La crittografia non è una misura adeguata se il fornitore dello strumento ha obblighi legali di fornire le chiavi crittografiche su richiesta. E le funzioni di anonimizzazione, come quella dell’indirizzo IP, non possono considerarsi misure adeguate se l’anonimizzazione avviene solo dopo che tutti i dati sono stati trasferiti al Paese terzo a cui fa riferimento la piattaforma digitale. Inoltre, nei casi in cui un incaricato del trattamento agisca come esportatore di dati per conto del responsabile del trattamento (il gestore del sito web), anche il responsabile del trattamento è responsabile e potrebbe essere chiamato a rispondere ai sensi del capitolo V del Gdpr e deve assicurarsi che l’incaricato del trattamento fornisca garanzie sufficienti ai sensi dell’articolo 28 del Gdpr. Queste le principali conclusioni a cui è giunta la Task Force 101 creata dall’European Data Protection Board (Edpb) dopo la sentenza “Schrems II“, per esaminare i reclami relativi al trasferimento dati personali negli Stati Uniti effettuato da siti che utilizzano Google Analytics e Facebook Business Tools.
I 101 reclami di Noyb
Il parere è stato messo nero su bianco in un report (SCARICA QUI IL DOCUMENTO) e le posizioni presentate nel presente documento sono il risultato del coordinamento delle Autorità di vigilanza che partecipano alla task force per la gestione dei “101 reclami” presentati da Noyb – l’European Centre for Digital Rights, organizzazione senza scopo di lucro con sede a Vienna fondata dall’avvocato Max Schrems – in merito agli strumenti Google Analytics e Facebook Business Tools e all’interpretazione delle disposizioni applicabili nell’ambito del Gdpr.
“Le posizioni non pregiudicano l’analisi che le Autorità di Vigilanza dovranno fare riguardo a ogni singolo caso e strumento interessato. In particolare, si deve tenere conto del fatto che le circostanze possono cambiare nel tempo, ad esempio, nel caso in cui gli strumenti cambino da un punto di vista tecnico o nel caso in cui cambi il quadro giuridico”, si legge nel paper in cui si puntualizza che le posizioni delle Autorità di vigilanza espresse nel rapporto non rappresentano la posizione dell’Edpb.
L’antefatto
Il 17 agosto 2020 101 reclami sono stati presentati alle autorità di vigilanza europee da Noyb in merito ai trasferimenti di dati personali verso gli Stati Uniti. I reclami riguardano l’implementazione degli strumenti Google Analytics e Facebook Business Tools su un sito web e il successivo trattamento dei dati personali che può derivare da tale implementazione. Durante la riunione plenaria del Comitato europeo per la protezione dei dati (Edpb) del 2 settembre 2020, è stato deciso di istituire una task force per garantire un approccio coerente alla gestione dei reclami. I membri della task force hanno focalizzato la loro analisi sul trattamento che dovrebbe essere conforme ai requisiti del Gdpr e che possono essere oggetto di cooperazione.
La valutazione sul trasferimento dei dati personali
In generale, prima di valutare la liceità dei trasferimenti di dati personali ai sensi del Capo V del Gdpr, i responsabili del trattamento devono assicurarsi che tutte le altre disposizioni del regolamento siano rispettate. Ad esempio, se un determinato strumento viene utilizzato per la raccolta di dati personali su un sito web senza una base giuridica ai sensi dell’articolo 6, paragrafo 1, del Gdpr, il trattamento dei dati è illegale, anche se non vi sono problemi con i requisiti del capitolo V del Gdpr.
Le clausole contrattuali
Tuttavia, a causa dell’oggetto del reclamo, la valutazione si limita alle questioni relative al capitolo V del Gdpr. I membri della task force hanno convenuto che non vi è conformità con il Capitolo V del Gdpr se il trasferimento si basa sulla decisione Ue-Usa invalidata dopo il 16 luglio 2020. Inoltre, si è convenuto che la stipula di clausole standard di protezione dei dati ai sensi dell’articolo 46 del Gdpr con effetto retroattivo (come proposto da un soggetto in un caso di reclamo) non è ammissibile. Laddove siano state concluse clausole standard di protezione dei dati, e siano state attuate misure integrative come garanzie adeguate, i membri della task force ricordano che tali misure devono affrontare le specifiche carenze individuate dalla Corte di giustizia europea nella sentenza del 16 luglio 2020 nella valutazione della situazione nel Paese terzo , al fine di garantire il rispetto della normativa in materia di protezione dei dati personali.
La crittografia
In questo contesto, i membri della task force hanno convenuto che la crittografia da parte dell’importatore di dati non è una misura adeguata se l’importatore di dati, in quanto fornitore dello strumento, ha l’obbligo legale di fornire le chiavi crittografiche.
L’anonimizzazione
Si è convenuto che le funzioni di anonimizzazione, come l’anonimizzazione dell’indirizzo IP, non sono una misura adeguata se l’anonimizzazione avviene solo dopo che tutti i dati sono stati trasferiti al Paese terzo. Inoltre, nei casi in cui un incaricato del trattamento agisca come esportatore di dati per conto del responsabile del trattamento (il gestore del sito web), il responsabile del trattamento è anche responsabile del trasferimento dei dati e potrebbe essere chiamato a rispondere ai sensi del capitolo V del Gdpr, e deve anche assicurarsi che l’incaricato del trattamento fornisca garanzie sufficienti ai sensi dell’articolo 28 del Gdpr..
Principio di responsabilità
Nei casi in cui i gestori di siti web sono considerati responsabili del trattamento, devono esaminare attentamente se il rispettivo strumento possa essere utilizzato nel rispetto dei requisiti di protezione dei dati. La Corte di giustizia europea interpreta il principio di responsabilità come un principio che richiede che ogni responsabile del trattamento dei dati sia in grado di dimostrare che sono state adottate misure adeguate per salvaguardare il diritto alla protezione dei dati, al fine di prevenire eventuali violazioni delle disposizioni del Gdpr. Se tale prova non può essere fornita (e gli strumenti sono integrati in un sito web senza una preventiva verifica di conformità), in particolare in caso di contitolarità, ciò può comportare la violazione del principio di conformità. A seguito di un’analisi caso per caso, in particolare quando il responsabile del trattamento non è in grado di di fornire elementi sufficienti per dimostrare come avvengono i trasferimenti, ciò potrebbe comportare una violazione dell’articolo 5, paragrafo 2, e dell’articolo 24 paragrafo 1 del Gdpr, in conformità al principio di responsabilità sancito in tali articoli.
Il ruolo dei fornitori
I membri della task force sottolineano che non solo gli operatori dei siti web (in qualità di responsabili del trattamento), ma anche i rispettivi fornitori di strumenti che trattano i dati personali devono garantire la continua conformità al Gdpr, sia perché il fornitore dello strumento è, almeno per quanto riguarda alcune operazioni di trattamento, considerato come responsabile del trattamento o, nel caso in cui il fornitore sia qualificato come incaricato del trattamento, a causa degli obblighi di assistenza specificati nell’articolo 28 del Gdpr.
Assegnazione dei ruoli
Poiché la decisione dell’operatore di un sito web di integrare e utilizzare strumenti di terze parti (come ad esempio i social media o strumenti di analisi) comporta regolarmente il trattamento dei dati personali dei visitatori del sito web, ciò potrebbe comportare una responsabilità per l’operatore del sito web, anche se limitata a determinate operazioni di trattamento.
Nel contesto dei casi in esame, i membri della task force hanno convenuto che la decisione di un gestore di siti web di utilizzare uno strumento specifico per finalità specifiche (ad esempio, analizzare il comportamento dei visitatori del sito web) è considerata come la determinazione delle “finalità e dei mezzi” ai sensi dell’articolo 4, paragrafo 7, del Gdpr. Fatti salvi i casi in cui l’analisi preveda il contrario, tali operatori di siti web devono quindi essere considerati come responsabili del trattamento dei dati personali dei visitatori del sito web che avvengono nel contesto dell’utilizzo degli strumenti presenti su tali siti web.
Le analisi caso per caso
Tuttavia, il grado di responsabilità per le operazioni di trattamento deve essere determinato sulla base di un’analisi caso per caso, tenendo conto delle diverse funzioni e delle opzioni offerte dal rispettivo strumento. In merito a tale analisi caso per caso, i membri della task force ricordano che l’attribuzione dei ruoli è il risultato di un’analisi approfondita di fattori oggettivi compresi gli elementi di fatto o le circostanze del caso. In particolare, la conclusione di accordi ai sensi dell’articolo 28 o dell’articolo 26 del Gdpr tra operatori e fornitori di siti web non limita il diritto di accesso ai siti web.
Esito dei reclami
Le autorità di sorveglianza hanno ordinato agli operatori dei siti web di conformarsi ai requisiti del capitolo V del Gdpr e, se necessario, di interrompere il trasferimento in questione. Parte delle decisioni sono state adottate nel meccanismo One-Stop-Shop, in collaborazione con tutte le autorità di sorveglianza interessate. In alcuni casi gli operatori dei siti web hanno smesso di utilizzare gli strumenti in questione prima di qualsiasi decisione da parte degli Stati Maggiori, il che, in pratica, si è tradotto in decisioni senza alcun ordine di sospensione. Inoltre, diverse autorità hanno fornito ulteriori indicazioni e raccomandazioni pratiche per seguire le conseguenze di tali decisioni.
Sono attese a tempo debito ulteriori decisioni in merito ai restanti reclami per i quali non sono ancora state adottate decisioni.
