Google e il GDPR: una conciliazione difficile?

Nel suo piano strategico, la CNIL sottolinea il ruolo del GDPR come strumento che consente il rispetto effettivo “dei diritti delle persone e della parità competitiva tra gli attori economici”.

Sebbene questa uguaglianza sia ricercata e voluta, in particolare attraverso i progetti di regolamentazione di Internet in corso di negoziazione all’interno dell’Unione Europea, volti, tra l’altro, a limitare il dominio dei grandi conti e a frenare la diffusione dell’illecito, non c’è dubbio che i GAFAM sono oggi i leader del mercato digitale e che detengono un’enorme quantità di dati appartenenti a pochi miliardi di loro utenti.

Tra queste piattaforme, Google è il principale motore di ricerca mondiale con un fatturato di oltre 250 miliardi di dollari. Questa azienda, che offre servizi interessanti e strumenti innovativi con funzionalità sofisticate e intuitive, basa la propria attività sui dati delle persone. Sottolineando la gratuità dei propri servizi, pur trattandosi di un falso free, questo colosso di Internet è riuscito fin da subito a catturare l’attenzione degli utenti Internet e a decidere in qualche modo il futuro dei loro dati. Questi sono il più delle volte in perdita: per poter sfruttare appieno le funzionalità di una soluzione o anche i vantaggi di un servizio, sarebbe necessario obbedire alle regole prescritte. Non c’è spazio per la negoziazione e qualsiasi disaccordo può comportare un rifiuto immediato.

Assistiamo quindi a un confronto tra la tutela della privacy da un lato e la rivoluzione digitale dall’altro. L’equilibrio è difficile da raggiungere e la pratica ha dimostrato che questo universo non può esistere senza dati. Sono quindi sorte forti tensioni internazionali dovute in particolare alla mancanza di indipendenza tecnologica dell’Unione Europea. La maggior parte delle aziende in Europa utilizza strumenti americani, il che molto spesso implica la loro sottomissione a regole straniere. Tuttavia, il livello di protezione dei dati negli Stati Uniti non è equivalente a quello richiesto dai testi europei e questa divergenza è fonte di forti tensioni.

Normative contrastanti

Se il GDPR non è stato immediatamente contestato dalle aziende d’oltre Atlantico, negli ultimi mesi la pesantezza delle regole europee ha cominciato a farsi sentire. Con l’annuncio della società Meta che considera la possibilità di non operare più i propri servizi offerti da Facebook e Instagram in Europa, questo colosso di Internet mette in evidenza la complessità degli obblighi impliciti nell’entrata in applicazione del GDPR.

Allo stesso modo, Google sembra sfruttare la sua posizione sul mercato ed è pronto a far conoscere le sue opinioni. Nella sua comunicazione a seguito della decisione dell’autorità austriaca di rimettere in discussione la conformità di Google Analytics, la società ha menzionato la necessità di mettere in atto un nuovo quadro legislativo europeo in sostituzione del Privacy Shield.

Con l’invalidazione del Privacy Shield nel luglio 2020, i trasferimenti di dati tra l’Unione Europea e gli Stati Uniti sono ora illegali, a meno che non vengano messe in atto ulteriori salvaguardie, al fine di vietare in particolare il potenziale accesso delle autorità statunitensi a queste informazioni. Tuttavia, poiché tale garanzia non è garantita, la CNIL ha messo in discussione la conformità di Google Analytics invitando il gestore di un sito web a conformarsi ai requisiti del GDPR o addirittura a non utilizzare più lo strumento nelle condizioni attuali.

Allo stesso modo, il 2021 si è chiuso con una multa record: 150 milioni di euro per il mancato rispetto da parte di Google delle disposizioni sui cookie. Seppur già sanzionato nel 2020 per le stesse ragioni, Google ha chiarito che le violazioni denunciate non derivano né dalla direttiva ePrivacy né dal GDPR, sottintendendo quindi che non è interessata dalla norma secondo la quale deve essere anche più semplice rifiutare i cookie rispetto a per accettarli. Tuttavia, la CNIL ha giustamente chiarito: la facilità di rifiutare i cookie consente di soddisfare i requisiti di consenso introdotti dal GDPR secondo il quale il consenso deve in particolare essere raccolto in modo libero e informato.

Questo conflitto tra l’Unione Europea ei giganti del web sembra essere solo agli albori, ognuno dei quali desidera raggiungere i propri obiettivi: proteggere i dati dei suoi residenti per l’Unione Europea e raccogliere ancora più dati per Google.

Una sovranità indebolita

La forza economica di Google e le tecnologie che offre sollevano dubbi sulla sovranità dei dati. Ciò consente alle organizzazioni, o anche allo Stato, di controllare la gestione dei dati dei residenti regolando in particolare gli accessi e i trasferimenti. Tuttavia, in un mondo governato da grandi conti con sede al di fuori dell’Unione Europea, controllare l’uso dei dati personali degli europei è complesso.

Ciò è dovuto in particolare al conflitto esistente tra, da un lato, le normative europee e, dall’altro, il Cloud Act. Sebbene il GDPR intenda proteggere i dati situati sul territorio europeo e l’accesso a tali dati, la legge federale consente alle autorità statunitensi di accedere ai dati detenuti dalle società statunitensi anche quando si trovano al di fuori degli Stati Uniti. Sebbene si tratti di dati di cittadini europei disciplinati dal GDPR, altre leggi potrebbero quindi applicarsi a questi dati quando sono nelle mani di società estere, e ciò non è senza conseguenze sul livello della loro protezione.

La messa in discussione della conformità di Google Analytics rivela l’intenzione della Francia o addirittura dell’Europa di riconquistare la sovranità dei propri dati. I trasferimenti di dati verso gli Stati Uniti sono considerati illegali e il ricorso a tutele aggiuntive oa misure tecniche rafforzate non sembra sufficiente, in quanto non consente di impedire l’accesso ai dati delle autorità americane. Il messaggio della CNIL è tutt’altro che neutrale e suggerisce che l’autorità di vigilanza è determinata a promuovere soluzioni “made in Europe”.

Allo stesso modo, Azure Cloud di Microsoft è stato designato per archiviare i dati sanitari nell’ambito della creazione dell’Health Data Hub. Tuttavia, in considerazione dei rischi che un eventuale trasferimento di dati verso paesi terzi può comportare, è stata ritirata la richiesta di autorizzazione all’Health Data Hub, che costituisce un vero e proprio passo avanti in termini di sovranità dei dati.

Tali rischi sono stati evidenziati anche dalla CNIL nella sua comunicazione sui temi di controllo prioritario per il 2022. L’utilizzo del Cloud può infatti portare a massicci trasferimenti di dati al di fuori dell’Unione Europea, verso Paesi che non offrono un livello di protezione non adeguato . Particolare attenzione sarà quindi riservata a tali questioni ed alla gestione dei rapporti contrattuali tra i titolari del trattamento ed i fornitori di tali soluzioni.

L’uso di host di dati americani per l’archiviazione dei dati può quindi essere contestato. Tuttavia, nonostante la determinazione dell’autorità francese, stanno prendendo forma collaborazioni franco-americane, da un lato Thalès e Google Cloud che hanno stretto una partnership per sviluppare congiuntamente un Cloud, e dall’altro Orange e Capgemini che si sono associati a Microsoft per creare un cloud di Azure. Può sorgere quindi un interrogativo sulla possibilità di raggiungere l’auspicata autonomia affidandosi al sostegno estero per la realizzazione di futuri prodotti.

Una strategia per migliorare

Osservando le diverse fasi che ha attraversato il quadro normativo per il trasferimento di dati personali negli Stati Uniti dall’adozione della Direttiva 95/46/CE fino all’invalidazione del Privacy Shield, si rileva un progressivo inasprimento dei vincoli per le imprese che lo desiderano per trasferire dati a paesi terzi.

In Europa, la tutela della privacy delle persone si basa essenzialmente su testi legislativi. L’attuazione del GDPR è stata intesa in particolare a standardizzare le norme in materia di protezione dei dati personali a livello europeo e a consentire alle persone di riprendere il controllo sui propri dati. Tuttavia, quest’ultimo obiettivo non sembra essere stato raggiunto. Inoltre, questi dati sono il più delle volte ospitati al di fuori dell’Unione Europea e per lo più soggetti a legislazione straniera.

Per riconquistare la sovranità dei dati, non è necessario rivedere la strategia seguita dall’Unione Europea?

La standardizzazione delle regole a livello europeo, seppur necessaria, non deve tralasciare la necessità di cooperare per mettere a punto soluzioni tecnologiche affidabili e attraenti per le imprese. Invece di limitarsi a rafforzare il quadro giuridico, si raccomanda di sviluppare una nuova strategia comune in modo da avere il controllo degli strumenti futuri in tutte le fasi della loro attuazione. A tal fine, le imprese francesi ed europee dovrebbero beneficiare del sostegno degli Stati e avere un certo margine di manovra nell’uso dei dati a fini di ricerca e innovazione.

Possiamo solo deplorare che le parti interessate cerchino di affrontare solo le conseguenze e non l’origine del problema. Mettere barriere all’uso dei dati da parte delle aziende europee porta in pratica all’opposto dell’effetto desiderato, questi dati si trovano poi ospitati al di fuori dell’Unione. È solo combinando strumento giuridico e soluzione tecnologica che possiamo sperare di preservare questa risorsa!

Leave a Comment