Cosa cambia con il nuovo Data Privacy Framework UE-USA per aziende e professionisti?

Il 10 luglio 2023 la Commissione Europea ha dato via libera al Data Privacy Framework, il nuovo accordo sul trasferimento dei dati personali tra Europa e Stati Uniti.

Il Data Privacy Framework rappresenta un passo avanti fondamentale sul tema della privacy degli utenti e del rispetto delle disposizioni GDPR europee: grazie ad esso, i dati personali degli utenti europei possono tornare a fluire verso le aziende localizzate negli Stati Uniti senza la necessità di mettere in atto ulteriori azioni di tutela e di protezione dei dati.

In altre parole, il Data Privacy Framework permette ora ad aziende e professionisti del web di continuare a utilizzare tutti gli strumenti di digital marketing e di digital analytics (ad esempio Facebook Ads, Google Ads, GA4, software di email marketing, CRM, ecc.) in modo sicuro e pienamente conforme alle disposizioni GDPR europee.

La decisione di adeguatezza rappresenta l’atto finale di un lungo iter di approvazione del nuovo accordo politico nato per colmare un vuoto normativo tra Europa e Stati Uniti sulle regole legate al trasferimento dei dati personali degli utenti europei.

 

Riassumiamo di seguito i passi fondamentali di questo iter di approvazione:

• la sentenza del 16 Luglio 2020 della Corte di Giustizia Europea ha dichiarato invalida l’adeguatezza dell’accordo normativo Privacy Shield per i trasferimenti dei dati personali degli utenti europei verso gli Stati Uniti
• il provvedimento del Garante Privacy italiano dello scorso 9 Giugno 2022 ha affermato che l’utilizzo di Google Universal Analytics (GA3) non rispetta il GDPR, poiché lo strumento “viola la normativa sulla protezione dei dati perché trasferisce negli Stati Uniti, paese privo di un adeguato livello di protezione, i dati degli utenti”
• il 7 Ottobre 2022 il presidente USA Joe Biden ha emanato un Executive Order, definendo i punti normativi alla base del nuovo accordo sul trasferimento dei dati UE-USA
• il parere pubblicato il 28 Febbraio 2023 dall’EDPB (il Comitato europeo per la protezione dei dati) sulla bozza del Data Privacy Framework UE-USA, ha accolto positivamente i miglioramenti adottati rispetto al precedente quadro normativo, segnalando proposte migliorative da includere nella bozza di decisione
• il 10 luglio 2023 la Commissione Europea ha comunicato la sua decisione di adeguatezza al Data Privacy Framework, il nuovo accordo sul trasferimento dei dati personali tra Europa e Stati Uniti

 

Cosa comporta l’adozione del Data Privacy Framework da parte della Commissione europea?

Il nuovo Data Privacy Framework adottato dalla Commissione Europea offre soluzioni adeguate alle preoccupazioni espresse dalla Corte di Giustizia Europea, introducendo nuove tutele e salvaguardie vincolanti, in particolare:

• definendo limiti di accesso ai dati degli utenti europei da parte dei servizi di Intelligence americani
• istituendo un Tribunale di Revisione sulla Protezione dei Dati composto da giudici nominati al di fuori degli USA che potrà accogliere i reclami da parte degli utenti europei in materia di trattamento dei dati personali

Di conseguenza, ad oggi il Data Privacy Framework è da considerarsi come la soluzione definitiva a tutte le (legittime) preoccupazioni legate al trasferimento dei dati degli utenti europei negli USA.

Questo a patto che si tenga sempre in considerazione che i dati personali degli utenti sono e restano tutelati dal GDPR, e quindi che devono essere sempre raccolti e trattati a norma di legge.

Una domanda che in molti si stanno ponendo è la seguente: “l’entrata in vigore del Data Privacy Framework pone quindi una pietra tombale sull’annoso tema della legittimità del trasferimento dei dati degli utenti europei negli USA?”

La risposta breve a questa domanda è per il momento sì, fatto salvo che – come abbiamo detto – il trattamento dei dati degli utenti non deve essere fatto a cuor leggero, in quanto è sempre soggetto alle norme GDPR.

Ciò premesso, è ragionevole attendersi che il Data Privacy Framework resti in vigore nei mesi e negli anni a venire.

Questo a patto che non ci siano dei colpi di scena dovuti a dei reclami inoltrati alla Corte di Giustizia Europea, come peraltro è già accaduto in passato.

Infatti, come era stato preannunciato nei mesi scorsi, l’avvocato Maximilian Schrems – fondatore dell’organizzazione senza scopo di lucro NOYB – ha esposto alla Corte di Giustizia Europea un reclamo circa la non adeguatezza del Data Privacy Framework, opponendosi alla decisione con un’azione giuridica formale come già fatto in passato con il precedente accordo Privacy Shield.

La buona notizia è che, a prescindere dall’esito di questo reclamo, le tempistiche per la sua valutazione da parte della Corte di Giustizia Europea non saranno certo immediate.

 

Cosa è possibile tracciare ora che il Data Privacy Framework è stato approvato?

Con l’adozione del Data Privacy Framework aziende e professionisti possono tracciare e utilizzare i dati personali degli utenti attraverso i vari strumenti di digital marketing e di digital analytics nel rispetto della normativa GDPR, ma senza l’esigenza di dover implementare soluzioni tecniche specifiche di tutela riguardo il trasferimento dei dati degli utenti europei negli USA.

Per quanto riguarda l’utilizzo di GA4, l’approvazione dell’accordo UE-USA ha dato nuovamente il via libera al passaggio dei dati personali degli utenti a Google Analytics 4 senza vincoli specifici, e all’utilizzo di tali dati per ottimizzare le proprie attività e campagne marketing online.

A questo riguardo, prima del Data Privacy Framework, Tag Manager Italia aveva proposto una soluzione basata sull’utilizzo del tracciamento Server-Side per l’anonimizzazione (o la pseudonimizzazione) dei dati personali degli utenti europei da inviare negli USA.

(La soluzione proposta è basata sulle indicazioni del CNIL – l’Autorità Garante della protezione dei dati francese per utilizzare Google Analytics e il tracciamento Server-Side in modo conforme alle norme GDPR.)

Anche se ad oggi il tracciamento Server-Side non è più necessario per essere in regola con il GDPR, come vedremo a breve il nostro consiglio è di implementarlo comunque per numerose ragioni che vedremo a breve.

Allo stesso modo è ora possibile attivare nuovamente alcuni dei sistemi avanzati di tracciamento che Google Analytics 4 mette a disposizione, ad esempio:

• la configurazione e attivazione di Google Signals
• la raccolta di dati granulari su località e dispositivo dell’utente in base all’area geografica
• le impostazioni avanzate per consentire la personalizzazione degli annunci

e altri.

 

“Devo fare dei cambiamenti alla mia configurazione di digital analytics ora che il Data Privacy Framework è stato approvato?”

L’adozione del Data Privacy Framework non cambia nulla a proposito della corretta procedura di raccolta, trattamento e utilizzo dei dati personali in base ai consensi espressi dagli utenti.

Dovrai quindi continuare a gestire il sistema di tracciamento dei dati personali sul tuo sito web o e-commerce in modo dinamico attraverso il Cookie Banner e la Consent Mode a seconda del consenso dei cookie che gli utenti concedono o negano.

In questo modo, se ad esempio un utente che atterra sul tuo sito web nega il consenso ai cookie di tipo analitico, dovrai attivare implementazioni e tecniche di anonimizzazione o di pseudonimizzazione dei dati personali dell’utente.

Se un utente invece accetta il tracciamento per i cookie di tipo analitico ma nega il consenso per i cookie con finalità di marketing, il tuo sistema di tracciamento dovrà fare in modo di misurare i dati relativi alla sessione di navigazione dell’utente, senza raccogliere i dati di profilazione dell’utente stesso.

 

Cosa ti consigliamo di fare ora che l’accordo sul trasferimento di dati tra UE-USA è stato approvato?

L’adozione del sistema di tracciamento dati Server-Side resta una soluzione che ti consigliamo vivamente di applicare (se non è ancora stata implementata sul tuo sito web o e-commerce) o di ottimizzare (se l’hai già implementata).

Questo per almeno quattro ottimi motivi.

1. Primo motivo: il tracking Server-Side ti permette di tracciare un numero maggiore di dati rispetto al tracciamento clients-side, e i dati tracciati sono molto più accurati. In questo modo è possibile sia rendere più performanti le campagne pay-per-click, sia fare analisi molto più complete e prendere di conseguenza decisioni di marketing più efficaci
2. Secondo motivo: il tracking Server-Side ti permette di aumentare sia la sicurezza dei dati degli utenti e dei clienti del tuo sito web, sia la velocità di caricamento delle pagine del tuo sito, che si traduce in benefici importanti lato UX e lato SEO
3. Terzo motivo: il tracking Server-Side ti permette di processare lato server i dati raccolti, ottenendo dei vantaggi considerevoli in materia di profilazione dei tuoi utenti e dei tuoi clienti, il tutto nel rispetto della normativa GDPR
4. Quarto motivo: il tracking Server-Side ti permette una grande flessibilità riguardo i dati da tracciare e riguardo i dati da inviare negli USA (ad esempio, i dati che invii ai server di Meta/Facebook, Google, etc.). Nel caso in cui ci fossero degli sviluppi improvvisi ed imprevisti riguardo la legittimità del trasferimento dei dati personali negli USA, con il tracking Server-Side puoi intervenire rapidamente per adattarti ad ogni potenziale cambiamento della normativa vigente.

 

Il prossimo passo

Ora che il Data Privacy Framework è stato approvato, è importante approfondire i risvolti legali e tecnici in materia di digital analytics e di digital marketing per mettere in campo strategie e azioni efficaci e sicure per il proprio business e per il rispetto delle norme GDPR.

Per questo motivo ti aspettiamo IN DIRETTA mercoledì 13 Settembre alle ore 12:00 per seguire il nostro webinar gratuito “TUTTO SUL NUOVO DATA PRIVACY FRAMEWORK“.

I posti sono limitati: iscriviti subito su questa pagina

Io e l’avvocato Antonino Polimeni – studio legale Polimeni.Legal – ti aspettiamo in diretta per rispondere a tutte le tue domande in merito al nuovo accordo sul trasferimento dati tra Europa e Stati Uniti.

A presto e… buon GA4! 🙂