24 Lug Google Analytics e GDPR: le questioni aperte e i nodi da sciogliere
Autori: Giuseppe Fiordalisi, Giada Iovane, Francesca Tugnoli
Introduzione
Il recente provvedimento n. 224 del 9 giugno 2022 (“Provvedimento”) dell’Autorità Garante italiana per la protezione dei dati personali (“Garante”) – con cui è stato dichiarato non conforme al Regolamento UE 2016/679 (“GDPR”) l’utilizzo del servizio Google Analytics (“GA”) in mancanza di garanzie adeguate e aderenti al Capo V del GDPR – ha riacceso i riflettori sull’urgenza di siglare un nuovo accordo relativo al trasferimento dei dati personali dall’Unione Europea agli Stati Uniti.
Il Provvedimento
Il Garante, con tale Provvedimento, ha ammonito la Società Caffeina Media S.r.l. e le ha ingiunto di conformare, entro novanta giorni, il trattamento dei dati personali degli utenti del proprio sito internet raccolti mediante GA al Capo V del GDPR e, dunque, di adottare misure supplementari adeguate al trasferimento dei dati personali verso gli Stati Uniti. In particolare, secondo il Garante, l’utilizzo della piattaforma di GA, che consente il tracciamento delle informazioni raccolte tramite la navigazione degli utenti su un sito internet ai fini dell’ottimizzazione dei propri servizi e del monitoraggio delle proprie campagne di marketing[1], viola gli artt. 44 e 46 del GDPR, nonché l’art. 5, par. 1, lett. a) e par. 2, dell’art. 13, par. 1, lett. f), e l’art. 24, del GDPR.
Il Garante ha, altresì, rappresentato che sebbene GA metta a disposizione la funzione di “IP-Anonymization”, la stessa non sarebbe sufficiente, ove attivata, ad anonimizzare l’indirizzo IP dell’utente, che, come noto, è un dato personale[2] in quanto consente di identificare un dispositivo di comunicazione elettronica, rendendo pertanto indirettamente identificabile l’interessato in qualità di utente: in sostanza la funzione consisterebbe per lo più in una pseudonimizzazione del dato relativo all’indirizzo IP, inidonea ad escludere i trasferimenti di dati al di fuori dello Spazio Economico Europeo[3]. Inoltre, come osservato dal Garante, l’accesso del visitatore al proprio account Google consentirebbe a Google stessa di combinare quei dati con altre informazioni presenti nel relativo account, quali l’indirizzo e-mail (che costituisce l’user ID dell’account), il numero di telefono ed eventuali ulteriori dati personali, tra cui il genere, la data di nascita o l’immagine del profilo.
I provvedimenti del Garante austriaco e del Garante francese
A ben vedere, il Garante italiano non è il primo ad essersi occupato di GA; infatti, nel contesto europeo, anche altre Autorità garanti (austriaca e francese) hanno avuto occasione di intimare ad alcuni gestori di siti internet il divieto di usare lo strumento in discorso.
In particolare, l’Autorità Garante per la protezione dei dati personali austriaca, (“Datenschutzbehörde” o “DSB”) e l’Autorità francese (“Commission Nationale de l’Informatique et des Libertés” o “CNIL”) si erano già espresse sulla non conformità al GDPR di GA, sollecitate da vari reclami avanzati dall’organizzazione NOYB[4] cui è Presidente onorario Maximilian Schrems, noto per aver dato impulso all’emissione delle sentenze “Schrems I” del 2015 (C-362/14) e “Schrems II” del 2020 (C-311/18) della Corte di Giustizia dell’Unione Europea (“CGUE”), che hanno decretato l’invalidità, rispettivamente, del Safe Harbour e del Privacy Shield[5].
Con la pronuncia della prima delle due Autorità sopra citate, quella del DSB, il Garante austriaco ha avuto occasione di evidenziare come il mero utilizzo delle clausole contrattuali standard[6], quale meccanismo atto a regolare i trasferimenti effettuati da Google negli Stati Uniti, non può ritenersi sufficiente a garantire la conformità al GDPR degli stessi e a tutelare i cittadini europei da indebiti accessi ai loro dati da parte delle autorità statunitensi in forza di quanto statuito dal Titolo 50 United States Code, § 1881a (“Fisa 702”)[7], in quanto Google è annoverabile tra i fornitori di servizi di comunicazione elettronica (ex § 1881, 50 US Codesoggetti a tale obbligo.
In linea con tale decisione anche quella della CNIL che, con la pronuncia del 10 febbraio 2022, ha censurato il trasferimento dei dati personali extra UE riconnesso all’utilizzo del servizio GA in quanto, ad avviso della CNIL, anche le misure aggiuntive implementate da Google, non essendo idonee ad evitare l’accesso ai dati da parte delle autorità statunitensi, violano il GDPR.
Conclusioni e take away
Ciò che preme rilevare, anzitutto, è che il monito del Garante italiano non deve ritenersi limitato solamente alla società oggetto di ispezione (Caffeina Media S.r.l.): lo stesso Garante, infatti, con la nota del 23 giugno 2022, ha sostanzialmente affermato che il tema è di potenziale impatto per tutti i gestori italiani di siti web che utilizzano GA, anticipando, così, ulteriori verifiche ispettive a carico di altre società.
Al fine, dunque, di conformarsi alle indicazioni delle Autorità sopra citate è, anzitutto, consigliabile l’immediata dismissione di GA in favore di altri strumenti: parimenti, anche l’utilizzo della più recente versione GA 4[8] non farebbe venir meno le criticità evidenziate circa la non conformità dello strumento in quanto, allo stato, “bisognerà fare una verifica di conformità” come dichiarato da Guido Scorza, componente del Collegio del Garante privacy nell’intervista del 24 giugno 2022.
Stante quanto sopra precisato, circa la dismissione dello strumento di GA come primo suggerimento utile per non incorrere in eventuali ammonimenti del Garante, si segnala, altresì, che nelle sue recenti indicazioni, la CNIL ha proposto una soluzione tecnica alternativa per rendere l’utilizzo di GA 4 conforme al GDPR, ossia l’installazione di un server proxy che consenta la pseudonimizzazione dei dati prima dell’esportazione, purché tale pseudomizzazione non sia riconducibile ad una persona fisica identificabile, anche indirettamente, mediante l’utilizzazione di altre informazioni. Infine, meritano cenno le ulteriori indicazioni operative della CNIL sulle corrette modalità di implementazione di cookie e altri traccianti per finalità analitiche, anche al fine di poter servire tali cookie senza consenso, in cui la CNIL, individua altresì una serie di fornitori europei che, offrendo tool analoghi a Google Analytics e conformi al GDPR, potrebbero rappresentare una valida soluzione alternativa all’utilizzo di Google Analytics, in caso di dismissione di quest’ultimo[9].
[1] Cfr. il Provvedimento a pag. 5, ove si legge che i dati raccolti tramite Google Analytics consistano in: “identificatori online unici che consentono sia l’identificazione del browser o del dispositivo dell’utente che visita il sito web, sia del gestore stesso del sito (attraverso l’ID account Google); indirizzo, nome del sito web e dati di navigazione; indirizzo IP del dispositivo utilizzato dall’utente; informazioni relative al browser, al sistema operativo, alla risoluzione dello schermo, alla lingua selezionata, nonché a data e ora della visita al sito web”.
[2] Gruppo ex art. 29, WP 136 – Parere n. 4/2007 sul concetto di dati personali, del 20 giugno 2007, pag. 16.
[3] Cfr. il Provvedimento a pag. 5, in merito all’”IP-Anonymization”, intesa quale una pseudonimizzazione del dato “in quanto il troncamento dell’ultimo ottetto dell’indirizzo IP non impedisce a Google LLC di re-identificare l’utente medesimo, tenuto conto delle informazioni complessivamente detenute dalla stessa relative agli utenti del web.”
[4] NOYB – European Centre for Digital Rights, è un’organizzazione senza scopo di lucro con sede a Vienna, in Austria, fondata nel 2017. NOYB si occupa di instaurare cause giudiziarie e iniziative mediatiche a sostegno del GDPR e sulla privacy in generale.
[5] Per un approfondimento sul tema si vedano i precedenti contributi offerti da ICTLC:
https://www.ictlc.com/novita-in-tema-di-trasferimenti-di-dati-personali-dallunione-europea-agli-usa/; https://www.ictlc.com/eu-us-privacy-shield-revisione-annuale-prevista-a-settembre/;
https://www.ictlc.com/il-trasferimento-dei-dati-personali-tra-incertezze-e-nuovi-adempimenti/
[6] Le clausole contrattuali standard a rigore dell’articolo 46 Par 2 GDPR, possono costituire garanzie adeguate per il trasferimento dei dati verso Paesi terzi in mancanza di una decisione di adeguatezza ai sensi dell’articolo 45 Par. 3 GDPR.
[7] La legge statunitense “Title 50 United States Code, Foreign Intelligence Surveillance, Chapter 36, Subchapter VI—Additional Procedures Regarding Certain Persons Outside”, “FISA 702” (o 50 U.S.C. §1881a) è stata approvata nel 2008 e ha ampliato sostanzialmente le possibilità di sorveglianza e di accesso ai dati per le autorità statunitensi: a differenza della sorveglianza FISA “tradizionale”, infatti, la Sezione 702 non richiede che l’obiettivo della sorveglianza sia un sospetto terrorista, una spia o un altro agente di una potenza straniera essendo sufficiente che gli obiettivi siano persone “non-U.S. persons located abroad”.
[8] Google Analytics 4 (GA4) è una nuova versione dello strumento Analytics rilasciato da Google che, secondo il produttore, garantisce la conformità al GDPR in quanto consente ai clienti di gestire e ridurre al minimo a livello granulare l’ambito dei dati raccolti a livello di utente e, in quanto tale, può aiutare a risolvere i problemi relativi alla possibile unione di dati e all’identificazione di utenti.
[9] Beyable, Matomo, Wizaly, Retency, Piwik pro, sono alcuni dei fornitori che offrono tool alternativi a Google Analytics, come indicati dalla CNIL.
