Il provvedimento dell’Autorità Garante per la protezione dei dati personali del 9 giugno 2022 nei confronti della società Caffeina Media S.r.l. ha, de facto, dichiarato la non conformità alla normativa privacy dei servizi offerti da Google Analytics (release “GA3”), nell’ipotesi in cui il Titolare del trattamento non adotti idonee misure supplementari. Prospettiamo alcune soluzioni di conformità al quadro normativo vigente.
GA4 può essere la soluzione?
Considerato che la release GA4 di Google Analytics risulta ancora in beta testing, specifichiamo che le nostre considerazioni possono riguardare esclusivamente GA3, in quanto oggetto del citato provvedimento del Garante Privacy.
Ad ogni modo, nell’ipotesi in cui il Titolare del trattamento ritenga opportuno attivare da subito i servizi di GA4 sul proprio sito web, risulta sicuramente più cautelativo adottare delle misure volte ad affrontare le criticità già espresse dal Garante in merito a GA3, come ad esempio:
- limitare le funzioni pubblicitarie di Google;
- continuare l’anonimizzazione almeno del quarto ottetto dell’indirizzo IP degli utenti;
- disattivare le funzionalità offerte da “Google Signals”
Si segnala, infine, che la nuova versione della piattaforma introdurrà nuove sfide sotto il profilo della protezione dei dati personali. Google, infatti, ha dichiarato che GA4 sposterà l’attenzione delle proprie analisi sul comportamento dell’utente e sull’engagement, prevedendo il passaggio da un modello event based, invece che user centric (per esemplificare, si assisterà al passaggio da un’organizzazione a tabella del tipo “quante pagine sono state visitate” a “come gli utenti hanno interagito con le pagine”).
Assistiamo, in definitiva, a un progressivo abbandono dei cookie verso altre tecnologie, come l’utilizzo dell’intelligenza artificiale, che già costituisce una delle maggiori sfide normative per le istituzioni europee e nazionali.
Cosa sono i cookie?
I cookie sono informazioni immesse nel browser di un utente quando lo stesso visita un sito web o utilizza un social network tramite pc, smartphone o tablet. Ogni cookie contiene diversi dati che possono potenzialmente identificare un utente (user agent, informazioni sull’hardware dell’utente, indirizzo IP ecc.).
Tali dati possono rimanere nel sistema dell’utente per la durata di una sessione, cioè fino a che non si chiude il browser utilizzato per la navigazione sul web, o per lunghi periodi. I cookie vengono utilizzati per le funzionalità più disparate, come quelle meramente tecniche per garantire il funzionamento di un sito web, o per il perseguimento di finalità statistiche, di marketing o di profilazione.
Attraverso gli stessi possono essere effettuati dei trattamenti di dati personali degli utenti dei siti web e, pertanto, si può affermare che la raccolta di informazioni tramite i cookie ricada nell’ambito di applicazione del Regolamento UE 2016/679 (GDPR) e, più in generale, della normativa applicabile in materia di protezione dei dati personali.
Il quadro normativo applicabile
L’Autorità Garante per la protezione dei dati personali ha pubblicato, a giugno 2021, le “Linee Guida Cookie e altri strumenti di tracciamento”, le quali contengono una serie di indicazioni rivolte ai Titolari del trattamento per garantire la conformità alla Disciplina Privacy nell’utilizzo dei cookie mediante i propri siti web.
Con particolare riferimento ai cookie analitici, in particolare, le Linee Guida stabiliscono che per poter definire un cookie di questa tipologia come “tecnico” (per il quale, come noto, non è necessaria la raccolta di uno specifico consenso) sia necessario procedere all’anonimizzazione di (almeno) la quarta parte dell’indirizzo IP dell’utente, oltre a disattivare le opzioni di condivisione dei dati a terzi. In altri termini, affinché i cookie analitici siano equiparati ai tecnici è indispensabile precludere la possibilità che si pervenga, mediante il loro utilizzo, alla diretta individuazione dell’interessato (cd. single out).
Nel successivo provvedimento del 9 giugno 2022 rivolto nei confronti della società Caffeina Media S.r.l., tuttavia, l’Autorità Garante ha stabilito che un sito web che utilizza il servizio Google Analytics (si precisa, oggetto del provvedimento è la release “GA3”), senza le garanzie previste dal GDPR, viola la disciplina privacy, perché trasferisce i dati degli utenti negli Stati Uniti, Paese privo di un adeguato livello di protezione dei dati personali.
Secondo il Garante, infatti, anche nelle ipotesi in cui il Titolare abbia anonimizzato (almeno) il quarto ottetto dell’indirizzo IP raccolto tramite i cookie e abbia disattivato le impostazioni di condivisione a terzi, Google potrebbe comunque risalire all’identità degli utenti abbinando i dati raccolti mediante i cookie con altre informazioni già in suo possesso, realizzando al contempo un trasferimento di dati personali negli Stati Uniti, ove sono ubicati i propri server.
A seguito della sentenza Schrems II della Corte di Giustizia UE e delle Raccomandazioni 01/2020 dell’EDPB, si configurerebbe pertanto un trasferimento di dati personali extra SEE verso un Paese privo delle adeguate garanzie richieste dalla normativa applicabile.
Possibili soluzioni di conformità
Come anticipato, il provvedimento del 9 giugno 2022 contestava a Caffeina Media S.r.l. di non aver adottato misure supplementari per garantire la protezione dei dati personali trattati mediante l’utilizzo dei cookie di Google Analytics.
Per poter continuare ad utilizzare i servizi previsti da GA3, a questo punto, possono essere prospettate le seguenti soluzioni per garantire una maggiore conformità al quadro normativo applicabile:
- I server di analytics vengono spostati da Google in UE: tale soluzione eliminerebbe il rischio connesso al trasferimento di dati personali negli Stati Uniti ma, ovviamente, tale opzione non è nella disponibilità dei vari publisher (Titolari del trattamento);
- Avvalersi di un provider di web analytics differente da Google, con server ubicati in UE: si eliminerebbe in questo modo il rischio di un trasferimento di dati personali verso gli Stati Uniti. In tal senso, si segnala a titolo esemplificativo la soluzione messa a disposizione da Matomo che, nella sua versione on premise, non comporta alcun trasferimento di dati personali al di fuori dello Spazio Economico Europeo;
- Utilizzare un proxy server situato in UE: l’Autorità Garante francese (CNIL) ha suggerito degli accorgimenti tecnici che permetterebbero di risolvere la problematica, mediante l’utilizzo di un server proxy (qui maggiori dettagli). Relativamente a tale opzione, in particolare, si segnalano tre vie percorribili che richiedono comunque l’implementazione di appositi protocolli di comunicazione da concordare tra le parti (publisher, provider del server proxy e Google):
- Pseudonimizzazione dei dati personali dell’utente raccolti mediante i cookie che avviene mediante l’utilizzo del server proxy sito in UE;
- Cifratura dei dati personali dell’utente raccolti tramite i cookie che avviene mediante l’utilizzo del server proxy sito in UE con conservazione della chiave di cifratura sul suolo europeo;
- Splitting: le tre componenti del cookie (user agent, SO e IP address) vengono divise tra i tre server (quello del publisher, il proxy server e l’analytics server di Google).
- Richiesta di consenso esplicito da parte dell’utente all’utilizzo dei cookie di Google Analytics: in merito a tale soluzione si segnala, tuttavia, che (i) persistono comunque dei dubbi interpretativi in merito alla robustezza di tale base giuridica, in quanto, ai sensi dell’art. 49 GDPR, il consenso per il trasferimento di dati all’estero risulta essere solamente una deroga da poter utilizzare in occasione di trasferimenti occasionali, (ii) andrebbero resi noti all’utente i rischi per la riservatezza degli interessati legati al trasferimento dei propri dati in un Paese non adeguato (art. 49, par. 1, lett. a), GDPR). Ciò comporterebbe, inoltre, un’integrazione delle privacy e cookie policy dei siti web in tal senso. Tali perplessità risultano essere confermate anche dall’Autorità Garante francese, la quale, nelle proprie FAQ del 20 luglio 2022, afferma che: “The explicit consent of the data subjects is one of the possible derogations provided for certain specific cases by Article 49 of the GDPR. However, as stated in the European Data Protection Committee’s guidelines on these derogations, they can only be used for non-systematic transfers, and cannot constitute a long-term and permanent solution, as the use of a derogation cannot become the general rule”.