Per non ne fosse a conoscenza, in questi giorni vi è particolare attenzione in merito al tema dell’uso dei servizi di “Google Analytics“.
Dopo l’authority francese (CNIL) e quella austriaca, anche quella italiana mediante comunicato stampa del 23 giugno 2022 ha reso noto il provvedimento del 9 giugno 2022 con il quale ha dichiarato illecito il trasferimento dei dati personali verso gli U.S.A. derivante dall’uso del servizio di Google Analytics, confermando che le “misure supplementari” suggerite dall’EDPB (Raccomandazione n. 1/2020 del 18 giugno 2021) sono soltanto un palliativo.
Fino al 16 luglio 2020 il trasferimento dei dati personali verso gli U.S.A. era possibile grazie alla Decisione di adeguatezza della Commissione Europea nota come “Privacy Shield”; la stessa è stata messa in discussione dall’associazione NOYB capeggiata da Max Schrems con la conseguente caducazione del Privacy Shield che è esitato nella sentenza della Corte Europea di Giustizia del 16 luglio 2020 (c.d. “Sentenza Schrems II”). È venuto così meno il principale presupposto di legittimità del trasferimento dei dati al fuori dello SEE, o meglio, verso gli U.S.A.
In assenza di Decisioni di Adeguatezza, il trasferimento è consentito in base a quanto previsto dagli altri articoli del capo V del Regolamento UE 2016/679 (nel seguito “GDPR“), tra cui le clausole contrattuali standard (SCC), strumento valido ma non sufficiente senza l’adozione di misure supplementari che garantiscano un livello di protezione dei dati equivalente al nostro ordinamento giuridico.
Nel caso di specie, il Garante, infatti, ha ritenuto insufficienti le misure adottate da Google in quanto comunque non in grado di impedire i rischi di accesso da parte delle Autorità pubbliche statunitensi, per finalità di sicurezza nazionale, ai dati personali trasferiti negli USA a fronte di alcune disposizioni normative vigenti negli U.S.A. (in particolare l’Executive Order 12333 e il Foreign Intelligence Surveillance Act).
E non solo le misure contrattuali ed organizzative, ma nemmeno quelle tecniche, come il meccanismo di cifratura e la funzionalità “IP-Anonymization” (cui si fa riferimento nelle Linee guida cookie e altri strumenti di tracciamento) risultano sufficienti.
Perché non possiamo parlare di cifratura e funzionalità “IP-Anonymization” quali “misure supplementari” sufficienti?
Le motivazioni sono le seguenti:
La chiave di cifratura è nelle mani di Google LLC in qualità di importatore, in virtù della necessità di disporre dei dati in chiaro qualora le Autorità pubbliche degli Stati Uniti lo richiedano. È ciò risulta incompatibile non solo con la dignità e la libertà individuale dei cittadini europei, ma anche con il GDPR.
La funzionalità IP-Anonymization cui si fa riferimento consiste di fatto in una pseudonimizzazione del dato relativo all’indirizzo di rete dell’utente (indirizzo IP), in quanto sussiste in capo alla medesima Google LLC la possibilità qualora l’interessato abbia effettuato l’accesso al proprio profilo Google, di associare l’indirizzo IP ad altre informazioni aggiuntive già in suo possesso (quali le informazioni contenute nell’account utente). Tale operazione, pertanto, nonostante l’attivazione dell”IP-Anonymization”, consente comunque la possibile reidentificazione dell’utente.
Ad ogni modo Google, e anche le altre big tech, possiede un enorme quantitativo di dati e di tecnologie che consentono mediante tecniche statistiche di de-anonimizzare le identità dei visitatori.
Il Garante italiano, nel comunicato stampa, richiama l’attenzione dei gestori di siti internet e dei Titolari del trattamento, sulla necessità di verificare la conformità delle modalità di utilizzo di cookie e altri strumenti di tracciamento utilizzati sui propri siti web, con particolare attenzione all’uso di Google Analytics e ad altri servizi analoghi, con la normativa in materia di protezione dei dati personali, assegnando un termine di 90 giorni (decorrenti dal 23 giugno 2022 ed aventi quindi scadenza il 21 settembre 2022) per conformarsi.
Cosa fare allora?
Come prima cosa suggeriamo di disattivare cookies e script di tracciamento verso il servizio Google Analytics e servizi analoghi informando gli utenti mediante la seguente declaration nella cookie policy del sito:
Cookie di “terze parti”:
“Abbiamo recepito le indicazioni del Garante per la Protezione dei Dati Personali (provvedimento del 9 giugno 2022 nr. 224), disattivando cookies e script di tracciamento verso il servizio Google Analytics. Non vi sarà quindi alcun trasferimento di dati a terzi durante la navigazione”.
Una delle conseguenze di tale comunicato, seppure non la più importante, ha visto infatti molte organizzazioni invase da richieste di cancellazione di script di tracciamento generate dallo stesso servizio Google Analytics da parte di un utente, un certo “Federico Leva”; non è una email di phishing o spam ed è una persona fisica.
Ci sono soluzioni o alternative al servizio Google Analytics?
L’autorità garante italiana non ci ha fornito soluzioni in merito in quanto il GDPR pone l’accento sul “principio di accountability” ovvero sulla responsabilizzazione da parte del titolare del trattamento (art.24 del Regolamento), in base al quale spetta al titolare il compito di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali nel rispetto della normativa rilevante in materia. L’attuazione del principio di accountability con riferimento ai trasferimenti di dati verso paesi terzi, pone in capo al titolare, in qualità di esportatore, la responsabilità di verificare, caso per caso e, ove necessario, in collaborazione con l’importatore nel paese terzo, se la legge o la prassi di quest’ultimo incidano sull’efficacia delle garanzie adeguate contenute negli strumenti di trasferimento di cui all’articolo 46 del Regolamento nonché assicurino che il livello di protezione delle persone fisiche garantito dal Regolamento non sia pregiudicato.
Alcune soluzioni sono state pubblicate da CNIL, l’Autorità francese per la protezione dei dati, fra cui rientra anche Matomo, la soluzione su cui si basa Web Analytics Italia, la piattaforma indicata da AgID per la raccolta e analisi dei dati statistici sul traffico dei siti web e dei servizi digitali della PA. Attenzione, però: Web Analytics Italia (e dunque: Matomo) ancora non è stata oggetto di valutazione da parte dell’Autorità garante per la protezione dei dati personali.
Siamo sicuri che il problema sia solo di Google?
Il problema non è legato particolarmente all’uso Google Analytics, ma all’intero ecosistema di Google che negli anni ha raccolto (e sta ancora raccogliendo) tutta una serie di dati degli utenti di internet ed oggi, con estrema facilità, ha la possibilità di correlare questi enormi metadati per ottenere informazioni rivendibili nel mercato della pubblicità online (e non solo).
In una situazione simile a quella di Google si trovano gli altri OTT (Over The Top), cioè tutti i fornitori di servizi online che occupano nel mercato digitale una situazione di oligopolio.
Vi terremo aggiornati sulle novità in merito.
di Lodovico Mabini, LMTeam
