L'Autorità per la protezione dei dati austriaca (DSB) è l'autorità di supervisione principale per i casi presentati da NOYB — None of Your Business — l'organizzazione di advocacy per la privacy fondata da Max Schrems. NOYB ha presentato oltre 1.000 reclami strategici ai sensi del GDPR dal 2018, e il DSB ha gestito 422 di essi nel periodo 2022-2024. Comprendere l'applicazione del DSB significa comprendere il contenzioso strategico che ha rimodellato due volte la legge europea sui trasferimenti di dati.
NOYB e il DSB: Un Modello di Applicazione Strategica
Schrems I (2015): Il reclamo di Max Schrems sui trasferimenti di dati di Facebook tra UE e USA ha invalidato il framework Safe Harbor utilizzato da oltre 4.000 aziende.
Schrems II (2020): La sfida successiva di Schrems ha invalidato il Privacy Shield UE-USA, colpendo oltre 5.000 aziende e innescando una rinegoziazione d'emergenza che ha portato all'attuale Data Privacy Framework UE-USA (2023).
Schrems III previsto (2025-2026): NOYB ha presentato sfide alla decisione di adeguatezza del DPF, sostenendo che la Sezione 702 del FISA rimane incompatibile con il GDPR. Si prevede un rinvio alla CJEU.
Il 78% dei casi di applicazione del DSB coinvolge trasferimenti di dati o integrazioni di terze parti — questo focus centrato sui trasferimenti è la caratteristica distintiva dell'applicazione austriaca.
La Decisione del DSB su Google Analytics
La decisione del DSB di gennaio 2022 su Google Analytics ha stabilito il modello per tutte le successive applicazioni relative ai trasferimenti:
- Gli indirizzi IP sono dati personali. Anche gli IP troncati combinati con i dati di sessione consentono la re-identificazione nel database di Google.
- Accesso dei fornitori statunitensi = trasferimento. Quando gli ingegneri statunitensi possono accedere ai dati degli utenti UE (per supporto, manutenzione o obbligo legale), tale accesso costituisce un trasferimento di dati ai sensi del GDPR.
- SCC senza adeguata TIA = violazione. Le Clausole Contrattuali Standard senza una Valutazione dell'Impatto del Trasferimento che dimostri che la legge sulla sorveglianza statunitense non le annulla sono insufficienti.
Il DSB ha stabilito che l'operatore del sito web austriaco — non Google — era il titolare del trattamento responsabile per il trasferimento illegale. Questo principio influisce su ogni azienda dell'UE che incorpora script di terze parti.
Misure Tecniche Supplementari: Cosa Funziona Davvero
Dopo Schrems II, l'EDPB ha emesso linee guida sulle misure tecniche supplementari richieste quando le SCC da sole sono insufficienti. Il DSB applica queste linee guida:
Crittografia con chiavi detenute nell'UE: Se i dati personali dell'UE sono crittografati prima del trasferimento negli Stati Uniti, e le chiavi di decrittazione sono detenute esclusivamente da titolari di chiavi con sede nell'UE, i dati sono effettivamente anonimi ai fini del trasferimento GDPR — le autorità statunitensi non possono costringere l'accesso a dati che non possono leggere.
Pseudonimizzazione prima del trasferimento: Se i dati trasferiti contengono solo identificatori pseudonimi (chiave di re-identificazione detenuta nell'UE), i dati trasferiti non sono "dati personali" per il trasferimento.
Elaborazione locale: I dati che non lasciano mai l'infrastruttura ospitata nell'UE evitano completamente i requisiti di trasferimento. Solo statistiche aggregate, veramente anonimizzate vengono trasferite.
Il DSB ha stabilito che le organizzazioni che utilizzano fornitori SaaS statunitensi per l'elaborazione dei dati personali dell'UE devono implementare queste misure o dimostrare che i dati sono realmente anonimizzati.
Il Rischio Schrems III per le Organizzazioni che Utilizzano Fornitori Statunitensi
Le organizzazioni che si affidano esclusivamente al Data Privacy Framework UE-USA (DPF) per i trasferimenti di dati negli Stati Uniti affrontano un rischio specifico: se la sfida di NOYB alla CJEU ha successo — come è accaduto con Safe Harbor (2015) e Privacy Shield (2020) — le organizzazioni devono immediatamente cercare meccanismi di trasferimento alternativi.
Le organizzazioni che utilizzano misure tecniche supplementari (crittografia con chiavi detenute nell'UE, vera anonimizzazione prima del trasferimento) sono protette dal rischio di invalidazione del DPF. Il trasferimento tecnicamente non avviene se i dati sono realmente anonimizzati o crittografati con chiavi a cui il fornitore statunitense non può accedere.
Per le operazioni austriache in particolare: l'analisi dei siti web che utilizza strumenti statunitensi (Google Analytics, Mixpanel, Amplitude), i sistemi CRM con aziende madri statunitensi (Salesforce, HubSpot) e l'infrastruttura cloud con accesso amministrativo accessibile dagli Stati Uniti creano esposizione all'applicazione del DSB. La mitigazione consiste nell'assicurare che i dati personali in questi sistemi siano o realmente anonimizzati prima di raggiungere i sistemi del fornitore, o crittografati con chiavi detenute esclusivamente dal titolare dell'UE.
Fonti: