Il Garante per la protezione dei dati personali ha emesso il 9 giugno u.s. un provvedimento (doc. web. 9782890) con cui ha dichiarato illegittimo il trattamento di dati personali posto in essere da una società che gestisce un sito web e che si avvale dello strumento “Google Analytics” per finalità meramente statistiche.
Nella ricostruzione dell’Autorità, sulla base delle informazioni a disposizione, il gestore del sito web è stato classificato quale titolare del trattamento e Google (Google Ireland Limited e Google LLC) quali responsabile del trattamento e subresponsabile, anche in forza dei vigenti “Termini per il trattamento dei dati di Google Ads”.
Di seguito, in sintesi, passaggi logici che hanno portato il Garante a dichiarare illegittimo il trattamento:
1) Google Analytics raccoglie informazioni tra cui l’indirizzo IP del dispositivo utilizzato dall’utente, tale indirizzo è un dato personale;
2) Qualora il visitatore del sito acceda attraverso il proprio account Google, i dati raccolti da Google possono essere associati ad altri quali ad es. indirizzo email e numero di telefono;
3) È vero che Google ha messo a disposizione l’opzione “IP-Anonymization”, ma tale soluzione consente una forma di pseudonomizzazione (e non di anonimizzazione) posto che Google è in grado di reidentificare l’utente;
4) l’utilizzo di Google Analytics comporta pertanto il trasferimento di dati personali negli Stati Uniti;
5) La Corte di giustizia dell’Unione Europea – con la nota decisione Schrems II – ha dichiarato l’invalidità del “Privacy Shield” e, di conseguenza, ha accertato l’inadeguatezza della normativa statunitense a fornire garanzie adeguate (atteso che le autorità federali USA possono accedere senza limitazioni ai dati personali senza che gli interessati possano tutelarsi in alcun modo in sede giudiziaria);
6) I titolari che utilizzano le clausole contrattuali tipo per regolare il rapporto tra importatore ed esportare di dati (unico strumento idoneo per legittimare il trasferimento stante l’abrogazione del “Privacy Shield”) devono anche verificare in concreto se la legislazione e la prassi del paese dell’importatore di dati permettono o meno di incidere sull’efficacia delle garanzie;
7) la cifratura dei dati personali, nel caso del funzionamento dello strumento “Google Analytics”, non risulta misura adeguata per il motivo che la chiave di cifratura rimane nella disponibilità di Google il quale, per la normativa americana, deve consentire l’accesso sia ai dati che alle eventuali chiavi crittografiche;
8) In assenza di misure tecniche idonee, le misure contrattuali e organizzative da sole (quali l’impegno a verificare la legittimità delle richieste delle autorità e, se del caso, contestarle), non sono da considerarsi idonee a garantire un livello di protezione perché non sono in grado di ridurre o impedire l’accesso ai dati da parte della autorità americane;
9) Il trattamento posto in essere per il tramite di Google Analytics è pertanto illecito.
Il Garante ha reso noto il suddetto provvedimento mediante un comunicato stampa dello scorso 23 giugno 2022 e, in tale comunicato, ha invitato “tutti i titolari del trattamento a verificare la conformità delle modalità di utilizzo di cookie e altri strumenti di tracciamento utilizzati sui propri siti web, con particolare attenzione a Google Analytics e ad altri servizi analoghi, con la normativa in materia di protezione dei dati personali”. A tale riguardo il Garante, che ha concesso alla Società destinataria del provvedimento un tempo di 90 giorni per “conformare al Capo V del Regolamento […] il trattamento di dati personali degli utenti del sito […] effettuato per il tramite di Google Analytics, adottando misure supplementari adeguate” e ha indicato che “procederà, anche sulla base di specifiche attività ispettive, a verificare la conformità al Regolamento Ue dei trasferimenti di dati effettuati dai titolari”.
Fino a qui i fatti, ora cosa fare? Come si deve comportare una azienda / ente che utilizzi Google Analytics?
Il tema della liceità dei trattamenti mediante Google Analytics non è nuovo, né per gli esperti del settore né per i neofiti.
Oramai da tempo in Europa si considera il suddetto trattamento quantomeno “a rischio” e alcune autorità garanti nazionali si erano già attivate. In particolare il CNIL, autorità garante francese, ha messo in mora diversi utilizzatori di tale strumento ingiungendo la rimozione di Google Anaytics ai titolari che non fossero stati in grado di conformare i trattamenti dalla normativa vigente. Il CNIL ha stilato un elenco di “complesse” misure che possono almeno in teoria contribuire alla liceità dell’utilizzo di Google Anaytics e, vale la pena di ricordarlo, ha fornito un elenco di soluzioni alternative (salvo affermare contestualmente che tali soluzioni non sono state valutare sotto il profilo della liceità dei trasferimenti extra UE). E quindi?
Il titolare del trattamento italiano, che fino a ieri poteva avere la convinzione che con l’opzione “IP-Anonymization” (magari in sinergia con un banner adeguato) potesse mitigare i problemi derivanti da un trasferimento extra UE e quindi che stava ancora operando conformemente alla legge, oggi invece sa che non è così. Serve quindi agire, consci che rimanendo inattivi ci si espone unicamente a contestazioni. Ma agire come?
Va premesso a riguardo che il problema ha una natura eminentemente politica (per non dire geopolitica) e che quindi la soluzione non arriverà certo da un provvedimento di una autorità garante (e probabilmente nemmeno da una soluzione tecnologica dell’ultimo minuto). In un articolo dal titolo “Garante e Google Analytics, la soluzione sarà politica” pubblicato su www.giornalettismo.com, viene dato conto di alcune dichiarazioni del collegio del Garante. Secondo il Garante ci sono ad oggi pochi punti fermi:
- i trasferimenti dei dati personali verso gli Stati Uniti non sono vietati a prescindere;
- una modalità di Google Analytics conforme potrebbe esistere;
- dire quale sia questa modalità non è possibile, ma sta ai vari siti e a Google individuarla.
E ancora, riportando il pensiero dell’avv Sforza membro del comitato del Garante, sempre il citato articolo riporta il seguente virgolettato “La nostra principale speranza è che nei prossimi 90 giorni intervenga un accordo giuridicamente vincolante tra Europa e Stati Uniti. In caso contrario, si configura lo scenario peggiore: il moltiplicarsi di provvedimenti di blocco in relazione ai quali poco si potrà fare. Andranno adottati e saranno destinati ad estendersi a macchia d’olio anche fuori dal perimetro di Google Analytics”.
Quindi due sono le direttrici su cui un titolare del trattamento italiano può oggi muoversi:
- verificare se esiste una modalità di Google Analytics conforme (e documentarne il perché),
- individuare una alternativa, se possibile “valida”.
Per quanto alla soluzione n. 1, le “speranze” (se si vuole utilizzare impropriamente tale termine che dovrebbe essere destinato a ben altre circostanze) sono riposte in Google Analytics 4. Si tratta di una versione aggiornata dello strumento (che sta attualmente già sostituendo le precedenti). Tale versione pare operi l’eliminazione degli indirizzi IP su server posti in Unione Europea, prima di inviare i dati di traffico ai server statunitensi. Se sulla carta la soluzione potrebbe essere percorribile, ancora una volta occorrerà attendere i primi procedimenti dinnanzi ai garanti nazionali (ad oggi il garante italiano ha escluso esplicitamente di aver preso in considerazione il funzionamento di Google Analytics 4) per comprendere se tale aggiornamento risolva il problema. Il rischio concreto è che, dal punto di vista tecnico (prima ancora che contrattuale), emergano dubbi di fondo come successo per l’opzione “IP-Anonymization”. È quindi necessario produrre documentazione tecnica adeguata a supporto di una scelta di utilizzare Google Analytics 4.
Per quanto alla soluzione n. 2, essa pare ad oggi garantire maggiori possibilità di operare in conformità alla normativa vigente. Su questa soluzione però incombono le dichiarazioni dei Garanti nazionali che, seppure oggi si sono espressi solo su Google Analytics, non escludono domani di esprimersi su ulteriori strumenti di uso comune nel mondo del web. Ancora una volta quindi la soluzione non starà nello scegliere una data soluzione in ragione del suo sviluppatore, ma nello scegliere una soluzione per le caratteristiche tecniche che presenta. Come indicato anche dal Garante nel provvedimento cui questo articolo fa riferimento, il titolare non può sollevarsi dalle sue responsabilità semplicemente optando per un primario fornitore, il titolare deve entrare nel merito della soluzione e dei suoi più profondi tecnicismi. Inoltre – laddove non sia possibile arrivare a comprenderli – il titolare non deve accettarli a scatola chiusa, ma deve rivolgersi altrove.
In conclusione, l’unica cosa certa è che i prossimi mesi vedranno una trepidante attesa della soluzione “geopolitica”, incombente il rischio che – come alcuni commentatori stanno riportando – ogni altra soluzione necessariamente dovrà portare a sconvolgere il mondo del web (e non solo) rispetto a come lo abbiamo sempre conosciuto.