Una decisione finale nel caso contro Telenor è prevista per aprile o maggio. È molto probabile che l’autorità norvegese per la protezione dei dati concluda che l’uso di questo strumento è illegale. Raccomandiamo pertanto alle aziende norvegesi di esplorare alternative a Google Analytics.

Quali sono le possibili soluzioni in pratica?

Raccomandiamo alle aziende in Norvegia o in altri paesi dell’UE/SEE di sostituire Google Analytics con altri strumenti che possono essere utilizzati a fini statistici o per analizzare i visitatori dei propri siti web. Esistono diversi strumenti per questo scopo che elaborano i dati personali solo nei paesi dell’UE/SEE.

Nell’autunno 2022, l’autorità di vigilanza danese ha consigliato una soluzione per chi non vuole rinunciare a utilizzare Google Analytics. La soluzione è configurare un server proxy sul proprio sito Web per evitare di inviare dati a Google. Per server proxy si intende una stazione di memorizzazione intermedia tra il programma di navigazione e un server web. Questa può essere una soluzione se il server è configurato in modo tale che i dati dei visitatori di tale sito Web non vengano raccolti tramite cookie di terze parti, ma vengano inviati tramite il server di tracciamento del sito Web prima che altri fornitori abbiano accesso a questi dati.

Come seguire le regole di condotta nel GDPR?

Il caso dell’autorità norvegese per la protezione dei dati riguarda l’uso di Google Analytics. È importante che le aziende norvegesi siano consapevoli del fatto che l’uso di altri strumenti di analisi dei siti Web, servizi cloud o fornitori può anche comportare il trasferimento di dati personali al di fuori dell’UE, ad es. negli Stati Uniti o in altri paesi terzi incerti. Potrebbe essere illegale se non viene intrapresa alcuna azione.

È ancora possibile utilizzare Google o altri provider negli Stati Uniti. A seguito della sentenza Schrems II, le società norvegesi devono garantire di disporre di una base giuridica per la trasmissione. In pratica si utilizzano principalmente clausole contrattuali standard (SCC), che la Commissione Europea ha approvato nel giugno 2021.

Inoltre, dovrebbe essere determinato se il contenuto dell’accordo sul trattamento dei dati è sufficientemente buono. Se le SCC vengono utilizzate correttamente, tale accordo significa anche che si dispone di un accordo valido sul trattamento dei dati ai sensi del GDPR.

Inoltre, si dovrebbe essere consapevoli di quali normative legali locali nel paese terzo incerto possono comportare che le autorità del paese possano richiedere l’accesso ai dati dal fornitore locale.

Devi quindi documentare di aver adottato misure aggiuntive per ridurre questo rischio paese – questo può apparire come “misure aggiuntive” che il fornitore negli Stati Uniti offre a tutti i suoi clienti.

Assicurati anche di documentare le tue valutazioni del rischio

Raccomandiamo alle aziende di valutare prima i rischi dell’uso desiderato di strumenti di marketing, servizi di cloud pubblico, fornitori o altre soluzioni in cui l’azienda potrebbe finire per condividere dati personali con qualcuno al di fuori dell’UE/SEE. Queste valutazioni del rischio devono soddisfare i requisiti minimi del GDPR.

Assicurarsi che si possa dimostrare che la sicurezza dei dati offerta dal fornitore con i subappaltatori è sufficientemente buona, che il rischio per la privacy delle persone a cui si applicano i dati non è elevato e che i requisiti aggiuntivi per il trasferimento dei dati personali al Stati Uniti o altri paesi terzi pericolosi sono soddisfatti. In questo modo, puoi garantire la conformità al GDPR e allo stesso tempo proteggere al meglio i dati personali dei visitatori del sito web.

L’articolo è stato scritto dall’avvocato Cecilia Vinje Hagland e dall’avvocato/partner Magnus Ødegaard, Studio legale Bing Hodneland DA.