Trasferimento dati verso paesi terzi e clausole contrattuali tipo in attesa di un nuovo privacy shield

La Corte di Giustizia dell’Unione Europea, con la pronuncia C-311/18, del 16 luglio 2020 (c.d. Schrems II)^[1], nel dichiarare l’invalidità della decisione della Commissione UE n. 2016/1250 del 12 luglio 2016 sull’adeguatezza della protezione offerta dal regime dello scudo UE-USA per la privacy (c.d. Privacy Shield^[2]), ha constatato che il diritto interno degli Stati Uniti (in particolare l’Executive Order 12333 e l’art. 702 del Foreign Intelligence Surveillance Act – di seguito “FISA 702”^[3]) comporti deroghe alla normativa in materia di protezione di dati che eccedono le restrizioni ritenute necessarie in una società democratica. Ciò in relazione alle disposizioni che consentono alle Autorità pubbliche statunitensi, nel quadro di determinati programmi di sicurezza nazionale, di accedere senza adeguate limitazioni ai dati personali oggetto di trasferimento, nonché alla mancata previsione di diritti, in capo ai soggetti interessati, azionabili in sede giudiziaria. Dette norme non garantiscono un livello di protezione sostanzialmente equivalente a quello di cui all’articolo 52, paragrafo 1^[4], della Carta dei diritti fondamentali dell’Unione Europea (sentenza C-311/18, punti nn. 168-202).

La Corte di Giustizia ha inoltre ribadito la validità della decisione n. 2010/87/CE della Commissione del 5 febbraio 2010 concernente le clausole contrattuali tipo per il trasferimento di dati personali a responsabili stabiliti in paesi terzi (oggi sostituita dalla decisione n. 2021/915 della Commissione del 4 giugno 2021^[5]).

Allo stesso tempo la Corte di Giustizia ha puntualizzato che, in base al principio di accountability, i titolari del trattamento, in qualità di esportatori, sono comunque tenuti a verificare, caso per caso e, ove necessario, in collaborazione con l’importatore (titolare o responsabile) nel paese terzo (nel caso specifico USA), se la legge o la prassi di quest’ultimo incidano sull’efficacia delle garanzie adeguate contenute nelle predette clausole. Questo al fine di determinare se le garanzie previste dalle clausole contrattuali tipo possano essere rispettate nella pratica (art. 5, par. 2, e art. 24 GDPR; Raccomandazione n. 1/2020 relativa alle misure che integrano gli strumenti di trasferimento al fine di garantire il rispetto del livello di protezione dei dati personali dell’UE, del 18 giugno 2021, paragrafi 1-5^[6]).

Già il Comitato europeo per la protezione dei dati - EDPB (Raccomandazione n. 1/2020, cit., pag. 4^[7]), aveva poco prima rilevato che il titolare deve esaminare e “concentrarsi innanzitutto sulla legislazione del paese terzo [e sulle prassi applicabili] rilevant[i] per il trasferimento [nonché] sullo strumento di trasferimento [individuato] ai sensi dell’articolo 46 del RGPD” al fine di verificare che la predetta legislazione e le suddette prassi non impediscano, di fatto, il rispetto, da parte dell’importatore, degli obblighi previsti dallo strumento utilizzato. Tale valutazione “comporta l’esigenza di determinare se il trasferimento in questione rientri o meno nell’ambito di applicazione della [sovra citata normativa]”. Essa deve “essere basata su fattori oggettivi, indipendentemente dalla probabilità di accesso ai dati personali” (Parere congiunto 2/2021 dell’EDPB e del GEPD ^[8] sulla decisione di esecuzione della Commissione europea relativa alle clausole contrattuali tipo per il trasferimento di dati personali verso paesi terzi, adottato il 14 gennaio 2021, par. 86).

Qualora a seguito della descritta valutazione sia rilevato che la legislazione e le prassi del paese terzo impediscano all’importatore di rispettare gli obblighi previsti dallo strumento di trasferimento prescelto, gli  esportatori (titolari) devono  adottare  misure supplementari che garantiscano un livello di protezione dei dati personali sostanzialmente equivalente a quello previsto dal Regolamento (Raccomandazione n. 1/2020^[9], cit., paragrafi 50-57^[10], che reca l’indicazione dei criteri ai fini dell’individuazione delle misure da adottare).

Lo scorso 25 marzo 2022, la Commissione Europea e gli Stati Uniti hanno annunciato congiuntamente l’avvio di un confronto serrato per raggiungere un accordo di principio su un nuovo quadro transatlantico sulla privacy dei dati. Secondo la dichiarazione congiunta, gli Stati Uniti "metteranno in atto nuove salvaguardie per garantire che... le attività di sorveglianza siano necessarie e proporzionate nel perseguimento degli obiettivi di sicurezza nazionale definiti". Inoltre, la presidente della Commissione europea, Ursula von der Leyden, e il presidente degli Stati Uniti Biden hanno ulteriormente indicato che l'UE e gli Stati Uniti hanno trovato "un accordo di principio su un nuovo quadro per i flussi di dati transatlantici " che "consentirà flussi di dati prevedibili e affidabili tra l'UE e gli Stati Uniti, salvaguardando la privacy e le libertà civili". Inoltre l’EDPB, dopo le Linee guida 1/2018 sulla certificazione e individuazione dei criteri di certificazione ai sensi degli artt. 42 e 43 del Regolamento, è intervenuto nuovamente sul tema con le Linee guida 07/2022 sulla certificazione come strumento per i trasferimenti.

Nell’attesa della nuova decisione di adeguatezza che intervenga a superare e colmare lo spazio di incertezze creatosi con il venir meno del Privacy Shield, resta da considerare che i termini standard della Commissione europea sono stati stipulati come base per il trasferimento dei dati verso Paesi terzi cui sono da aggiungere, soprattutto nei rapporti con Stati Uniti, il ricorso ad una valutazione dell'impatto del trasferimento (TIA) con opzione di conservare i dati solo ed esclusivamente in server collocati nei data center all'interno dell'UE/SEE. Inoltre è opportuno monitorare la probabilità di un accesso da parte dell'autorità pubblica statunitense, sulla base del numero di richieste/divulgazioni e il numero totale di utenti che utilizzano i servizi forniti da Google in Italia e in Europa, raffrontando le percentuali statistiche di anno in anno proiettate negli anni futuri, in modo tale da poter valutare un rischio di accadimento trascurabile, di natura più teorica che pratica. Da ultimo e non per importanza, i dati oggetto di trasferimento verso paesi terzi dovranno essere archiviati e crittografati a livello di archiviazione implementato, controllato e rivisto anche, se non esclusivamente, dal titolare/esportatore con garanzia che solo quest’ultimo detenga la chiave per decrittografare i dati. Ciò implica che il responsabile/esportatore al di fuori dell'UE/SEE o terze parti non possono avere accesso senza l'approvazione e l’autorizzazione del titolare/esportatore. Laddove si rilevi che la crittografia e la pseudonimizzazione utilizzate non garantiscano da parte del titolare/esportatore il controllo completo dell'accesso ai dati personali nel data center dell'UE, tuttavia rappresentano un fattore attenuante per soddisfare gli obblighi normativi o di conformità come ad esempio le disposizioni contenute nelle linee guida dell'EDPB.

   Trasferimento dati verso paesi terzi nell’ambito del servizio di analisi di Google Analytics

A seguito delle segnalazioni che molte PA, insieme a pochi privati, hanno ricevuto da “un gruppo di hacker italiani, attiviste e attivisti, cittadine e cittadini attenti alla privacy ed alla tutela dei diritti cibernetici” (MonitorPA), nei termini di una vera e propria diffida all’uso di Google Analytics con riferimento all’utilizzo dello strumento di analisi da parte del sito istituzionale dell’ente pubblico, sulla base di una eccepita violazione, a loro interpretazione, dei principi del Regolamento europeo 679/2016 (GDPR). È stata infatti riscontrata la violazione del principio generale di circolazione dei dati personali al di fuori dello Spazio Economico Europeo (composto dalla UE e dai territori di Norvegia, Islanda e Liechtenstein), quindi verso un paese terzo o una organizzazione internazionale, senza che il titolare né il responsabile abbiano verificato la presenza di garanzie adeguate (Capo V “Trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali”, artt. 45-50 GDPR)^[11]. Tutte le segnalazioni hanno minacciato di interessare il Garante per la Protezione dei Dati e il Difensore Civico Digitale in caso di mancata rimozione dello strumento, con richiesta di applicazione delle sanzioni previste dall’art 83 del GDPR. Prima di valutare i termini di legittimità ed efficacia di dette segnalazioni, soprattutto in relazione alla portata effettiva della “investitura del segnalante” nonché alla fondatezza della richiesta rimozione in base ad una presunta responsabilità oggettiva dell’utilizzatore finale, occorre richiamare i contenuti della posizione assunta dalle autorità di vigilanza “supervisory authorities”.

Nello specifico, il Garante per la protezione dei dati personali GPDP, anche uniformandosi alle pronunce delle autorità garanti europee austrica^[12], francese^[13] e danese^[14], è intervenuto con proprio provvedimento del 9 giugno 2022 [doc.web.9782890]^[15] sulla tematica relativa alla legittimità dell’utilizzo dello strumento di Google Analytics, ovvero sulla configurabilità della violazione, da parte dei titolari utilizzatori, degli artt. 44 e 46 del Regolamento, nonché dell’art. 5, par. 1, lett. a)^[16] e par. 2^[17], dell’art. 13, par. 1, lett. f)^[18], e dell’art. 24^[19], del Regolamento.

Occorre preliminarmente rappresentare che Google Analytics è uno strumento di web analytics fornito da Google ai gestori di siti internet che consente a questi ultimi di analizzare dettagliate statistiche sugli utenti nell’ottica di ottimizzare i servizi resi e di monitorare le proprie campagne di marketing. L’utilizzo di GA avviene prevalentemente nella sua versione gratuita per il perseguimento di finalità meramente statistiche ovvero volte ad ottenere informazioni aggregate sull’attività degli utenti all’interno del proprio sito web. L’utilizzatore di GA agisce in qualità di titolare del trattamento e designa Google responsabile, ai sensi dell’art. 28 del Regolamento, sulla base dei “Google Analytics Terms of Service” e dei “Google Ads Data Processing Terms”. Più nello specifico, nella maggioranza dei casi così come quello preso in esame dal GPDP, Google LLC ha rivestito, fino al 30 aprile 2021, il ruolo di responsabile del trattamento dei dati raccolti tramite Google Analytics a fronte della sottoscrizione dei “Google Analytics Terms of Service”. Successivamente, a partire dal 1° maggio 2021 è subentrata, quale controparte contrattuale dei medesimi “Google Analytics Terms of Service”, Google Ireland Limited che, ai sensi dei predetti termini di servizio, può avvalersi di altri soggetti, in qualità di sub-responsabili del trattamento, fra cui Google LLC.

È stato rilevato che il trattamento effettuato tramite Google Analytics determina la raccolta, mediante cookies trasmessi al browser degli utenti, informazioni in ordine alle modalità di interazione di questi ultimi con il sito web, nonché con le singole pagine e con i servizi proposti. Più in particolare, i dati raccolti consistono in:

• identificatori online unici che consentono sia l’identificazione del browser o del dispositivo dell’utente che visita il sito web, sia del gestore stesso del sito (attraverso l’ID account Google);
• indirizzo, nome del sito web e dati di navigazione;
• indirizzo IP del dispositivo utilizzato dall’utente;
• informazioni relative
  • al browser,
  • al sistema operativo,
  • alla risoluzione dello schermo,
  • alla lingua selezionata, nonché
  • a data e ora della visita al sito web.

Al riguardo, merita evidenziare sia che i dati di navigazione sono da considerare dati personali e quindi soggetti sia alla minimizzazione delle attività di trattamento sia alla possibilità di ricorrere alla aggregazione e anonimizzazione degli stessi, sia che, nello specifico, l’indirizzo IP costituisce un dato personale nella misura in cui consenta di identificare un dispositivo di comunicazione elettronica, rendendo pertanto indirettamente identificabile l’interessato in qualità di utente (Gruppo ex art. 29, WP 136 – Parere n. 4/2007 sul concetto di dati personali, del 20 giugno 2007, pag. 16^[20]). Ciò ancor di più laddove l’IP sia associato ad altre informazioni relative al browser utilizzato, alla data e all’ora della navigazione (considerando 30^[21] del Regolamento). Inoltre è bene avere consapevolezza circa il fatto che, qualora il visitatore del sito web faccia accesso al proprio account Google –circostanza molto probabile–, i dati raccolti possono essere associati ad altre informazioni presenti nel relativo account, quali l’indirizzo email (che costituisce l’user ID dell’account), il numero di telefono ed eventuali ulteriori dati personali tra cui il genere, la data di nascita o l’immagine del profilo.

La pervasività della raccolta dei dati da parte di GA è dimostrata altresì dal tempestivo intervento di Google che, nell’ambito del servizio Google Analytics, ha messo a disposizione dei gestori dei siti web l’opzione denominata “IP-Anonymization” attraverso cui Google Analytics riceve l’indirizzo IP dell’utente previo oscuramento dell’ottetto meno significativo. In tal modo, ad esempio, gli indirizzi da 122.48.54.0 a 122.48.54.255 verrebbero sostituiti da 122.48.54.0. Non sfugge, tuttavia, che l’“IP-Anonymization” consiste di fatto in una pseudonimizzazione del dato relativo all’indirizzo di rete dell’utente, in quanto il troncamento

dell’ultimo ottetto non impedisce a Google LLC di re-identificare l’utente medesimo, tenuto conto delle informazioni complessivamente detenute dalla stessa relative agli utenti del web. Inoltre, la medesima Google LLC può pur sempre associare l’indirizzo IP ad altre informazioni aggiuntive già in suo possesso, nei casi in cui l’interessato abbia effettuato l’accesso al proprio profilo Google, (quali le informazioni contenute nell’account utente). Tale operazione, pertanto, nonostante l’attivazione dell’“IP-Anonymization”, consente comunque la possibile re-identificazione dell’utente.

Alla luce di quanto rilevato dal GPDP, è evidente che l’utilizzo di GA, da parte dei gestori dei siti web, sia pubblici che privati, comporta il trasferimento dei dati personali dei visitatori dei suddetti siti verso Google LLC con sede negli Stati Uniti. Tali trasferimenti, in quanto effettuati verso un paese terzo che non garantisce un livello di protezione adeguato ai sensi della normativa di protezione dei dati (ossia gli Stati Uniti), devono essere posti in essere in conformità al Capo V del Regolamento.

In merito all'utilizzo dei cookie e dei servizi di Google Analytics, anche in base alle pronunce di autorità si rappresenta la necessità di sostituire tale strumento di analisi con altro alternativo e sicuro quali

• "Analytics Italia" di AgID https://www.agid.gov.it/it/design-servizi/web-analytics-italia o
• “Matomo” https://matomo.org/ o
• altro equivalente o analogo.

L'esigenza di interrompere l'utilizzo di Google Analytics è legata anche alla necessità di aggiornare la cookie policy del portale istituzionale e di tutte le pagine tematiche legate e comunque riconducibili al medesimo dominio, anche e soprattutto ai fini di una migliore garanzia di sicurezza^[22].

Giova richiamare le indicazioni della autorità francese CNIL^[23] che, intervenendo sul tema dell’utilizzo di Google Analytics e suggerendo l’utilizzo di soluzioni alternative, ha evidenziato che i cookie devono essere oggetto di valutazione da parte del titolare e utilizzati per produrre dati statistici anonimi in quanto:

• hanno una finalità intrinsecamente limitata alla sola misurazione dell'audience del sito o dell'applicazione (misurazione delle prestazioni, rilevamento di problemi di navigazione, ottimizzazione delle prestazioni tecniche o della sua ergonomia, stima della potenza dei server richiesta, analisi dei contenuti consultati),
• non devono determinare un controllo incrociato dei dati con altri trattamenti o la trasmissione dei dati a terzi,
• non devono consentire il tracciamento complessivo della navigazione della persona utilizzando diverse applicazioni o navigando in siti web diversi.

Deve pertanto ritenersi esclusa qualsiasi soluzione che utilizzi lo stesso identificatore su più siti (tramite, ad esempio, cookie depositati su un dominio di terze parti caricato da più siti) per incrociare, duplicare o misurare un tasso di copertura unificato (" reach ") di un contenuto.

Sempre secondo CNIL, gli utenti devono risultare sufficientemente informati:

• dell'implementazione e utilizzo dei cookie tramite la privacy policy del sito o dell'applicazione mobile,
• della durata di utilizzo e conservazione dei cookie limitata e che consenta una analisi per un periodo tra i tredici mesi fino a un massimo di venticinque mesi,
• della possibile revisione periodica delle informazioni relative all'utilizzo dei cookie sempre con attenzione al limitato uso strettamente necessario.

Le misure da considerare come strettamente necessarie per la corretta amministrazione di un sito conforme al GDPR riguardano^[24]:

• la misurazione dell'audience, pagina per pagina,
• l'elenco delle pagine da cui è stato seguito un collegamento per richiedere la pagina corrente (a volte denominata "referrer"), sia interna che esterna al sito, per pagina e aggregata su base giornaliera,
• il tipo di terminale, browser e dimensioni dello schermo dei visitatori, per pagina e aggregati su base giornaliera,
• statistiche sul tempo di caricamento della pagina, per pagina e aggregate su base oraria,
• statistiche del tempo trascorso su ciascuna pagina, frequenza di rimbalzo, profondità di scorrimento, per pagina e aggregate su base giornaliera,
• statistiche sulle azioni degli utenti (click, selezione), per pagina e aggregate su base giornaliera,
• statistiche sull'area geografica di provenienza delle richieste, per pagina e aggregate su base giornaliera.

In sintesi, secondo la CNIL l’utilizzo di Google Analytics è considerato illecito ai sensi del GDPR e rimane tale anche ricorrendo a pratiche di preventiva pseudonimizzazione o crittografia dei dati oggetto di trasferimento. Come riportato nell’articolo “Soluzioni pratiche per la gestione dei cookies alternative a Google Analytics, dichiarato dalla autorità privacy francese non conforme al GDPR” di Andrea Antognini, potrebbe essere possibile una soluzione che preveda un server proxy per evitare il contatto diretto tra il terminale dell'utente e i server del software che opera la profilazione. Per ritenere che la misura aggiuntiva del server proxy sia in linea con quanto previsto dal EDPB richiede una serie di criteri tecnici difficili da implementare e aggiornare. Si può anche prendere in considerazione l'uso della “proxyficazione” del flusso di dati, che consentirebbe, se opportunamente configurata, di inviare solo dati pseudonimizzati a un server al di fuori dell'UE, ma tali strumenti richiedono una specifica competenza sia tecnica che giuridica. Ecco allora che l’autorità francese suggerisce come soluzione il ricorso a soluzioni alternative e per questo ha pubblicato un elenco di software^[25] che hanno già dimostrato alla CNIL di poter essere configurati in modo da limitarsi a quanto strettamente necessario per la fornitura del servizio, senza quindi richiedere il consenso dell'utente. È pur sempre necessario verificare, per quanto possibile, che la società che produce il software utilizzato non abbia legami patrimoniali o organizzativi con una società madre situata in un paese che consente ai servizi di intelligence di richiedere l'accesso a dati personali situati in un altro territorio (ad esempio: USA ma anche Cina) ed è necessario valutare il quadro giuridico del paese di esportazione dei dati.

   Trasferimento dati verso paesi terzi nell’ambito dei servizi Google Font e Google Form

In tipografia e in informatica, un font è una famiglia di caratteri che sono caratterizzati da una coerenza stilistica e compositiva ^[26]. Dall’iniziale utilizzo dei caratteri mobili, oggi tutto si è trasformato in digitale. Oltre le famiglie di font più conosciute “Serif (graziati), Sans Serif (bastoni) e Calligrafici”, Google Fonts raccoglie in un’unica libreria più font con licenza libera di Google. Si tratta di una vasta raccolta di caratteri che possono essere utilizzati all'interno dei siti web e altre applicazioni^[27]. AgID è intervenuta con proprie “linee guida per il design dei servizi digitali”^[28] dove, nella sezione relativa agli stili tipografici, è presente proprio il riferimento alle Web font di Google Fonts^[29].

Analoghe comunicazioni da parte del medesimo “gruppo di hacker italiani, attiviste e attivisti, cittadine e cittadini attenti alla privacy ed alla tutela dei diritti cibernetici” nei confronti delle PA hanno rilevato che numerosi siti istituzionali incorporano diversi font e fogli di stile (css)^[30] richiesti direttamente ai server di Google Fonts indicando questo strumento non conforme, in assenza di misure tecniche supplementari efficaci, alle disposizioni del GDPR in ordine al trasferimento di dati personali verso paesi terzi al di fuori dell'UE/SEE.  Il nuovo allarme, subito successivo a quello legato a Google Analytics, ha colpito, in particolar modo, gli Istituti Scolastici che possono avere sì un interesse marginale ad analizzare scrupolosamente i comportamenti di navigazione degli utenti, ma riconoscono la fondamentale funzione dell’utilizzo delle web font della famiglia Google volti a semplificarne la ricerca tra quelli disponibili liberamente con licenze open source.

Secondo quanto indicato nelle comunicazioni, l'inclusione di Google Font su un sito web determina un trasferimento sistematico verso Google di diversi dati personali dei visitatori e degli utenti. È importante richiamare un recente articolo pubblicato su www.agendadigitale.eu dove è riportato che “quando un utente si collega alla pagina desiderata, il browser utilizzato per visualizzare i caratteri desiderati, deve inviare una richiesta verso il server fonts.googleapis.com.”. Sempre lo stesso articolo precisa che l’interfaccia “API Google Fonts è progettata per limitare la raccolta, l’archiviazione e l’utilizzo dei dati degli utenti finali solo a quanto necessario per la pubblicazione efficiente dei caratteri”. Per l’effetto della navigazione resta traccia di “tutto ciò che è legato alla richiesta HTTP, inclusi il timestamp, l’URL richiesto e tutte le intestazioni HTTP (incluse la stringa referrer e user agent) fornite in relazione all’utilizzo dell’API CSS”^[31]. Pertanto saranno conosciuti e resi disponibili i riferimenti a:

• User Agent,
• sistema operativo,
• lingue conosciute,
• la visita del vostro sito,
• la data e l'ora di tale visita.

Attraverso le informazioni di navigazione è possibile identificare il soggetto interessato e ad arricchirne il profilo cognitivo-comportamentale. Il servizio di Google Fonts può essere utilizzato in due diverse modalità: da remoto, collegandosi al server di Google Fonts; in locale, installando i font (di Google Font) nel proprio server scaricando dal sito https://fonts.google.com/ il font di proprio interesse. La soluzione più adatta per evitare problemi analoghi a quelli rappresentati per Google Analytics, è di usare i font in locale, senza connettersi ad un server esterno. Anche in questa circostanza è prudenzialmente suggerito di ricorrere a soluzioni alternative ovvero a conservare i font di riferimento nei server proprietari dell’ente titolare del sito istituzionale. Pur non esistendo indicazioni od obblighi da parte delle autorità di vigilanza “supervisory authorities” né del Garante della privacy italiano, è comunque apprezzabile optare per comportamenti prudenziali analogamente a quanto avvenuto per lo strumento di Google Analytics.

Analoghe considerazioni valgono anche per il servizio di Google Form attraverso cui è possibile creare moduli per raccogliere dati e informazioni sulle tematiche più disparate di specifico interesse da parte del titolare del sito internet che ne faccia uso. La messa a disposizione di specifica informativa sul trattamento dei dati e l’acquisizione del consenso al trattamento dei dati rilasciato dall’utente senza lasciare la casella già pre-spuntata non sembrano essere sufficienti alla luce delle considerazioni rivolte ai servizi Google Analytics e Google Font.

   Trasferimento dei dati verso paesi terzi e utilizzo servizi Google

Alla luce dei provvedimenti e delle disposizioni richiamate e delle conseguenti considerazioni riportate, occorre ora stabilire quali conseguenze ha la decisione del GPDP rispetto all’utilizzo dei servizi di Google Analytic, Google Font e Google Form.

Preliminare su tutto, occorre valutare e verificare la necessità di ricorrere all’utilizzo dei servizi e degli strumenti di Google ed eventualmente optare per soluzioni alternative, soprattutto con riferimento a Google Font procedendo all’installazione in locale dei font di Google nel proprio server proprietario. Diversamente, nel caso di effettivo utilizzo dello strumento di Google Analytics sul sito istituzionale, occorre comprendere quanto siano necessarie e indispensabili le funzionalità utilizzate rispetto a quelle offerte da soluzioni alternative. Una volta determinato l’utilizzo indispensabile e pertanto l’impossibilità di rinunciare a detto strumento di analisi e di tracciamento delle azioni dell’utente, è opportuno ricorrere a soluzioni alternative in sua sostituzione optando per strumenti offerti da altri fornitori presenti sul mercato, come "Analytics Italia" di AgID^[32], Matomo (Piwik Analytics^[33]), Hubspot^[34] o altro equivalente o analogo. L’utilizzo di Google Font in locale e di Google Form può essere considerato legittimo soltanto nei casi in cui il primo avviene senza condivisione con la casa madre di Google, il secondo presenta idonea informativa che richieda specifico consenso dell’utente al trattamento dei dati e delle informazioni inserite nei moduli, ricordando pur sempre che tali dati saranno cancellati e distrutti subito dopo il raggiungimento della finalità per cui sono stati raccolti dal soggetto richiedente.

Resta quindi da chiedersi e da chiedere alle autorità di vigilanza (supervisory authorities), come sia possibile essere chiamati ed invitati, se non meglio esortati ed obbligati, a ricorrere a strumenti alternativi di analisi e dotati di funzionalità, fondamentali per le proprie attività svolte attraverso i propri siti internet, sulla base della valutazione di essere possibilmente esposti a conseguenze negative, quali l’applicazione di sanzioni amministrative ex artt. 82 e 83 del GDPR, per l’effetto di segnalazioni di soggetti la cui legittimazione e rappresentatività risulta quantomeno dubbiosa e finanche esorbitante. È infatti curioso come “un gruppo di hacker italiani, attiviste e attivisti, cittadine e cittadini attenti alla privacy ed alla tutela dei diritti cibernetici” possa determinare l’operato e le scelte economiche delle PA e di soggetti privati intimoriti rispetto all’essere destinatari di possibili sanzioni che, se concretamente fondate e necessariamente comminate, dovrebbero essere il frutto di un autonomo e indipendente impulso coordinato ed omogeneo delle supervisory authorities, sulla base di decisioni assunte nella sede appropriata dell’EDPB. Il Comitato oltre ad intervenire con linee guida di impulso e suggerimento come quelle adottate fino ad oggi, dovrebbe optare per una vera e propria messa in mora del legislatore europeo e del legislatore di ciascuno degli Stati membri, che espliciti il divieto di trasferimento verso paesi terzi sacrificando la realizzazione di quella data driven economy europea che già poggia su fragili certezze e imbarazzanti incertezze. Per ora dobbiamo appellarci alle Raccomandazioni 01/2020 relative alle misure che integrano gli strumenti di trasferimento al fine di garantire il rispetto del livello di protezione dei dati personali dell’UE del 18 giugno 2021, che, per aiutare gli esportatori (siano essi titolari del trattamento o responsabili del trattamento, enti privati o organismi pubblici, che trattano dati personali nell’ambito di applicazione del RGPD) nel complesso compito di valutare i paesi terzi e di individuare, se necessario, misure supplementari adeguate, forniscono agli esportatori una serie di passi da seguire, potenziali fonti di informazione e alcuni esempi di misure supplementari che potrebbero essere messe in atto. Conoscere, mappare ed essere consapevoli della destinazione dei dati personali oggetto di trasferimento per garantire un livello di protezione sostanzialmente equivalente in tutti i luoghi in cui vengono trattati (primo passo^[35]). Verificare che lo  strumento  di  trasferimento utilizzato rientri tra  quelli  elencati  al  capo V  del  GDPR con la consapevolezza che le deroghe non possono diventare «la norma» nella pratica, ma devono essere limitate a situazioni specifiche (secondo passo^[36]). Valutare se vi sia qualcosa nella legislazione e/o nelle prassi vigenti del paese  terzo  che  possa  incidere  sull’efficacia  delle  garanzie  adeguate offerte  dagli  strumenti  di trasferimento  su cui  è possibile fare  affidamento,  nel  contesto di riferimento  concentrandosi innanzitutto  sulla  legislazione  del  paese  terzo  rilevante  per  il trasferimento  e  sullo  strumento  di  trasferimento  ai  sensi  dell’articolo 46  del  GDPR (nel nostro caso le Clausole Contrattuali Tipo, decisione n. 2021/915 della Commissione del 4 giugno 2021).  Per definire gli elementi da prendere in considerazione nella valutazione della legislazione di un paese terzo che disciplina l’accesso ai dati da parte delle autorità pubbliche ai fini della sorveglianza, è opportuno fare riferimento alle raccomandazioni dell’EDPB relative alle garanzie essenziali europee, predisponendo la dovuta e accurata documentazione (terzo passo^[37]). Individuare e adottare le misure supplementari necessarie per portare il livello di protezione dei dati trasferiti a un livello sostanzialmente equivalente a quello dell’UE, fermo restando che laddove nessuna misura supplementare sia adeguata, dovete evitare, sospendere o interrompere il trasferimento per evitare di pregiudicare il livello di protezione dei dati personali (quarto passo^[38]). Adottare eventuali passi procedurali formali richiesti dall’adozione della misura supplementare, a seconda dello strumento di trasferimento di cui all’articolo 46 del RGPD su cui fare affidamento (nel nostro caso le Clausole Contrattuali Tipo del 2021, decisione n. 2021/915 della Commissione del 4 giugno 2021). In alcuni casi potrebbe essere necessario consultare le autorità di controllo competenti (quinto passo^[39]). Riesaminare a intervalli adeguati il livello di protezione dei dati personali oggetto di trasferimento verso paesi terzi e controllare se vi siano stati o vi saranno sviluppi che possano influire in questo senso. Il principio di responsabilizzazione richiede vigilanza continua rispetto al livello di protezione dei dati personali (sesto passo^[40]).

La mancata approvazione di una nuova decisione di adeguatezza che consenta il trasferimento dei dati al di là e al di qua delle sponde atlantiche, nonostante la decisione n. 2021/915 della Commissione del 4 giugno 2021, continua a rappresentare elemento di instabilità economica che espone gli operatori pubblici e privati allo strapotere dei grandi players statunitensi e alla pervasività dell’applicazione disomogenea dei principi e delle disposizioni del GDPR.

Nel caso specifico di Google Analytics, Google Font e Google Form, la presenza di soluzioni alternative che escludono la possibilità di ogni eventuale trattamento illegittimo, ci porta a privilegiare quel risk-based approach che permea l’intero GDPR e che, nella determinazione delle attività di trattamento dei dati personali, richiede di tenere conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all'atto del trattamento stesso. Il titolare del trattamento è chiamato a mettere in atto misure tecniche e organizzative adeguate nel rispetto dei principi di accountability, di privacy by design e privacy by default, nella gestione di un data breach e nella predisposizione ed esecuzione della valutazione di impatto DPIA. Questo approccio determina quindi l’esigenza di optare e scegliere quelle soluzioni che espongano i dati oggetto di trattamento alla minore probabilità di esposizione al rischio di accesso e di modifiche non autorizzate, nonché di indisponibilità e perdita degli stessi^[41].

 

NOTE

^[1] La Corte di giustizia dell'Unione europea (CGUE) si è pronunciata il 16 luglio 2020 (Sentenza nella causa C-311/18 Data Protection Commissioner/Maximilian Schrems e Facebook Ireland - c.d. "Sentenza Schrems II") ha dichiarato invalida la decisione 2016/1250 della Commissione sull'adeguatezza della protezione offerta dal regime dello scudo UE-USA per la

Privacy e ha giudicato, invece, valida la decisione 2010/87 relativa alle clausole contrattuali tipo per il trasferimento di dati personali a incaricati del trattamento stabiliti in Paesi terzi. CGUE si è pronunciata a seguito di domanda di pronuncia pregiudiziale proposta dalla High Court (Irlanda). Il rinvio pregiudiziale consente ai giudici degli Stati membri, nell'ambito di una controversia della quale sono investiti, di interpellare la Corte in merito all’interpretazione del diritto dell’Unione o alla validità di un atto dell’Unione. La Corte non risolve la controversia nazionale. Spetta al giudice nazionale risolvere la causa conformemente alla decisione della Corte. Tale decisione vincola egualmente gli altri giudici nazionali ai quali venga sottoposto un problema simile. https://curia.europa.eu/juris/liste.jsf?language=it&num=C-311/18

^[2] Lo scudo UE-USA per la privacy è un accordo, dichiarato non valido dalla Corte di giustizia dell'UE il 16 luglio 2020, per gli scambi transatlantici di dati personali a scopo commerciale tra Unione europea e Stati Uniti d'America. - https://www.privacyshield.gov/welcome

^[3] COMITATO AUTORITA’ AUTORITA’ GARANTI - EDPB – Domande più frequenti in merito alla sentenza della Corte di giustizia dell’Unione europea nella causa C-311/18 – Data Protection Commissioner contro Facebook Ireland Ltd e Maximillian Schrems - adottate il 23 luglio 2020 – n. 5) “La Corte ha rilevato che la legislazione statunitense (ossia l’articolo 702 del FISA e l’EO 12333) non garantisce un livello di protezione sostanzialmente equivalente. La possibilità di trasferire dati personali sulla base delle clausole contrattuali tipo dipenderà dall’esito della valutazione condotta, tenendo conto delle circostanze dei trasferimenti e delle misure supplementari eventualmente attuabili. Le misure supplementari unitamente alle clausole contrattuali tipo, previa analisi caso per caso delle circostanze del trasferimento, dovrebbero assicurare che la normativa statunitense non interferisca con il livello di protezione adeguato dalle stesse garantito. Qualora si giunga alla conclusione che, tenuto conto delle circostanze del trasferimento e delle possibili misure supplementari, non sarebbero assicurate garanzie adeguate, vi è l’obbligo di sospendere o cessare il trasferimento dei dati personali. Se si intende tuttavia proseguire col trasferimento dei dati malgrado la suddetta conclusione, è obbligatorio informarne l’autorità di controllo competente.”. https://edpb.europa.eu/sites/default/files/files/file1/20200724_edpb_faqoncjeuc31118_it.pdf

^[4] Articolo 52 Portata dei diritti garantiti - 1. Eventuali limitazioni all’esercizio dei diritti e delle libertà riconosciuti dalla presente Carta devono essere previste dalla legge e rispettare il contenuto essenziale di detti diritti e libertà. Nel rispetto del principio di proporzionalità, possono essere apportate limitazioni solo laddove siano necessarie e rispondano effettivamente a finalità di interesse generale riconosciute dall’Unione o all’esigenza di proteggere i diritti e le libertà altrui. - https://www.europarl.europa.eu/charter/pdf/text_it.pdf

^[5] Decisione di esecuzione (UE) 2021/915 della Commissione del 4 giugno 2021 relativa alle clausole contrattuali tipo tra titolari del trattamento e responsabili del trattamento a norma dell'articolo 28, paragrafo 7, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio e dell'articolo 29, paragrafo 7, del regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio (Testo rilevante ai fini del SEE) - https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX%3A32021D0915

^[6] Raccomandazioni 01/2020 relative alle misure che integrano gli strumenti di trasferimento al fine di garantire il rispetto del livello di protezione dei dati personali dell’UE Versione 2.0 - Adottate il 18 giugno 2021 - (1) Nella sentenza del 16 luglio 2020 Data Protection Commissioner contro Facebook Ireland Limited e Maximillian  Schrems,  C-311/18,  la  Corte  di  giustizia  dell’Unione  europea  (CGUE)  conclude  che l’articolo 46, paragrafo 1, e l’articolo 46, paragrafo 2, lettera c), del RGPD, devono essere interpretati nel  senso  che  le  garanzie  adeguate,  i  diritti  azionabili  e  i  mezzi  di  ricorso  effettivi  richiesti  da  tali disposizioni devono garantire che i diritti delle persone i cui dati personali sono trasferiti verso un paese terzo sul fondamento di clausole tipo di protezione dei dati godano di un livello di protezione sostanzialmente equivalente a quello garantito all’interno dell’Unione da tale regolamento, letto alla luce della Carta dei diritti fondamentali dell’Unione europea. (2) Come  sottolineato  dalla  Corte,  un  livello  di  protezione  delle  persone  fisiche  sostanzialmente equivalente a quello garantito all’interno dell’Unione dal RGPD, letto alla luce della Carta, deve essere garantito indipendentemente dalla disposizione del capo V sul cui fondamento viene effettuato un trasferimento di dati personali verso un paese terzo. Le disposizioni del capo V mirano a garantire la continuità del livello elevato di tale protezione in caso di trasferimento di dati personali verso un paese terzo. (3) Il considerando 108 e l’articolo 46, paragrafo 1,  del  RGPD,  prevedono  che,  in  mancanza  di  una decisione  di  adeguatezza  dell’Unione,  il  titolare  del  trattamento  o  il  responsabile  del  trattamento dovrebbe provvedere a compensare la carenza di protezione dei dati in un paese terzo con adeguate garanzie a tutela dell’interessato. Il titolare del trattamento o il responsabile del trattamento può fornire  garanzie  adeguate,  senza  richiedere  un’autorizzazione  specifica  da  parte  di  un’autorità  di controllo,  utilizzando  uno  degli  strumenti  di  trasferimento  elencati  all’articolo 46,  paragrafo 2,  del RGPD, come le clausole tipo di protezione dei dati. (4) La Corte chiarisce che le clausole tipo di protezione dei dati adottate dalla Commissione hanno il solo scopo di fornire garanzie contrattuali che si applicano in modo uniforme in tutti i paesi terzi ai titolari del trattamento e ai responsabili del trattamento stabiliti nell’Unione. Visto il loro carattere contrattuale, le clausole tipo di protezione dei dati non possono vincolare le autorità pubbliche di paesi terzi, poiché queste ultime non sono parti del contratto.  Di conseguenza, gli  esportatori  di  dati potrebbero dover integrare le garanzie contenute in tali clausole tipo di protezione dei dati con misure supplementari per garantire il rispetto del livello di protezione richiesto dal diritto dell’Unione in un determinato paese terzo. La Corte fa riferimento al considerando 109 del RGPD, che menziona questa possibilità e incoraggia i titolari del trattamento e i responsabili del trattamento ad avvalersene. (5) La Corte ha affermato che incombe anzitutto all’esportatore dei dati verificare, caso per caso e, eventualmente, in collaborazione con l’importatore dei dati, se il diritto del paese terzo di destinazione garantisce un livello di protezione sostanzialmente equivalente, alla luce del diritto dell’Unione, dei dati  personali  trasferiti  sulla  base  di  clausole  tipo  di  protezione  dei  dati,  fornendo,  se  necessario, garanzie supplementari rispetto a quelle offerte da tali clausole. https://edpb.europa.eu/sites/default/files/consultation/edpb_recommendations_202001_supplementarymeasurestransferstools_it.pdf

^[7] Raccomandazioni 01/2020 relative alle misure che integrano gli strumenti di trasferimento al fine di garantire il rispetto del livello di protezione dei dati personali dell’UE Versione 2.0 - Adottate il 18 giugno 2021 - Un terzo passo consiste nel valutare se vi sia qualcosa nella legislazione e/o nelle prassi vigenti del paese  terzo  che  possa  incidere  sull’efficacia  delle  garanzie  adeguate offerte  dagli  strumenti  di trasferimento  su cui  fate  affidamento,  nel  contesto  del  vostro  specifico  trasferimento.  La vostra valutazione  deve  concentrarsi  innanzitutto  sulla  legislazione  del  paese  terzo  rilevante  per  il trasferimento  e  sullo  strumento  di  trasferimento  ai  sensi  dell’articolo 46  del  RGPD  su  cui  fate affidamento.  Inoltre, l’esame delle  prassi  delle  autorità  pubbliche  di  paesi  terzi  vi  permetterà  di verificare se le garanzie contenute nello strumento di trasferimento possano assicurare, nella pratica, la  protezione  efficace  dei  dati  personali  trasferiti.  L’esame  di  queste  prassi  sarà  particolarmente pertinente per la valutazione nel caso in cui: (i.) sia evidente che la legislazione del paese terzo, formalmente conforme agli standard dell’UE, non è applicata/rispettata nella pratica; (ii.) esistano prassi incompatibili con gli impegni previsti dallo strumento di trasferimento qualora la legislazione pertinente del paese terzo sia carente; (iii.) i dati trasferiti e/o l’importatore rientrino o possano rientrare nell’ambito di applicazione di una legislazione problematica (cioè una legislazione che pregiudica la garanzia contrattuale, prevista dallo strumento di trasferimento, di un livello di protezione sostanzialmente equivalente e non osserva le norme dell’UE in materia di diritti fondamentali, necessità e proporzionalità).

^[8] Parere congiunto 2/2021 dell'EDPB e del GEPD sulla decisione di esecuzione della Commissione europea relativa alle clausole contrattuali tipo per il trasferimento di dati personali verso paesi terzi - (1) “Conformemente all'articolo 44 del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (regolamento generale sulla protezione dei dati)2 ("GDPR"), qualunque trasferimento di dati personali oggetto di un trattamento o destinati a essere oggetto di un trattamento dopo il trasferimento verso un paese terzo o un'organizzazione internazionale, compresi trasferimenti successivi di dati personali da un paese terzo o un'organizzazione internazionale verso un altro paese terzo o un'altra organizzazione internazionale, ha luogo soltanto se il titolare del trattamento e il responsabile del trattamento rispettano le condizioni di cui al capo V del GDPR. In particolare, in assenza di una decisione di adeguatezza, qualunque trasferimento si dovrebbe basare sulle garanzie adeguate elencate all'articolo 46 del GDPR” – (86) L'EDPB e il GEPD sottolineano che la valutazione dell'eventuale esistenza, nella legislazione o nella prassi del  paese  terzo  di  destinazione, di  impedimenti  che  ostino  all'adempimento  degli  obblighi dell'importatore  di  dati  a  norma  del  progetto  di  clausole  contrattuali  tipo  nel  contesto  del trasferimento  specifico,  dovrebbe  essere  basata  su  fattori  oggettivi,  indipendentemente  dalla probabilità di accesso ai dati personali. Come sottolineato nelle raccomandazioni dell'EDPB relative alle  misure  supplementari  (in  particolare  i  paragrafi 33  e  42) 30 ,  questa  valutazione  dipende  dalle circostanze del trasferimento e in particolare dai fattori oggettivi seguenti:  finalità per le quali i dati vengono trasferiti ed elaborati (ad esempio marketing, risorse umane, archiviazione, supporto informatico, test clinici);  soggetti coinvolti nel  trattamento  (pubblici/privati;  titolare  del trattamento/responsabile del trattamento);  settore  in  cui  avviene  il  trasferimento  (ad  esempio  adtech,  telecomunicazioni,  finanziario ecc.);  categorie di dati personali trasferiti (ad esempio i dati personali che si riferiscono a minori possono rientrare nell'ambito di applicazione di una legislazione specifica del paese terzo);  se i dati saranno conservati nel paese terzo o se vi è solo un accesso remoto a dati conservati all'interno dell'UE/del SEE;  formato dei dati da trasferire (ad esempio in chiaro/pseudonimizzati o cifrati);  possibilità che i dati siano soggetti a trasferimenti successivi dal paese terzo verso un altro paese terzo. - https://edpb.europa.eu/our-work-tools/our-documents/edpbedps-joint-opinion/edpb-edps-joint-opinion-22021-standard_it

^[9] Raccomandazioni 01/2020 relative alle misure che integrano gli strumenti di trasferimento al fine di garantire il rispetto del livello di protezione dei dati personali dell’UE - Adottate il 10 novembre 2020 - https://edpb.europa.eu/sites/default/files/consultation/edpb_recommendations_202001_supplementarymeasurestransferstools_it.pdf

^[10] Raccomandazioni 01/2020 relative alle misure che integrano gli strumenti di trasferimento al fine di garantire il rispetto del livello di protezione dei dati personali dell’UE - Adottate il 10 novembre 2020 - 50. Se  la  valutazione  di  cui  al  terzo  passo  ha indicato che  lo  strumento  di  trasferimento  di  cui all’articolo 46 del RGPD  non è efficace, dovrete considerare, se del caso in collaborazione con l’importatore,  l’eventuale  esistenza  di  misure  supplementari  che,  aggiunte  alle  garanzie contenute negli strumenti di trasferimento, potrebbero garantire che i dati trasferiti godano, nel paese terzo, di un livello di protezione sostanzialmente equivalente a quello garantito all’interno dell’UE ( 61 ). Le  misure supplementari» integrano per definizione le garanzie già previste dallo strumento di trasferimento di cui all’articolo 46 del RGPD e qualsiasi altro requisito di sicurezza applicabile (per esempio misure tecniche di sicurezza) previste dal RGPD ( 62 ). 51. Dovete individuare caso per caso quali misure supplementari potrebbero essere efficaci per i trasferimenti verso  un  determinato  paese  terzo  quando  utilizzate  uno  specifico  strumento  di trasferimento di cui all’articolo 46 del RGPD. Non è necessario che ripetiate la valutazione ogni volta che effettuate lo stesso trasferimento di una specifica tipologia di dati verso lo stesso paese terzo.  Alcuni  dei  dati  per  cui  è  previsto  il  trasferimento  potrebbero  richiedere  misure supplementari,  mentre  per  altri  dati  ciò  potrebbe  non  essere  necessario  (considerando l’applicazione  formale  e/o concreta della  legislazione  del  paese  terzo).  Potrete  basarvi  sulle precedenti valutazioni e conclusioni di cui al primo, secondo e terzo passo e verificare, sulla base di quelle conclusioni, la potenziale efficacia delle misure supplementari nel garantire il livello di protezione richiesto. 52. In  linea  di  principio,  le misure  supplementari  possono  avere carattere  contrattuale, tecnico  o organizzativo. La combinazione di misure diverse  che si integrino e supportino a vicenda può migliorare il livello di protezione e può quindi contribuire a raggiungere gli standard dell’Unione. 53. Le misure contrattuali e organizzative, da sole, non riescono in genere a evitare l’accesso ai dati personali da parte delle autorità pubbliche del paese terzo in forza di una legislazione e/o di prassi problematiche ( 63 ). Vi saranno infatti situazioni in cui solo misure tecniche adeguatamente attuate potrebbero impedire  o  rendere  inefficace  l’accesso  ai  dati  personali  da  parte  delle  autorità pubbliche  dei  paesi  terzi,  in  particolare  a  fini  di  sorveglianza ( 64 ).  In  tali  situazioni,  le  misure contrattuali o organizzative possono integrare le misure tecniche e rafforzare il livello generale di protezione dei dati, ad esempio introducendo controlli ed eliminando automatismi in relazione ai tentativi  delle  autorità  pubbliche  di  accedere  ai  dati  in  modo  non  conforme  alle  norme dell’Unione. 54. In collaborazione con l’importatore di dati, se del caso, potete consultare il seguente elenco (non esaustivo) di fattori al fine di individuare quali misure supplementari sarebbero più efficaci per proteggere i dati trasferiti dalle richieste di accesso agli stessi da parte di autorità pubbliche in forza di una legislazione problematica applicata in concreto al trasferimento: - formato dei dati da trasferire (ad esempio in chiaro/dati pseudonimizzati o cifrati); - natura dei dati (per esempio, nel SEE le categorie di dati contemplate dagli articoli 9 e 10 del RGPD godono di un livello di protezione superiore) ( 65 ); - lunghezza e complessità della catena di trattamento dei dati, numero di soggetti coinvolti nel trattamento e rapporti intercorrenti (ad esempio se i trasferimenti coinvolgono più titolari del trattamento  ovvero titolari  e  responsabili  del  trattamento,  oppure  se  sono  coinvolti responsabili  del  trattamento  che  trasferiranno  i  dati  da  voi  all’importatore  dei  dati, considerando le relative disposizioni loro applicabili ai sensi della legislazione del paese terzo di destinazione) ( 66 ); - tecnica o parametri dell’applicazione pratica nel paese terzo riscontrati nel corso del terzo passo; - possibilità che i dati siano oggetto di trasferimenti successivi, all’interno dello stesso paese terzo  o  anche  verso  altri  paesi  terzi  (ad  esempio  coinvolgimento  di sub-responsabili  del trattamento  dell’importatore dei dati) ( 67 ). Esempi di misure supplementari 55. Alcuni esempi di misure tecniche, contrattuali e organizzative che potrebbero essere prese in considerazione,  ove  non  siano  già  incluse  nello  strumento  di  trasferimento  utilizzato  di  cui all’articolo 46 del RGPD, sono disponibili negli elenchi non esaustivi di cui all’allegato 2. 56. Se  avete  messo  in  atto  misure  supplementari  efficaci  che,  combinate  con  lo  strumento  di trasferimento  di  cui  all’articolo 46  del  RGPD  prescelto,  raggiungono  un  livello  di protezione sostanzialmente  equivalente  al  livello  di  protezione  garantito  all’interno  del  SEE,  potete procedere con i vostri trasferimenti. 57. Qualora non siate in grado di individuare o attuare misure supplementari efficaci che garantiscano che i dati personali trasferiti godano di un livello di protezione sostanzialmente equivalente ( 68 ), non dovete iniziare a trasferire i dati personali verso il paese terzo interessato sulla base dello strumento di trasferimento di cui all’articolo 46 del RGPD su cui fate affidamento. Se state già effettuando  trasferimenti,  siete  tenuti  a  sospendere  o  a  porre  fine  al  trasferimento  dei  dati personali ( 69 ). In  conformità  alle  garanzie  previste  dallo  strumento  di  trasferimento  di  cui all’articolo 46 del RGPD su cui fate affidamento, i dati che avete già trasferito a tale paese terzo e le relative copie devono esservi restituiti o distrutti interamente dall’importatore ( 70 ).

^[11] Garante per la protezione dei dati personali GPDP - I trasferimenti di dati personali verso Paesi non appartenenti allo Spazio Economico Europeo (SEE, ossia UE + Norvegia, Liechtenstein, Islanda) o verso un’organizzazione internazionale sono consentiti a condizione che l’adeguatezza del Paese terzo o dell’organizzazione sia riconosciuta tramite decisione della Commissione europea (art. 45 del Regolamento UE 2016/679). In assenza di tale decisione, il trasferimento è consentito ove il titolare o il responsabile del trattamento forniscano garanzie adeguate che prevedano diritti azionabili e mezzi di ricorso effettivi per gli interessati (art. 46 del Regolamento UE 2016/679). Al riguardo, possono costituire garanzie adeguate:

senza autorizzazione da parte del Garante:

• gli strumenti giuridici vincolanti ed esecutivi tra soggetti pubblici (art. 46, par. 2, lett. a);
• le norme vincolanti d’impresa (art. 46, par. 2, lett. b)
• le clausole tipo (art. 46, par. 2, lett. c e lett. d)
• i codici di condotta (art. 46, par. 2, lett. e)
• i meccanismi di certificazione (art. 46, par. 2, lett. f)

previa autorizzazione del Garante:

• le clausole contrattuali ad hoc (art. 46, par. 3, lett. a)
• gli accordi amministrativi tra autorità o organismi pubblici (art. 46, par. 3, lett. b)

https://www.garanteprivacy.it/temi/trasferimento-di-dati-all-estero

^[12] La sanzione dell’Autorità Garante austriaca nei confronti del titolare di un sito web per l’utilizzo di Google Analytics - Con provvedimento datato 22 dicembre 2021, reso pubblico il 14 gennaio 2022, l’Autorità Garante austriaca (“Datenschutzbehörde” or “DSB”) ha sanzionato il titolare di un sito web (più specificatamente un portale dedicato alla divulgazione su temi sanitari) per l’utilizzo di Google Analytics, che avrebbe violato le norme del Regolamento (UE) 2016/679 (“GDPR”) in tema di trasferimento dei dati personali all’estero. Nel caso di specie, la Datenschutzbehörde si è pronunciata in relazione a due principali quesiti sollevati da noyb – European Center for Digital Rights, sulla base dei 101 reclami di modello presentati dalla ONG fondata da Max Schrems, sulla scia della nota decisione della Corte di Giustizia “Schrems II”. - https://www.altalex.com/documents/2022/01/20/google-analytics-viola-il-gdpr-secondo-il-garante-austriaco

^[13] Utilizzo di Google Analytics e trasferimento di dati negli Stati Uniti: la CNIL dà formale avviso a un gestore del sito web 10 febbraio 2022 - Google Analytics fornisce statistiche sul traffico del sito web. Reclami ricevuti dall'associazione  NOYB, la CNIL, in collaborazione con le sue controparti europee, ha analizzato le condizioni in cui i dati raccolti utilizzando questo strumento vengono trasferiti negli Stati Uniti. La CNIL considera questi trasferimenti illegali e richiede a un gestore del sito Web francese di conformarsi al GDPR e, se necessario, di non utilizzare più questo strumento nelle condizioni attuali. - https://www.cnil.fr/fr/utilisation-de-google-analytics-et-transferts-de-donnees-vers-les-etats-unis-la-cnil-met-en-demeure

^[14] GDPR, la Danimarca mette al bando Google dalle scuole: ‘Dati degli studenti a rischio’ di Paolo Anastasio | 19 Luglio 2022 - La Danimarca mette al bando Google nelle scuole per timori di un rischio di trasferimento illecito di dati degli studenti. In particolare, saranno messi al bando Chromebooks e il Google Workspace, dopo un monitoraggio da parte delle autorità scolastiche di Helsingør che ha riscontrato rischi concreti nella gestione dei dati da parte delle soluzioni fornite da Google. Lo scrive il sito specializzato TechCrunch, precisando che una sentenza della scorsa settimana da parte del Garante Privacy locale (Datatilsynet), ha reso noto che l’analisi dei dati degli studenti che usano la suite software della piattaforma Workspace, basata su cloud – che comprende Gmail, Google Docs, Calendar e Google Drive – “non risponde alle richieste” del GDPR.  - https://www.key4biz.it/gdpr-la-danimarca-mette-al-bando-google-dalle-scuole-dati-degli-studenti-a-rischio/410891/

^[15] Google: Garante privacy stop all’uso degli Analytics. Dati trasferiti negli Usa senza adeguate garanzie - Il sito web che utilizza il servizio Google Analytics (GA), senza le garanzie previste dal Regolamento Ue, viola la normativa sulla protezione dei dati perché trasferisce negli Stati Uniti, Paese privo di un adeguato livello di protezione, i dati degli utenti. - https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9782890

^[16] REGOLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) – art. 5 "Principi applicabili al trattamento di dati personali" - “1. I dati personali sono: a) trattati in modo lecito, corretto e trasparente nei confronti dell'interessato («liceità, correttezza e trasparenza»);” https://www.privacy-regulation.eu/it/5.htm

^[17] Regolamento (UE) 2016/679, art. 5 "Principi applicabili al trattamento di dati personali" - “2. Il titolare del trattamento è competente per il rispetto del paragrafo 1 e in grado di comprovarlo («responsabilizzazione»).” https://www.privacy-regulation.eu/it/5.htm

^[18] Regolamento (UE) 2016/679, art. 13 "Informazioni da fornire qualora i dati personali siano raccolti presso l'interessato" - “1. In caso di raccolta presso l'interessato di dati che lo riguardano, il titolare del trattamento fornisce all'interessato, nel momento in cui i dati personali sono ottenuti, le seguenti informazioni: … f) ove applicabile, l'intenzione del titolare del trattamento di trasferire dati personali a un paese terzo o a un'organizzazione internazionale e l'esistenza o l'assenza di una decisione di adeguatezza della Commissione o, nel caso dei trasferimenti di cui all'articolo 46 o 47, o all'articolo 49, secondo comma, il riferimento alle garanzie appropriate o opportune e i mezzi per ottenere una copia di tali dati o il luogo dove sono stati resi disponibili.” https://www.privacy-regulation.eu/it/13.htm

^[19] Regolamento (UE) 2016/679,art. 24 "Responsabilità del titolare del trattamento" – “1. Tenuto conto della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario. 2. Se ciò è proporzionato rispetto alle attività di trattamento, le misure di cui al paragrafo 1 includono l'attuazione di politiche adeguate in materia di protezione dei dati da parte del titolare del trattamento. 3. L'adesione ai codici di condotta di cui all'articolo 40 o a un meccanismo di certificazione di cui all'articolo 42 può essere utilizzata come elemento per dimostrare il rispetto degli obblighi del titolare del trattamento.” https://www.privacy-regulation.eu/it/24.htm

^[20] Parere 4/2007 sul concetto di dati personali “le Autorità europee tentano di chiarire il concetto di "dato personale", fornendo alcune indicazioni sull´applicazione della direttiva 95/46/Ce ai trattamenti effettuati con le nuove tecnologie (quali l´Rfid) o in contesti altamente tecnologici (e-Government, cartelle cliniche elettroniche, ecc.). La definizione di dato personale contenuta nella direttiva ("qualsiasi informazione concernente una persona fisica identificata o identificabile") è stata analizzata con esempi tratti dai casi affrontati dalle diverse autorità di protezione dei dati. Dall´analisi è emersa, anzitutto, l´ampiezza del concetto di dato personale ("qualsiasi informazione"), in linea con la giurisprudenza della Corte europea dei diritti umani e della Corte europea di giustizia nei casi concernenti possibili violazioni del diritto alla vita privata.” - Indirizzi IP dinamici Il  Gruppo  considera  gli  indirizzi  IP  dati  concernenti  una  persona  identificabile.  Al riguardo  ha  dichiarato  che  "i  fornitori  di  accesso  Internet  e  i  gestori  delle  reti  LAN possono, utilizzando mezzi ragionevoli, identificare gli utenti Internet cui essi hanno attribuito indirizzi IP, poiché, normalmente, essi “registrano” in un apposito file la data, l'ora, la durata e l'indirizzo IP dinamico assegnato all'utente Internet. Lo stesso dicasi per i fornitori di servizi Internet, i quali detengono un registro sul server HTTP. In questi casi, non vi è dubbio sul fatto che si possa parlare di dati personali ai sensi dell'articolo 2 (a) della direttiva …)” In  particolare,  nei  casi  in  cui  il  trattamento  di  indirizzi  IP  viene  effettuato  per identificare gli utenti di un computer (ad esempio, dal titolare di un diritto d'autore per perseguire l'utente di un computer per violazione di diritti di proprietà intellettuale), il responsabile  del  trattamento  parte  dal  principio  che  i  "mezzi  che  possono  essere ragionevolmente utilizzati" per identificare le persone esistono, ad esempio nella figura del giudice del ricorso (altrimenti la raccolta delle informazioni non avrebbe senso), e quindi tali informazioni andrebbero considerate dati personali.  Un caso particolare è quello di alcuni tipi di indirizzi IP che, in alcune circostanze, non permettono  effettivamente  di  identificare  l'utente  per  vari  motivi  tecnici  ed organizzativi.  Si  pensi  per  esempio  agli  indirizzi  IP  attribuiti  a  un  computer  di  un internet café, dove non è richiesta l'identificazione dei clienti. Si potrebbe affermare che  i  dati  raccolti  sull'impiego  del  computer  X  per  un  certo  lasso  di  tempo  non consentono di identificare l'utente con mezzi ragionevoli, e quindi non si può parlare di dati  personali.  Tuttavia,  occorre  notare  che  i  fornitori  di  servizi  Internet  molto probabilmente  non  sapranno  se  gli  indirizzi  IP  in  questione  permettono l'identificazione o meno, e tratteranno i dati associati con quell'IP nello stesso modo in cui trattano le informazioni associate agli indirizzi IP degli utenti debitamente registrati e identificabili. Pertanto, a meno di poter distinguere con assoluta certezza che i dati corrispondano a utenti non identificabili, il fornitore di servizi Internet dovrà trattare tutte le informazioni IP come dati personali, per maggiore sicurezza. - https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/1607426

^[21] Le persone fisiche possono essere associate a identificativi online prodotti dai dispositivi, dalle applicazioni, dagli strumenti e dai protocolli utilizzati, quali gli indirizzi IP, a marcatori temporanei (cookies) o a identificativi di altro tipo, come i tag di identificazione a radiofrequenza. Tali identificativi possono lasciare tracce che, in particolare se combinate con identificativi univoci e altre informazioni ricevute dai server, possono essere utilizzate per creare profili delle persone fisiche e identificarle. https://www.privacy-regulation.eu/it/r30.htm

^[22] Garante per La Protezione Dei Dati Personali “Linee guida cookie e altri strumenti di tracciamento - 10 giugno 2021” [9677876] (Pubblicato sulla Gazzetta Ufficiale n. 163 del 9 luglio 2021) – operative dal 9 gennaio 2022 – in base alle nuove Linee guida in materia di Cookie e altri strumenti di tracciamento tenendo conto: 1) del quadro giuridico di riferimento, soprattutto a seguito dell’introduzione del Regolamento 2016/679 (GDPR); 2) della rapida e continua innovazione tecnica e tecnologica delle reti e degli strumenti; 3) dell’evoluzione del comportamento degli utenti, che utilizzano sempre più spesso servizi (web, social media,  app, ecc.) e strumenti plurimi (computer, tablet, smartphone, smart TV, ecc.), con il conseguente moltiplicarsi delle possibilità di raccolta e incrocio dei dati ad essi riferiti. Gli elementi chiave delle nuove Linee guida sono: • Promozione dell’accountability; • Offerta agli utenti di informative trasparenti e chiare; • Rafforzamento del meccanismo del consenso; •  Rispetto dei principi di privacy by design e by default. Le nuove Linee guida, inoltre, estendono il loro ambito di  applicazione oltre che ai cookie anche ad altri strumenti di  tracciamento, come ad esempio il fingerprinting.

^[23] Cookie di Google Analytics dalle indicazioni francesi tanti divieti e alcune difficili soluzioni di Andrea Michinelli - Novità dalla Francia per la controversa vicenda dei cookie di Google Analytics: utilizzatori di questi cookie colpiti in vari Stati UE da provvedimenti sanzionatori, Analytics che sembrano destinati a sorte certa, violazioni senza se e senza ma del GDPR secondo le autorità di controllo. Tanto più in quanto è necessaria l’omogeneità e la cooperazione tra le autorità stesse, come sottolinea la autorità francese CNIL in alcune recenti indicazioni, le Q&A più corpose e ricche di approfondimenti tra quelle finora pubblicate nell’Unione. Si ventila anche una possibile soluzione tecnica per salvarne certi usi, nondimeno come vedremo si associano risvolti applicativi non banali che ne frustrano parecchio le possibilità - https://www.cybersecurity360.it/legal/privacy-dati-personali/cookie-di-google-analytics-dalle-indicazioni-francesi-tanti-divieti-e-alcune-difficili-soluzioni/

^[24] Cookie di Google Analytics dalle indicazioni francesi tanti divieti e alcune difficili soluzioni di Andrea Michinelli - Per concludere, riportiamo la utile lista dei dati e parametri che la CNIL, nell’uso di strumenti di misurazione analitica web, considera strettamente necessari per il rispetto del principio di minimizzazione. Si veda ad es. la specifica sugli ambiti temporali di aggregazione: un concreto parametro di orientamento per capire come applicare, granularmente, uno sfuggente principio generale. - https://www.cybersecurity360.it/legal/privacy-dati-personali/cookie-di-google-analytics-dalle-indicazioni-francesi-tanti-divieti-e-alcune-difficili-soluzioni/

^[25] Soluzioni pratiche per la gestione dei cookies alternative a Google Analytics, dichiarato dalla autorità privacy francese non conforme al GDPR di Andrea Antognini - I software suggeriti dalla CNIL:           Analytics Suite Delta di AT;  SmartProfile di Net Solution Partner;  Wysistat Business di Wysistat;  Piwik PRO Analytics Suite;  Abla Analytics di Astra Porta;  BEYABLE Analytics di BEYABLE;  etracker Analytics (Basic, Pro, Enterprise) di etracker;  Web Audience di Retency;  Nonli;  CS Digital di Contentsquare;  Matomo Analytics di Matomo;  Wizaly di Wizaly SAS;  Compass di Marfeel Solutions;  Statshop di Web2Roi;  Eulerian di Eulerian Technologies;  Thank-You Marketing Analytics di Thank-You;  eStat Streaming di Médiamétrie;  TrustCommander di Commanders Act. - https://digitexport.it/comunicare/soluzioni-pratiche-per-la-gestione-dei-cookies-alternative-a-google-analytics-dichiarato-dalla-autorita-privacy-francese-non-conforme-al-gdpr.kl#/

^[26i] Esistono diverse tipologie di font, ma quelle che si utilizzano maggiormente sono le seguenti: serif (graziati), sans serif (bastoni) e Calligrafici. Tutti gli altri, non hanno una linea di base gestibile e molto spesso non rispettano i canoni di spazi bianchi e neri dei quali un grafico non può fare a meno. https://deltamarket.com/blog/scegliere-il-giusto-font/

^[27] La famiglia di caratteri Titillium è nata all’interno dell’Accademia di Belle Arti di Urbino ed è distribuita con licenza Open Font License (OFL) da Google Fonts; tale set di caratteri è composto da numerosi font di diversi pesi tipografici (dall’Extra-Light all’Ultra-Bold) garantendo così un’estrema flessibilità di utilizzo nelle composizioni dei testi. La sua fama nasce dal fatto che è stata scelta quale identità visiva dei servizi pubblici digitali italiani, ovvero come carattere tipografico istituzionale per la pubblica amministrazione online.

^[28] Le linee guida per il design dei servizi digitali della Pubblica Amministrazione sono uno strumento di lavoro per la Pubblica Amministrazione e i loro fornitori, e servono ad orientare la progettazione di ambienti digitali fornendo indicazioni relative al service design (progettazione dei servizi), al content design (progettazione dei contenuti), alla user research (ricerca con gli utenti), e alla user interface (interfaccia utente). - La versione stabile delle Linee Guida corrisponde a 2020.1. - https://docs.italia.it/italia/designers-italia/design-linee-guida-docs/it/stabile/index.html

^[29] L’utilizzo di Google Fonts crea problemi ai sensi del Gdpr: ecco perché migliaia di pubbliche amministrazioni (tra cui diverse scuole) hanno ricevuto un avviso da Monitora PA, che ipotizza un trasferimento negli USA dei dati personali dei cittadini. https://www.agendadigitale.eu/sicurezza/privacy/google-fonts-nuova-grana-per-gli-animatori-digitali-il-problema-e-le-soluzioni/

^[30] I CSS servono per gestire tutto il layout di un sito Web. Grazie ad essi è possibile intervenire sulla formattazione del testo, sul posizionamento degli elementi grafici e sulla disposizione che questi elementi avranno rispetto ai diversi dispositivi. Questa guida permette di comprendere le nozioni più importanti per la creazione di layout, sfruttando caratteristiche universalmente condivise da tutti i browser. - https://www.html.it/guide/guida-css-di-base/

^[31] L’utilizzo di Google Fonts crea problemi ai sensi del Gdpr: ecco perché migliaia di pubbliche amministrazioni (tra cui diverse scuole) hanno ricevuto un avviso da Monitora PA, che ipotizza un trasferimento negli USA dei dati personali dei cittadini. https://www.agendadigitale.eu/sicurezza/privacy/google-fonts-nuova-grana-per-gli-animatori-digitali-il-problema-e-le-soluzioni/

^[32] Web Analytics Italia  - Una piattaforma di web analytics open source dedicata all’analisi dei dati di traffico dei siti della Pubblica Amministrazione - https://designers.italia.it/progetti/web-analytics-italia/

^[33] Google Analytics alternative that protects your data and your customers' privacy - Matomo Analytics was designed with privacy in mind. It can be configured to follow even the strictest of privacy laws – like GDPR, HIPAA, CCPA, LGPD and PECR. Simply by using Matomo you will ensure all of your valuable information is private and owned by one person (you!) and that your website respects your visitors’ privacy. If you need to have data stored in a specific country and are looking for additional data sovereignty, you can achieve this with Matomo On-Premise. The source code of the software is open-source so hundreds of people have reviewed it to ensure it is secure and keeps your data private. - https://matomo.org/ 

^[34] La piattaforma CRM di HubSpot ha tutti gli strumenti e le integrazioni necessari per il marketing, le vendite, la gestione dei contenuti e il servizio clienti. Ogni prodotto nella piattaforma è potente da solo, ma la vera magia avviene quando li usi insieme. - https://www.hubspot.com/

^[35] Come primo  passo,  l’EDPB  consiglia  a  voi,  esportatori,  di conoscere  i  vostri  trasferimenti.  La mappatura di tutti i trasferimenti di dati personali verso paesi terzi può essere un esercizio difficile. Essere consapevoli della destinazione dei dati personali è tuttavia necessario per garantire un livello di protezione  sostanzialmente  equivalente  in  tutti  i  luoghi  in  cui  vengono  trattati.  Dovete  inoltre verificare che i dati trasferiti siano adeguati, pertinenti e limitati a quanto necessario in relazione alle finalità per le quali vengono trattati.

^[36] verificare  lo  strumento  di  trasferimento  su  cui  si  basa  il  vostro trasferimento tra  quelli  elencati  al  capo V  del  RGPD.  Qualora  la  Commissione  europea  abbia  già dichiarato il paese, la regione o il settore verso cui trasferirete i dati come adeguato, attraverso una decisione di adeguatezza ai sensi dell’articolo 45 del RGPD o della precedente direttiva 95/46 fintanto che la decisione è ancora in vigore, non dovrete adottare ulteriori misure, se non controllare che la decisione di adeguatezza sia ancora valida. In assenza di una decisione di adeguatezza, dovete fare affidamento su uno degli strumenti di trasferimento elencati all’articolo 46 del RGPD. Solo in alcuni casi sarà possibile basarsi su una delle deroghe previste dall’articolo 49 del RGPD, se le condizioni sono soddisfatte. Le deroghe non possono diventare «la norma» nella pratica, ma devono essere limitate a situazioni specifiche.

^[37] Un terzo passo consiste nel valutare se vi sia qualcosa nella legislazione e/o nelle prassi vigenti del paese  terzo  che  possa  incidere  sull’efficacia  delle  garanzie  adeguate offerte  dagli  strumenti  di trasferimento  su cui  fate  affidamento,  nel  contesto  del  vostro  specifico  trasferimento.  La  vostra valutazione  deve  concentrarsi  innanzitutto  sulla  legislazione  del  paese  terzo  rilevante  per  il trasferimento  e  sullo  strumento  di  trasferimento  ai  sensi  dell’articolo 46  del  RGPD  su  cui  fate affidamento.  Inoltre,  l’esame  delle  prassi  delle  autorità  pubbliche  di  paesi  terzi  vi  permetterà  di verificare se le garanzie contenute nello strumento di trasferimento possano assicurare, nella pratica, la  protezione  efficace  dei  dati  personali  trasferiti.  L’esame  di  queste  prassi  sarà  particolarmente pertinente per la valutazione nel caso in cui: (i.) sia evidente che la legislazione del paese terzo, formalmente conforme agli standard dell’UE, non è applicata/rispettata nella pratica; (ii.) esistano prassi incompatibili con gli impegni previsti dallo strumento di trasferimento qualora la legislazione pertinente del paese terzo sia carente; (iii.) i dati trasferiti e/o l’importatore rientrino o possano rientrare nell’ambito di applicazione di una legislazione problematica (cioè una legislazione che pregiudica la garanzia contrattuale, prevista dallo strumento di trasferimento, di un livello di protezione sostanzialmente equivalente e non osserva le norme dell’UE in materia di diritti fondamentali, necessità e proporzionalità). Nelle  prime  due  situazioni,  dovrete  sospendere  il  trasferimento  oppure  mettere  in  atto  misure supplementari adeguate se desiderate procedere con il trasferimento. Nella  terza  situazione,  considerando  le  incertezze  relative  alla  potenziale applicazione  al  vostro trasferimento  di  una  legislazione  problematica,  potete  decidere  di:  sospendere  il  trasferimento; mettere in atto misure supplementari per procedere con il trasferimento; o, in alternativa, se ritenete e  siete  in  grado  di  dimostrare e  documentare  di  non  avere  motivo  di  credere  che  la  legislazione problematica in questione verrà interpretata e/o attuata nella pratica in modo da riguardare i vostri dati trasferiti e l’importatore, potete scegliere di procedere con il trasferimento senza mettere in atto misure supplementari. Per definire gli elementi da prendere in considerazione nella valutazione della legislazione di un paese terzo  che  disciplina  l’accesso  ai  dati  da  parte  delle  autorità  pubbliche  ai  fini  della  sorveglianza,  è opportuno fare riferimento alle raccomandazioni dell’EDPB relative alle garanzie essenziali europee. Questa  valutazione  va  condotta  con  la  dovuta  diligenza  e  documentata  accuratamente.  Le  vostre autorità  di  controllo  e/o  giudiziarie  competenti  potrebbero  richiederla  e  ritenervi  responsabili di qualsiasi decisione da voi presa su tale base.

^[38] Un quarto passo consiste nell’individuare e adottare le misure supplementari necessarie per portare il livello di protezione  dei  dati  trasferiti  a  un  livello  sostanzialmente  equivalente  a  quello  dell’UE. Questa misura è necessaria solo se la vostra valutazione rivela che la legislazione e/o le prassi del paese terzo incidono sull’efficacia dello strumento di trasferimento ai sensi dell’articolo 46 del RGPD su cui fate affidamento o su cui intendete fare affidamento nel contesto del vostro trasferimento. Le presenti raccomandazioni  contengono  (nell’allegato 2)  un  elenco  non  esaustivo  di  esempi  di  misure supplementari con alcune delle condizioni eventualmente richieste per essere efficaci. Come nel caso delle garanzie adeguate contenute negli strumenti di trasferimento di cui all’articolo 46, alcune misure supplementari  possono  essere  efficaci  in  alcuni  paesi,  ma  non  necessariamente  in  altri.  Sarete responsabili  della  valutazione  della  loro  efficacia  nel  contesto  del  trasferimento  e  alla  luce  della legislazione e delle prassi del paese terzo e dello strumento di trasferimento su cui fate affidamento, in quanto sarete ritenuti responsabili di qualsiasi decisione presa su tale base. Ciò potrebbe anche richiedere la combinazione di più misure supplementari. In ultima analisi, potreste concludere che nessuna  misura  supplementare è  in  grado  di garantire  un  livello  di  protezione  sostanzialmente equivalente per il vostro specifico trasferimento. Ove nessuna misura supplementare sia adeguata, dovete evitare,  sospendere  o  interrompere  il  trasferimento  per evitare  di  pregiudicare  il  livello  di protezione dei dati personali. Anche questa valutazione delle misure supplementari va condotta con la dovuta diligenza e documentata.

^[39] Un quinto passo consiste nell’adozione di eventuali passi procedurali formali richiesti dall’adozione della vostra misura supplementare, a seconda dello strumento di trasferimento di cui all’articolo 46 del RGPD su cui fate affidamento. Le presenti raccomandazioni riportano nel dettaglio alcune di queste formalità; in alcuni casi potrebbe essere necessario consultare le autorità di controllo competenti.

^[40] Il sesto e ultimo passo consiste nel riesaminare a intervalli adeguati il livello di protezione dei dati personali che trasferite verso paesi terzi e di controllare se vi siano stati o vi saranno sviluppi che possano influire in questo senso. Il principio di responsabilizzazione richiede vigilanza continua rispetto al livello di protezione dei dati personali. Le  autorità  di  controllo  continueranno  a  esercitare  il  mandato loro conferito  di monitorare l’applicazione del RGPD e farlo rispettare. Le autorità di controllo terranno in debita considerazione le azioni  intraprese  dagli  esportatori  per  garantire  che i  dati  da  essi  trasferiti  godano  di  un  livello  di protezione sostanzialmente equivalente. Come ricorda la Corte, le autorità di controllo sospenderanno o vieteranno il trasferimento dei dati nei casi in cui ritengano che non possa essere garantito un livello di protezione sostanzialmente equivalente, a seguito di un’indagine o di un reclamo. Le autorità di controllo continueranno a sviluppare orientamenti per gli esportatori e a coordinare le attività in seno all’EDPB per garantire la coerenza nell’applicazione della legislazione dell’UE in materia di protezione dei dati.

^[41] Come abbiamo visto, dunque, la situazione attuale è in evoluzione: si attendono le pronunce definitive da parte del Garante e, al contempo, si verifica se e in che misura arriveranno i controlli e le sanzioni. Il consiglio migliore rimane comunque quello di adeguarsi alla pronuncia e di eliminare GA3 dai propri siti. - https://www.cybersecurity360.it/legal/privacy-dati-personali/gdpr-e-google-analytics-3-come-essere-in-regola-senza-rischiare-sanzioni-o-azioni-legali/