nuovo Framework offre miglioramenti significativi rispetto al precedente meccanismo di Privacy Shield. Ad esempio, se il DPRC determina che i dati sono stati raccolti violando le nuove garanzie, può ordinare la cancellazione di tali dati.
Le società statunitensi che importano dati dall'UE devono rispettare gli obblighi che integrano le nuove garanzie relative all'accesso del governo ai dati.
Il garante svedese della privacy mette in guardia contro Google Analytics
L'annuncio del nuovo Data Privacy Framework UE-USA coincide con gli avvertimenti emessi da IMY per le aziende che utilizzano GA4, citando preoccupazioni sui rischi di sorveglianza posti dal governo degli Stati Uniti.
L'indagine dell'autorità su quattro società svedesi ha rivelato violazioni del consenso del GDPR e dei requisiti di trasferimento dei dati, portando a sanzioni e ordini di interrompere l'utilizzo di Google Analytics.
3 parole che ogni inserzionista di Google Shopping deve conoscere
C'è una scienza perfetta per una campagna pubblicitaria Google Performance Max di successo. Copriamo i 3 componenti che devi conoscere: struttura, segnali, risorse.
In risposta alla decisione dell'IMY, Google ha sottolineato che Google Analytics non identifica né tiene traccia di individui specifici sul Web. La società ha affermato che gli editori di siti Web sono responsabili della conformità e dell'uso etico dei dati, mentre Google fornisce garanzie, controlli e risorse.
Dichiarazione del presidente della Commissione
La presidente della Commissione europea Ursula von der Leyen ha commentato:
“Il nuovo quadro sulla privacy dei dati UE-USA garantirà flussi di dati sicuri per gli europei e porterà certezza giuridica alle aziende su entrambe le sponde dell'Atlantico. Oggi compiamo un passo importante per dare fiducia ai cittadini che i loro dati sono al sicuro, per approfondire i nostri legami economici tra l'UE e gli Stati Uniti e allo stesso tempo per riaffermare i nostri valori condivisi".
Protocollo di conformità quadro per le società statunitensi
Le aziende statunitensi possono aderire al Framework impegnandosi a rispettare uno specifico insieme di obblighi in materia di privacy.
Questi includono l'eliminazione dei dati personali quando non sono più necessari per lo scopo originale e la garanzia di una protezione continua quando i dati vengono condivisi con terze parti.
I cittadini dell'UE avranno diverse vie di ricorso se le società statunitensi gestiscono in modo improprio i loro dati. Ciò include meccanismi di risoluzione delle controversie gratuiti e indipendenti e un collegio arbitrale.
Protezione dell'accesso ai dati trasferiti
Il quadro giuridico degli Stati Uniti fornisce diverse salvaguardie per quanto riguarda l'accesso ai dati da parte delle autorità pubbliche statunitensi. L'accesso ai dati è limitato a quanto necessario e proporzionato per proteggere la sicurezza nazionale.
I cittadini dell'UE avranno accesso a un meccanismo di ricorso indipendente e imparziale per quanto riguarda la raccolta e l'utilizzo dei loro dati da parte delle agenzie di intelligence statunitensi, compresa la neo costituita RPDC. Questo tribunale indagherà in modo indipendente e risolverà i reclami.
Queste salvaguardie faciliteranno flussi di dati transatlantici più generali in quanto si applicano quando i dati vengono trasferiti utilizzando altri strumenti, come clausole contrattuali standard e norme vincolanti d'impresa.
Passi futuri
L'adozione del Data Privacy Framework UE-USA e la sentenza della Commissione europea non rende irrilevanti le preoccupazioni sollevate dall'autorità svedese. I due eventi affrontano diversi aspetti della più ampia questione della privacy dei dati.
Il quadro sulla privacy dei dati UE-USA è progettato per garantire la protezione generale dei dati per i cittadini dell'UE quando i loro dati vengono trasferiti negli Stati Uniti. Fornisce garanzie e istituisce il tribunale per il riesame della protezione dei dati (DPRC).
Mentre il nuovo Framework dovrebbe migliorare la protezione dei dati, le singole aziende rimangono responsabili di garantire che le loro pratiche siano conformi al GDPR e ad altre normative pertinenti.
Anche con il nuovo Framework, le aziende devono rimanere vigili nella gestione delle proprie pratiche sulla privacy dei dati.
In sintesi
Sebbene l'EU-US Data Privacy Framework sia un passo significativo verso una migliore privacy dei dati, non risolve automaticamente problemi specifici relativi a singole società o servizi, come quelli sollevati dall'IMY su Google Analytics.
Il funzionamento del quadro sulla privacy dei dati UE-USA sarà soggetto a revisioni periodiche condotte dalla Commissione europea, dalle autorità europee per la protezione dei dati e dalle autorità statunitensi competenti. Il primo riesame è previsto entro un anno dall'attuazione della decisione di adeguatezza.