Come ormai noto, il Provvedimento emesso dal Garante il 9 giugno scorso (Registro dei provvedimenti n. 224 del 09/06/2022 – doc. web n. 9782890) ha stabilito che un sito web, utilizzando il servizio Google Analytics (GA3), senza le garanzie previste dal GDPR, viola la normativa sulla protezione dei dati personali perché li trasferisce negli Stati Uniti, Paese privo di un adeguato livello di protezione e garanzia di esercizio dei diritti dei cittadini dell’Unione Europea.
Decisione questa, rafforzata da una recente dichiarazione di un autorevole membro del Consiglio del Garante Privacy comparsa il 5 luglio ultimo scorso sul sito www.garanteprivacy.it.
Dall’indagine dell’Autorità, infatti, è emerso che i gestori dei siti web, utilizzando Google Analytics raccolgono, mediante cookie, informazioni sulle interazioni degli utenti, le singole pagine visitate e i servizi proposti.
L’indirizzo IP del dispositivo utilizzato, la tipologia di browser, il sistema operativo, la risoluzione dello schermo, la lingua selezionata, nonché data e ora della visita al sito web costituiscono dati personali al pari di indirizzo email, numero di telefono, data di nascita e immagini presenti sul profilo di Google.
Inoltre, è stato accertato che la possibilità di una ‘pseudonimizzazione’ del dato relativo all’indirizzo di rete (IP Anonymization) messo a disposizione da GA3 non è reale in quanto Google è sempre in possesso della chiave di rilettura del dato che consente comunque la re-identificazione dell’utente.
Questo perché l’azienda americana è costretta a rispettare il diritto interno che consente alle sue agenzie di intelligence di accedere, senza adeguate limitazioni, ai dati personali dei cittadini della UE trasferiti sui suoi server, senza fornire la possibilità di esercitare diritti di opposizione e di difesa.
Oltre la legittimità di trasferimento dell’Europa
Tutto ha inizio con la denuncia di NYOB, un’associazione no-profit austriaca per i diritti digitali, all’indomani della pronuncia della Corte di Giustizia Europea con la sentenza Schrems II che dichiarava l’invalidità sulla adeguatezza della protezione offerta dagli USA (c.d. Privacy Shield) per i dati dei cittadini europei.
Il Provvedimento, segue quanto già stabilito dai Garanti Privacy austriaco e francese con la rilevante differenza che l’Autorità Italiana ha dato 90 giorni di tempo alla società inadempiente per “conformare (…) il trattamento di dati personali degli utenti del sito effettuato per il tramite di Google Analytics, adottando misure supplementari adeguate”, in mancanza delle quali, decorso il suddetto termine, l’utilizzo di Google Analytics dovrà essere sospeso.
Alla Società destinataria del Provvedimento è stato contestato di aver assunto come idonee le informazioni e i documenti forniti, sul sito internet da Google. In particolare, sull’adeguatezza delle misure tecniche relative alla protezione dei dati personali rispetto alle quali però, la stessa, non ha alcuna possibilità di verificare l’implementazione a livello tecnico ovvero di impartire specifiche istruzioni sull’effettiva implementazione delle stesse”.
A tal proposito, si ricorda che Google Ireland Limited opera come Responsabile del trattamento ed è soggetta, come fornitore di servizi, a quel monitoraggio di conformità da parte del Titolare sancito dal GDPR.
Tuttavia, si legge nel provvedimento, l’azienda “non ha né i mezzi né le possibilità operative o tecniche per imporre al fornitore modifiche delle [predette] misure di sicurezza”, non disponendo di “alcuna forza contrattuale per intrattenere dialoghi commerciali con la sua controparte [né] (..) per interagire con la stessa”.
Oltre a quanto sopra, è stata accertata: la violazione dei principi di liceità, correttezza e trasparenza applicati al trattamento dei dati personali; l’impossibilità di dimostrare di aver messo in atto misure tecniche e organizzative adeguate per garantire che il trattamento dei dati sia effettuato in conformità del GDPR e l’inadeguatezza di un’informativa ex art. 13 agli utenti del sito internet.
Dai chiarimenti dell’Autorità Garante per la Privacy si evince che non è messa in discussione la legittimità del trasferimento di dati personali al di fuori dell’Europa, ma la modalità con cui viene dimostrata l’esigenza di determinare se il trasferimento in questione sia frutto di un’analisi sulla legislazione e le prassi applicabili nel paese terzo ai dati trasferiti e la verifica delle possibilità di accesso da parte delle autorità del paese terzo.
In pratica, non è stato prodotto un Transfer Impact Assessment (TIA) ovvero una valutazione sull’adeguatezza delle misure di salvaguardia per il trasferimento di dati verso paesi terzi che non sono presenti nella white list della Commissione UE.
Si tratta di una procedura, solitamente, strutturata in sei fasi che gli operatori possono seguire per stabilire se sia possibile e a quali condizioni operare il trasferimento, considerando che secondo il principio di accountability, previsto all’interno del GDPR, è sempre onere del titolare del trattamento dimostrare il rispetto della liceità dei trattamenti.
Il GDPR, infatti, prevede una serie di altre condizioni di legittimità del trasferimento di dati personali al di fuori dell’Europa, incluse quelle tecniche. Alcune di queste, sono state fornite dal CNIL (Garante privacy francese) prevedendo l’utilizzo di un server proxy proprietario a monte di un server proxy nativo in Google Analytics 4 (upgrade di GA3), ossia un server intermediario localizzato in Europa su cui far giungere i dati degli utenti.
Potrebbe essere una soluzione adeguata per rispettare le disposizioni europee in materia di Privacy, perché evita che i dati personali degli utenti arrivino direttamente sui server di Google prima in EU e poi nei server situati negli USA.
Google Analytics 4: la posizione del Garante
A proposito di Google Analytics 4, l’Autorità italiana, ha precisato che i suoi ispettori non hanno avuto occasione di esaminare questa nuova versione semplicemente perché il titolare del trattamento oggetto del provvedimento non la utilizzava, né sin qui tale versione è venuta in rilievo in altri procedimenti analoghi.
Tuttavia, precisa il Garante privacy, per rendere il servizio di Google Analytics conforme alle regole europee non è sufficiente cancellare gli indirizzi IP degli utenti [da Google] subito dopo la raccolta, né che non siano affatto raccolti se, al loro posto, sono comunque raccolti e trasferiti nella disponibilità della casa madre americana di Big G altri dati che consentano a quest’ultima e, dunque – agendo essa in qualità di responsabile del trattamento – almeno in astratto al titolare del trattamento di identificare o re-identificare un utente.
Dalla sua Google Analytics 4 indica, nell’utilizzo di Google Tag Manager (GTM) Server-Side, una soluzione, per la verità non nuova, dove è già possibile anonimizzare, oppure rimuovere (parzialmente o completamente), attraverso una configurazione manuale e per esperti, i dati personali raccolti. Da un punto di vista giuridico è sempre consigliabile la stesura di una TIA per dimostrare l’esatto censimento dei dati trasferiti, l’adeguatezza delle misure tecniche – organizzative adottate in funzione della legislazione e le prassi applicabili nel paese terzo sull’accesso ai dati personali dei cittadini UE.
Conclusioni
Considerazioni tecniche a parte, la posizione del Garante italiano è esplicita: Google Analytics non si può usare perché il modo in cui è progettato il servizio consente alla autorità americane di accedere anche ai dati personali degli utenti europei e non ci sono “misure di sicurezza” che il cliente di Google possa utilizzare o pensare di imporre contrattualmente alla multinazionale statunitense.
È pur vero che la decisione ha, inesorabilmente, una portata che trascende il singolo caso sul quale l’Autorità si è pronunciata perché esistono certamente migliaia o decine di migliaia di soggetti pubblici e privati che utilizzano il servizio di GA esattamente come lo utilizza l’editore destinatario del servizio.
A tal proposito, con il suo comunicato stampa, il Garante privacy ha informato che, trascorsi i novanta giorni dal deposito del Provvedimento, inizierà a fare ispezioni e verifiche per fare in modo, per quanto possibile, che tutti quanti si trovino in posizioni identiche, siano trattati allo stesso modo, così da evitare il crearsi di antipatiche asimmetrie.
Nel contesto sopra descritto è evidente che manca, nonostante sia stato preannunciato, un’accordo politico tra UE e USA sul trasferimento dei dati personali e quelle basi giuridiche oramai assenti da troppo tempo.
Nella speranza che veda presto la luce il Trans-Atlantic Data Privacy Framework, recentemente annunciato dalla presidente della Commissione Europea Von der Leyen e dal presidente americano Biden, a ripristinare la liceità dei trasferimenti di dati personali verso gli USA (che, ricordiamo, coinvolgono molti altri servizi di uso quotidiano oltre a GA), si consiglia, di valutare l’effettiva necessità di adottare, all’interno del proprio sito web, gli strumenti forniti da Google per elaborare le statistiche. Se questi non sono necessari, si consiglia di disabilitarli quanto prima.
Vuoi saperne di più sul tracciamento dei dati?
