Nella leggendaria sfida tra il piccolo pastore Davide e il gigante Golia, il primo ebbe la meglio nonostante fosse armato solamente di fede in Dio e fionda.
In realtà, la leggenda narra che a giocare un ruolo chiave nella vittoria dello sfavorito al duello fu la spavalderia con la quale sferrò l’attacco, probabilmente dettata dalla fiducia e dal sostegno riposti in lui da un intero popolo.
Nella battaglia contro un colosso delle Big Tech come Google, qualunque soggetto, anche la giustizia, veste i panni di Davide ed è chiamata a una sfida epica per sovvertire i pronostici della vigilia.
La battaglia contro Google, capitolo uno: Google Analytics
Come siamo abituati a fare, proviamo a dividere l’erba dal fascio, circoscrivendo il contesto e ripercorrendo tutte le fasi: dalla semina, al raccolto dell’erba.
A ricoprire il ruolo del piccolo pastore in questo caso è il Garante Austriaco, che già in precedenza aveva ravvisato e segnalato apparenti abusi da parte di Google.
L’Autorità austriaca era salita agli onori della cronaca per via della sentenza rivoluzionaria rinominata Schrems II che decretava illegale Google Analytics, in quanto strumento che non rispettava il GDPR.
“L'uso di fornitori statunitensi viola il GDPR, poiché le leggi sulla sorveglianza degli USA richiedono che fornitori statunitensi come Google o Facebook forniscano dati personali alle autorità statunitensi”.
L’approccio basato sul rischio e la clausola contrattuale standard
Come si suol dire in Italia: fatta la legge, trovato l’inganno. Anche se in questo caso non è proprio così: la seconda sentenza Schrems capovolse lo scenario, ma non completamente.
Il compromesso che si raggiunse l’indomani della rivoluzionaria decisione giuridica per il trasferimento di dati Extra-UE fu l’approccio basato sul rischio.
In sostanza nella maggior parte dei casi, quelli ritenuti a basso rischio dove non ci sono pericoli per i diritti e le libertà dell’interessato, è sufficiente la clausola contrattuale standard che sostituisce la necessità di ulteriori garanzie.
La battaglia contro Google, capitolo 2: anonimizzazione IP
Vissero tutti felici, spiati e contenti? Neanche per sogno.
Perlomeno non in Austria dove il Garante ha nuovamente puntato il dito contro Google.
Se nella lotta tra Davide e Golia, ma anche nella prima battaglia contro Google, il vincitore godeva del sostegno del popolo nel primo caso e quantomeno dei colleghi nel secondo, in questa nuova accusa l’Autorità Austriaca sembra essere sola.
Secondo il Garante Austriaco il GDPR non conosce approccio basato su rischio
“Si tratta di un goffo tentativo di ammorbidire la chiara giurisprudenza della CGUE. Gli articoli pertinenti sui trasferimenti di dati non utilizzano la parola "rischio" una sola volta" ha ammonito Marco Blocher, avvocato per la protezione dei dati presso noyb.
La risposta di Google non si è lasciata attendere ed è basata sulla possibilità di attivare l’anonimizzazione dell'IP quando utilizzano strumenti come Google Analytics per proteggere efficacemente i dati trasferiti dalla sorveglianza.
Giustificazioni respinte al mittente con due motivazioni:
- L'anonimizzazione dell'IP di Google riguarda solo l'indirizzo IP, per questo motivo i dati come gli identificatori online impostati per i cookie o i dati del dispositivo vengono trasferiti;
- L'anonimizzazione dell'IP avviene solo dopo che i dati sono stati trasferiti a Google.