DSB Austria: Schrems e Trasferimenti di Dati
La Datenschutzbehörde (DSB) austriaca è l'autorità garante di riferimento per NOYB. NOYB è l'acronimo di None of Your Business. Max Schrems ha fondato l'organizzazione, che ha presentato oltre 1.000 reclami GDPR dal 2018. La DSB ha gestito 422 di questi casi tra il 2022 e il 2024.
Questo precedente è significativo. La DSB si trova al centro di due battaglie legali che hanno già ridisegnato il diritto europeo sui trasferimenti di dati.
NOYB e la DSB: uno Schema Ricorrente
Schrems I (2015): Schrems ha presentato un reclamo sui flussi di dati Facebook UE-USA. La CGUE ha annullato il Safe Harbor. Oltre 4.000 aziende facevano affidamento su quel framework all'epoca.
Schrems II (2020): Una seconda impugnazione ha colpito il Privacy Shield. Più di 5.000 aziende vi facevano riferimento. La sua caduta ha imposto nuove trattative, sfociate nel Data Privacy Framework UE-USA (DPF), entrato in vigore nel 2023.
Schrems III atteso (2025–2026): NOYB ha contestato la decisione di adeguatezza del DPF. La tesi: la Sezione 702 della FISA è ancora in conflitto con il GDPR. È atteso un rinvio alla CGUE.
Il 78% dei casi DSB riguarda trasferimenti transfrontalieri o strumenti di terze parti. Questa priorità distingue l'autorità garante austriaca dalle altre in Europa.
La Sentenza DSB su Google Analytics
La decisione DSB del gennaio 2022 su Google Analytics ha definito il modello per i casi sui trasferimenti.
Sono emerse tre conclusioni fondamentali:
- Gli indirizzi IP sono dati personali. Anche gli IP troncati possono consentire la re-identificazione all'interno dei sistemi Google. I record di sessione aggravano il problema.
- L'accesso di un fornitore USA equivale a un trasferimento. Quando tecnici statunitensi possono accedere ai dati degli utenti europei, quell'accesso costituisce un trasferimento ai sensi del GDPR. Ciò riguarda attività di supporto, manutenzione e richieste legali.
- Le SCC senza TIA non sono sufficienti. Le Clausole Contrattuali Standard devono essere accompagnate da una Transfer Impact Assessment. La TIA deve dimostrare che le leggi di sorveglianza americane non neutralizzano le tutele offerte dalle SCC.
La DSB ha dichiarato responsabile l'operatore austriaco del sito — non Google. L'operatore era il titolare del trattamento. Questo principio si applica a qualsiasi azienda europea che incorpora script di terze parti. Consulta la nostra guida alla conformità GDPR per i doveri del titolare del trattamento.
Misure Tecniche Supplementari
Dopo Schrems II, l'EDPB ha pubblicato indicazioni sulle misure tecniche supplementari da adottare quando le SCC non bastano da sole. La DSB applica queste indicazioni.
Tre approcci superano il vaglio della DSB:
Cifratura con chiavi custodite nell'UE. Cifrare i dati prima che lascino l'UE. Conservare le chiavi di decifratura in mani europee. Se le autorità americane costringono il fornitore a consegnare i file, ottengono solo testo cifrato illeggibile.
Pseudonimizzazione prima del trasferimento. Inviare oltre confine solo token pseudonimizzati. Conservare la chiave di re-identificazione all'interno dell'UE. I file trasferiti non contengono dati personali diretti.
Elaborazione locale. Eseguire tutta l'elaborazione su server ospitati in Europa. Trasferire solo statistiche aggregate e veramente anonime. Nessun dato personale attraversa i confini.
La DSB ha confermato questa posizione. Le organizzazioni che utilizzano fornitori SaaS americani per dati personali europei devono applicare almeno uno di questi approcci, oppure dimostrare che il contenuto trasferito è genuinamente anonimo.
Il Rischio Schrems III
Le aziende che si affidano esclusivamente al DPF affrontano un rischio concreto. Se la sfida di NOYB alla CGUE avrà successo, quelle aziende dovranno trovare rapidamente nuovi strumenti per i trasferimenti. Esattamente quanto accaduto nel 2015 e nel 2020.
Le organizzazioni che adottano misure tecniche supplementari sono protette. Se il contenuto è genuinamente anonimo, non si verifica alcun trasferimento ai sensi del GDPR. Una caduta del DPF non cambierebbe nulla per loro.
Per le operazioni in Austria: gli strumenti di analisi (Google Analytics, Mixpanel, Amplitude) espongono tutte le aziende a rischi DSB. Lo stesso vale per i CRM con case madri statunitensi (Salesforce, HubSpot) e per le piattaforme cloud dove il personale americano detiene accesso amministrativo.
La soluzione è la stessa in tutti i casi. Assicurarsi che i dati personali siano genuinamente anonimi prima che raggiungano il fornitore, oppure cifrarli con chiavi detenute esclusivamente dal titolare UE. La nostra panoramica su sicurezza e conformità spiega come il design zero-knowledge elimini il problema dei trasferimenti alla radice.