La Datenschutzbehörde (DSB), l’Autorità austriaca per la protezione dei dati personali, si è nuovamente pronunciata contro Google, all’esito di un altro procedimento avviato dall’Associazione NOYB – European Center for Digital Rights. Dopo aver dichiarato l’illegittimità di Google Analytics per violazione delle norme del GDPR sul trasferimento dei dati personali lo scorso dicembre, il Garante austriaco si è spinto ora ad affermare che l’anonimizzazione degli indirizzi IP non può essere accettata quale valida misura di protezione per i dati oggetto di trasferimento: oltre a restare escluse tipologie di dati come gli identificatori impostati per i cookie e i dati del dispositivo, la stessa viene posta in essere solo dopo che i dati sono stati trasferiti a Google. Ne risulta, pertanto, secondo il Garante, inficiata in maniera significativa l’efficacia. Ancora, l’Autorità austriaca mette in dubbio la validità del cosiddetto “risk-based approach” quale strumento per determinare se e quali garanzie occorrono per effettuare in sicurezza un trasferimento di dati extra SEE, poichè non espressamente previsto dall’art. 44 del GDPR ed, inoltre, basato su un concetto di “minimo rischio” non compatibile con il dettato lo scopo della norma.
Per consultare la sentenza, clicca qui.