L’autorità garante austriaca DSB (Datenschutzbehörde) ha recentemente ritenuto che l’uso di Google Analytics da parte di un provider di siti web austriaco avrebbe causato il trasferimento di dati personali a Google LLC negli Stati Uniti in violazione del capo V del GDPR, che regola i trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali.
Questa è la prima decisione su uno dei 101 reclami, presentati dalla ONG “NOYB” relativi al trasferimento di dati da siti Web con sede nello Spazio Economico Europeo a Google LLC e Facebook Inc. negli Stati Uniti, sulla scia della sentenza “Schrems II”. Tale sentenza annullava di diritto l’accordo “Privacy Shield” fra Stati Uniti ed Europa sul trasferimento di dati personali, in quanto i fornitori di servizi di comunicazione elettronica sono soggetti all’obbligo di divulgare i dati dei cittadini europei se intimati dai servizi di intelligence statunitensi.
Nel caso specifico e sulla base da quanto dichiarato dalla ONG “NYOB”, il ricorrente avrebbe effettuato l’accesso al suo account Google personale e successivamente visitato un sito Web con incorporato un codice HTML per i servizi di Google, fra cui Google Analytics (il servizio di web analytics gratuito fornito da Google che consente di analizzare le statistiche dettagliate sui visitatori di un sito web). Nel corso della navigazione, il provider avrebbe trasmesso dati personali a Google LLC, fra cui l’indirizzo IP e i dati dei cookie del ricorrente, in quanto su un piano meramente tecnico è possibile visualizzare le informazioni sul sito web visitato dall’utente se ha personalizzato quali annunci pubblicitari ricevere da Google.
In relazione al trattamento dei dati tramite Google Analytics, il GDPR qualifica il provider del sito web come titolare del trattamento (art. 4, par. 7 GDPR) e Google LLC come responsabile del trattamento (art. 4, par. 8 GDPR). Inoltre, in base ai documenti forniti, le parti avrebbero stipulato clausole contrattuali standard ai sensi dell’art. 46, par. 2, lett. c) del GDPR. Questa tesi è stata supportata dalla realtà dei fatti, in quanto nel corso del procedimento il provider avrebbe disposto la cancellazione di tutti i dati raccolti attraverso Google Analytics, con la conferma di Google LLC (ex art. 28. par. 3, lett. g) del GDPR).
I convenuti hanno affermato che nell’eventualità di un trasferimento di dati a Google LLC negli Stati Uniti, essi non potrebbero essere qualificati come dati personali ai sensi dell’art. 4, par. 1 del GDPR in quanto anonimi e quindi non riconducibili all’interessato. Inoltre, Google avrebbe affermato di aver seguito un “approccio basato sul rischio” e la possibilità che l’interessato fosse effettivamente soggetto alla sorveglianza delle autorità degli Stati Uniti rappresentava un rischio molto basso.
Nella propria decisione, il DSB ha sottolineato che Google Analytics non può essere utilizzato ai sensi del Capo V del GDPR, ritenendo che il provider del sito web abbia violato il GDPR in qualità di esportatore di dati (ossia l’entità che effettivamente trasferisce i dati in un paese terzo), tuttavia ha respinto il ricorso contro Google LLC in quanto il capo V del GDPR non si applica alla società, in quanto mero importatore di dati. Il DSB non ha imposto sanzioni o misure correttive in quanto il provider del sito web era stato successivamente assorbito da una società tedesca, quindi la possibilità di un divieto di trasferimento a Google avrebbe avuto ragione di essere affrontata dall’autorità garante competente in Germania.
Infine, l’autorità garante austriaca ha annunciato che indagherà su una potenziale violazione da parte di Google degli articoli 5, 28, par. 3, lett. a) e 29 del GDPR.
Gli sviluppi di questa vicenda avranno un impatto profondo sul sistema di gestione dei siti web, soprattutto se anche le altre autorità garanti europee condivideranno la decisione del garante austriaco e decideranno che l’utilizzo dei servizi di Google rappresentano un trattamento illecito di dati personali degli interessati.
Sul tema è opportuno ricordare che Google Analytics è utilizzato da un importante numero di siti web e che, per quanto riguarda il suo utilizzo, il ruolo di responsabilità titolare/responsabile del trattamento fra il provider del sito web e Google LLC, come definito dall’autorità austriaca, non risulta coerente con precedenti prese di posizione del Garante Italiano.
Nel 2014 il Garante italiano si era infatti già pronunciato in merito al ruolo degli editori (coloro che gestiscono il sito web) e le terze parti che installano sui terminali degli utenti dei cookie che non sono gestiti dall’editore: “Tali soggetti, infatti, da un lato sono titolari del trattamento quanto ai cookie installati direttamente dal proprio sito; dall’altro, non potendo ravvisarsi una contitolarità con le terze parti per i cookie che le stesse installano per il loro tramite, si ritiene corretto considerarli come una sorta di intermediari tecnici tra le stesse e gli utenti. Ed è, quindi, in tale veste che […] sono chiamati ad operare nella presente deliberazione, con riferimento al rilascio dell’informativa e all’acquisizione del consenso degli utenti online con riguardo ai cookie delle terze parti.” La recente pubblicazione delle linee guida del Garante italiano sul funzionamento dei cookie aggiunge: “i soggetti terzi, che forniscono al publisher il servizio di web measurement, non dovranno comunque combinare i dati […] minimizzati, con altre elaborazioni (file dei clienti o statistiche di visite ad altri siti, ad esempio) nè trasmetterli a loro volta ad ulteriori terzi, pena l’inaccettabile incremento dei rischi di identificazione dell’utente”.
Nella impostazione proposta dal Garante italiano in merito alla gestione dei cookie di terze parti, il ruolo di titolare del trattamento degli stessi sembrerebbe differente rispetto alle considerazioni della sentenza in commento e Google LLC sarebbe da considerare come unico titolare in merito al trattamento effettuato da Google Analytics, con l’obbligo di fornire un’informativa preposta all’uso di Google Analytics e di gestire i dati raccolti e di gestire, se del caso, la liceità di un eventuale trasferimento (al netto che laddove il cookie è anonimizzato, ad esso non si considera applicabile la normativa).