Den italienska dataskyddsmyndigheten Garante per la protezione dei dati personali (Garante) har utfärdat en reprimand till Caffeina Media s.r.l. för överträdelser av artiklarna 5.1 (a), 5.2, 13.1 (f), 24, 44 och 46 i dataskyddsförordningen (GDPR).
Av beslutet framgår att Garante tagit emot ett klagomål från en registrerad. Enligt klagomålet har Caffeina Media, som var ansvarig för webbplatsen www.caffeinamagazine.it, överfört den registrerades personuppgifter till Google LLC, med säte i USA, genom användning av Google Analytics. Överföringen har enligt den registrerade skett i avsaknad av de garantier som föreskrivs i kapitel V i dataskyddsförordningen.
Som ett resultat av den Garantes utredning konstaterade myndigheten att de överföringar som Caffeina Media gjort till Google, med hjälp av Google Analytics, stred mot artiklarna 44 och 46 GDPR. Enligt Garante har Caffeina Media använt den kostnadsfria version Google Analytics i rent statistiska syften och inte implementerat den funktion för IP-anonymisering som Google Analytics erbjuder. När det gäller den utförda behandlingen fastställde Garante att Caffeina Media med hjälp av cookies samlat in information om hur användaren interagerar med webbplatsen samt med de enskilda sidor och tjänster som erbjuds. Enligt Garante omfattade de uppgifter som samlades in och överfördes till USA användarens IP-adress, tillsammans med information om webbläsare, operativsystem, skärmupplösning, valt språk samt datum och tid för visning av sidan. Garante framhöll särskilt att en IP-adress är en personuppgift varför den “IP-anonymisering” som Google erbjuder, med tanke på Googles möjligheter att berika de aktuella personuppgifterna med ytterligare information, snarare är en pseudonymiseringsteknik än en anonymiseringsteknik.
Mot bakgrund av ovanstående påpekade Garante att användningen av Google Analytics av webbplatsoperatörer, såsom Caffeina Media, innebär en överföring av personuppgifter till Google. Sådana överföringar, i den mån de sker till ett tredjeland som inte garanterar en adekvat skyddsnivå enligt dataskyddsförordningen, måste ske i enlighet med kapitel V i dataskyddsförordningen. Vidare konstaterade Garante att mot bakgrund av EU-domstolens dom i Schrems II-målet och Europeiska dataskyddsstyrelsens (EDPB) rekommendationer 01/2020 om åtgärder som kompletterar överföringsverktygen för att säkerställa överensstämmelse med EU:s skyddsnivå för personuppgifter är personuppgiftsansvariga i egenskap av exportörer skyldiga att kontrollera överföringen i fall till fall, och vid behov i samarbete med importören i tredjelandet, om den lagstiftning eller praxis som gäller i tredjelandet påverkar effektiviteten av de lämpliga skyddsåtgärder som ingår i standardavtalsklausulerna (SCC), för att fastställa om de skyddsåtgärder som föreskrivs i SCC kan följas i praktiken.
Garante påpekade vidare att om det till följd av den ovannämnda bedömningen konstateras att lagstiftningen och praxis i tredjelandet hindrar importören från att uppfylla skyldigheterna enligt det valda överföringsinstrumentet, vilket konstaterades i det aktuella fallet, måste exportören vidta ytterligare åtgärder som säkerställer en skyddsnivå för personuppgifter som i allt väsentligt motsvarar den som föreskrivs i dataskyddsförordningen. Enligt Garante var de krypteringsmekanismer som tillämpades i det aktuella fallet inte tillräckliga för att undvika riskerna för att amerikanska myndigheter, för nationella säkerhetsändamål, skulle få tillgång till de uppgifter som överförts från EU, eftersom sådana krypteringstekniker innebär att krypteringsnyckeln ligger hos Google. Garante påpekade att de amerikanska myndigheternas skyldighet att ge tillgång till uppgifterna åligger Google, inte bara när det gäller de importerade personuppgifterna, utan även när det gäller de krypteringsnycklar som krävs för att göra dem begripliga. Garante drog därför slutsatsen att de vidtagna åtgärderna inte kan anses vara tillräckliga så länge som krypteringsnyckeln är tillgänglig för importören. Garantin noterade dessutom att i avsaknad av lämpliga tekniska åtgärder kunde de ytterligare avtalsmässiga och organisatoriska åtgärder som vidtagits inte minska eller förhindra möjligheten för amerikanska myndigheter att få tillgång till de personuppgifter som är föremål för överföring.
Mot bakgrund av ovanstående ansåg Garante att de ytterligare skyddsåtgärder som vidtagits i det aktuella fallet inte kunde anses vara tillräckliga, vilket innebär att de relevanta överföringarna av personuppgifter till USA är olagliga i den mening som avses i artiklarna 44 och 46 GDPR. Garante konstaterade också att Caffeina Media brutit mot artiklarna 5.2 och 24 GDPR, och avvisade därmed Caffeina Medias argument om bristande självständighet när det gäller de beslut som ska fattas om överföring av uppgifter till tredjeländer, samt artiklarna 5.1 (a) och 13.1 (f) GDPR, eftersom det saknas information om överföring av uppgifter i webbplatsens integritetspolicy, som skapades med hjälp av den automatiska tjänst som erbjuds av iubenda s.r.l. för hantering av integritetspolicyer och cookiepolicyer.
Mot bakgrund omständigheterna ovan utfärdade Garante en reprimand mot Caffeina Media och ålade företaget att inom 90 dagar anpassa behandlingen till dataskyddsförordningen. Garante ansåg att tidsfristen var lämplig för att ge Caffeina Media möjlighet att vidta lämpliga åtgärder i samband med överföringen av uppgifter. Om tidsfristen inte skulle hållas påpekade Garante att myndigheten kommer beordra att alla Google Analytics-relaterade dataflöden till USA ska avbrytas.
Garante uppmanade också alla italienska webbplatsoperatörer, både offentliga och privata, att ta hänsyn till det olagliga i överföringen av uppgifter till USA till följd av användningen av Google Analytics och uppmanade alla personuppgiftsansvariga att kontrollera att användningen av cookies och andra spårningsverktyg på deras webbplatser är förenlig med dataskyddsförordningen.