Giovedì 23 giugno il Garante ha pubblicato sui suoi canali questa notizia: “Google: Garante privacy stop all’uso degli Analytics. Dati trasferiti negli Usa senza adeguate garanzie”.
Il comunicato stampa è rimbalzato attraverso tutti i social, dando la sensazione di un divieto assoluto dell’utilizzo di questo strumento. In realtà non è così: è lo stesso provvedimento a dichiararlo nella parte in cui, anziché vietare il trasferimento dei dati, lo sospende, dando al titolare del trattamento 90 giorni di tempo per trovare dei meccanismi idonei a proteggere i dati degli interessati.
Come si sono svolti realmente i fatti?
Nell’agosto 2020 un interessato ha presentato un reclamo al Garante per segnalare che una società avrebbe trasferito a Google LLC (America) dati personali che lo riguardano in assenza delle garanzie previste dal capo V del GDPR*.
Il provvedimento sanzionatorio si riferisce allo specifico caso oggetto dell’attenzione del Garante e, posto che i fatti lamentati risalgono al 2020, l’analisi è stata molto probabilmente condotta su una versione antecedente di GA.
Puoi trovare l’analisi dettagliata in questo articolo del nostro avvocato Angela Lo Giudice, esperta di Privacy.
Trovi l’intervista dell’avv. Antonino Polimeni sul provvedimento qui: link
Cosa fare adesso?
Il supporto di un legale e di un tecnico è fondamentale: i dati personali sono quanto di più prezioso una persona abbia e un trattamento illecito, se frutto di superficialità, sarà sempre severamente sanzionato.
Nel caso in oggetto, la sanzione è stata evitata perché il titolare del trattamento ha dimostrato di avere presente il problema e di aver attuato tutto quanto fosse in suo potere per minimizzare il rischio e limitare le conseguenze.
Accountability
È fondamentale ricordare che il GDPR pone con forza l’accento sulla “responsabilizzazione” (accountability nell’accezione inglese) del titolare del trattamento.
Significa adottare “comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del regolamento”. **
Viene affidato ai titolari il compito di decidere le modalità, le garanzie e i limiti del trattamento dei dati personali alla luce di alcuni criteri indicati nel regolamento.
Il primo fra tali criteri è sintetizzato dall’espressione inglese “data protection by default and by design” ***, ossia “dalla necessità di configurare il trattamento prevedendo fin dall’inizio le garanzie indispensabili al fine di soddisfare i requisiti del regolamento e tutelare i diritti degli interessati – tenendo conto del contesto complessivo ove il trattamento si colloca e dei rischi per i diritti e le libertà degli interessati.”
Tutto questo deve avvenire a monte, prima di procedere al trattamento dei dati vero e proprio e richiede un’analisi preventiva e un impegno applicativo da parte dei titolari che devono sostanziarsi in una serie di attività specifiche e dimostrabili.
La possibilità di tutelare la privacy degli interessati e di poter dimostrare di aver adottato comportamenti proattivi nell’adozione delle misure necessarie, sono azioni fondamentali per stare tranquilli.
Lo studio resta a disposizione per ogni ulteriore necessità o richiesta.
* Quella parte del GDPR che elenca tutte le condizioni che legittimano un trasferimento di dati in Paesi Extra Ue.
** Si vedano artt. 5;. 23-25, in particolare, e l’intero Capo IV GDPR.
*** Si veda art. 25 GDPR.
