Google afferma che sta rilasciando una nuova versione del suo software che non memorizzerà gli indirizzi IP, il codice univoco in grado di identificare i singoli computer, e ha costruito data center in Europa.
Le leggi permissive e gli accordi d'amore stanno diventando un ricordo del passato per le grandi aziende tecnologiche, in particolare in Europa, dove una serie di sentenze rappresenta una grave minaccia per uno dei prodotti di punta di Google.
Più della metà dei siti web nel mondo utilizza Google Analytics per aiutare i proprietari a comprendere il comportamento degli utenti.
Il software, che distribuisce i cookie per monitorare il comportamento degli utenti, non costa nulla in termini di denaro, sebbene la vasta raccolta di dati aiuti ad alimentare gli enormi profitti di Google.
Tuttavia, nel 2020 il quadro che sovrintende al trasferimento dei dati personali dall'UE agli Stati Uniti è stato abolito dai giudici dell'UE per i timori di ficcanaso da parte delle agenzie di spionaggio statunitensi.
Da allora gli attivisti hanno presentato dozzine di casi presso le autorità di regolamentazione in Europa sostenendo che lo strumento viola i diritti fondamentali dei cittadini dell'UE.
Le autorità di regolamentazione di diversi paesi si sono pronunciate a favore degli attivisti e hanno dichiarato Google Analytics incompatibile con il regolamento europeo sulla privacy dei dati (GDPR).
Le sentenze lasciano molte aziende europee in difficoltà.
Possono abbandonare Google e passare a un'opzione conforme alla privacy che costa denaro, oppure aspettare e sperare in una soluzione da Google, dalle autorità di regolamentazione o dai politici.
Venerdì, gli Stati Uniti e l'UE hanno annunciato di aver concordato in linea di principio un nuovo quadro per consentire i trasferimenti di dati, ma non hanno fornito ulteriori dettagli.
L'avvocato austriaco Max Schrems, che ha guidato la campagna per invalidare gli accordi precedenti, ha scritto su Twitter che sembrava un altro approccio "patchwork" senza una riforma sostanziale delle regole di ficcanaso degli Stati Uniti.
"Aspettiamo un messaggio, ma la mia prima scommessa è che fallirà di nuovo", ha scritto.
Potenziali correzioni
La scorsa settimana, Google ha dichiarato che rilascerà una nuova versione del suo software che non memorizzerà gli indirizzi IP, il codice univoco in grado di identificare i singoli computer.
L'azienda statunitense ha anche costruito data center in Europa.
Tuttavia, l'impatto di queste potenziali correzioni non è chiaro. Le autorità di regolamentazione non hanno ancora commentato.
"Le autorità per la protezione dei dati non hanno la soluzione", afferma Florence Raynal dell'autorità di regolamentazione francese CNIL, che si è pronunciata contro Google.
"Quella soluzione deve essere fornita dai governi a livello politico."
Le società statunitensi sono soggette a una legge nota come Cloud Act che consente alle agenzie di sicurezza statunitensi di accedere ai dati dei cittadini stranieri indipendentemente da dove sono archiviati.
Sebbene Google abbia affermato che il rischio rappresentato dal Cloud Act è teorico, ciò rende comunque difficile per le aziende statunitensi conformarsi al GDPR.
"A un bivio"
Marie-Laure Denis, capo della CNIL, considerata un leader le cui decisioni sono seguite da altre autorità di regolamentazione, ha riassunto il dilemma in una conferenza dell'Associazione internazionale dei professionisti della privacy (IAPP) a Parigi la scorsa settimana.
Ha detto delle aziende americane che "il loro modello di business dovrebbe evolversi, o il quadro giuridico americano dovrebbe evolversi".
Ma ha accettato che la situazione per le aziende europee che utilizzano Google Analytics fosse "complicata".
Pascal Thisse, che gestisce un'agenzia di consulenza alle aziende su come conformarsi al GDPR, afferma che le aziende si trovano "a un bivio" senza un'idea chiara del percorso da intraprendere.
"Se dici a un cliente che utilizza Google Ads di rimuovere Google Analytics, tutto crolla perché è la base del sistema", afferma.
Ma per conformarsi alle sentenze europee, le aziende dovrebbero dimostrare che l'intelligence statunitense non è interessata ai dati raccolti, un'impresa che va ben oltre i mezzi delle piccole imprese.
L'avvocato Schrems accetta anche che non ci sia una soluzione facile.
"È difficile per noi perché di solito cerchiamo di contenziosi dove c'è una soluzione e in questo caso abbiamo un problema politico", ha detto a un evento virtuale la scorsa settimana prima dell'annuncio USA-UE.
Ha affermato che la legge statunitense consente la sorveglianza di massa sui cittadini non americani, cosa che si è scontrata con la Carta dell'UE sui diritti fondamentali.
"O gli Stati Uniti cambiano le loro leggi o l'Unione Europea cambia i suoi principi fondanti fondamentali", ha detto.