“Il Garante vieta Google Analytics”. Grosso modo è questo il trend topic degli ultimi giorni, tanto che anche l’attivista, sviluppatore e consulente ICT, Federico Leva, classe 1989, di Milano ma residente a Helsinki, è stato spinto a temere per la tutela dei propri diritti e libertà, fino a predisporre una vera e propria campagna di invio massivo e, sembrerebbe, indiscriminato di messaggi di posta elettronica agli indirizzi degli editori dei siti web che dice di aver visitato. Nel testo dell’e-mail, riportando un estratto di un’intervista rilasciata dal Garante, in modo sufficientemente analitico, ordinato e dettagliato esercita i diritti di cancellazione e di limitazione del trattamento, evidenziando il fatto che si è opposto al trattamento, per motivi connessi alla sua situazione particolare.
Una volta ricevuta quella e-mail – che reca in calce anche due moduli residenti su Lime Survey e che l’interessato chiede di utilizzare per fornirgli il riscontro che, ricordiamolo, dovrebbe giungere entro un mese dalla sua richiesta di esercizio dei diritti – molti titolari del trattamento privati sono stati presi da una sorta di “panico isterico” che potrebbe risultare anche del tutto ingiustificato. Vediamo il perché.
L’interessato ha il diritto di opporsi in qualsiasi momento al trattamento dei dati personali che lo riguardano
In primo luogo, se è vero che l’interessato ha il diritto di opporsi in qualsiasi momento, per motivi connessi alla sua situazione particolare, al trattamento dei dati personali che lo riguardano e che risulta (il trattamento) necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento, oppure (sempre il trattamento) risulta necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore, è altrettanto vero che il titolare del trattamento ha l’obbligo di astenersi dal trattare ulteriormente i dati personali salvo che dimostri l’esistenza di motivi legittimi cogenti per procedere al trattamento che prevalgono sugli interessi, sui diritti e sulle libertà dell’interessato oppure per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria.
Di questa situazione, relativa a Google Analytics, possiamo notare alcuni aspetti, alcuni dei quali possiamo darli per certi, come il fatto che l’interessato non sia un minore (Leva ha 33 anni) o il fatto che condurre analisi correlate all’utilizzo del proprio sito (o app) sia un legittimo interesse del titolare del trattamento.
Ma ne emergono anche di incerti, con un grado di probabilità variabile caso per caso.
Google Analytics: i cookie sono effettivamente “dati personali”?
Per esempio: quale potrebbe essere il motivo legittimo cogente per procedere al trattamento? Fuori dai casi in cui il titolare agisce per eseguire un compito d’interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito, è ovvio che se manca la caratteristica di “cogenza”, ancorché esistente il legittimo interesse, questo non potrebbe costituire la base giuridica per far sì che il trattamento possa continuare a essere eseguito alla luce dell’esercizio del diritto di limitazione.
Oppure: qual è la “situazione particolare” a cui fa riferimento l’interessato, visto che nel testo dell’e-mail non la esplicita, né vi allude? Anche in questo caso, è abbastanza chiaro che, in mancanza della “condizione particolare”, l’interessato non sarebbe legittimato a esercitare il diritto di opposizione, e quindi, di riflesso, nemmeno quello di limitazione.
Ulteriore argomento da approfondire è se i cookie siano effettivamente “dati personali” nei singoli casi: Garanti europei, per esempio, fin dal 2007 sono dell’opinione che, per stabilire se i dati concernono una persona, dovrebbe ricorrere un elemento di “contenuto” oppure di “finalità” oppure di “risultato”.
L’elemento di “contenuto” è presente nei casi in cui l’informazione riguardante una particolare persona è fornita a prescindere dalla finalità del trattamento, o dal suo impatto sulla persona interessata. Un’informazione “concerne” una persona quando la “riguarda”, e questo deve essere valutato alla luce delle circostanze del caso di specie.
Anche un elemento di “finalità” può far sì che le informazioni “concernano” una data persona. Tale elemento può essere considerato presente quando i dati sono usati o lo saranno probabilmente, tenendo conto di tutte le circostanze del caso di specie, al fine di valutare, trattare in un dato modo o influire sullo stato o sul comportamento di una persona.
Un terzo tipo di “concernente” una persona specifica emerge quando è presente un elemento di “risultato”. Nonostante l’assenza di elementi di “contenuto” o di “finalità”, è possibile considerare che i dati “concernono” una persona quando il loro impiego può avere un impatto sui diritti e sugli interessi di quella persona, tenendo conto di tutte le circostanze del caso di specie. Si noti che non è necessario che il risultato potenziale abbia un impatto importante. È sufficiente che la persona sia trattata in modo diverso rispetto ad altre in seguito al trattamento di tali dati.
GDPR: la persona deve essere identificata e identificabile
Da non sottovalutare, poi, anche la condizione della persona di essere “identificata o identificabile”, assolutamente necessaria per essere iscritta nella categoria degli “interessati”. Già nel 2007, le Autorità Garanti erano dell’opinione che per determinare se una persona è identificabile, sarebbe opportuno prendere in considerazione l’insieme dei mezzi che possono essere ragionevolmente utilizzati per identificare detta persona. Ciò significa che la sola possibilità ipotetica di distinguere una persona non basta per considerare tale persona “identificabile”: se, tenendo conto dell’insieme dei mezzi che possono essere ragionevolmente utilizzati per identificare detta persona, quella possibilità non esiste o è trascurabile, la persona non dovrebbe essere considerata “identificabile”, e le informazioni non configurerebbero “dati personali”. Il criterio dell’insieme dei mezzi che possono essere ragionevolmente utilizzati deve in particolare tenere conto di tutti i fattori in gioco. Il costo dell’identificazione è uno di questi fattori ma non l’unico.
Lo stesso principio è espresso, praticamente copiando le parole, dal considerando 26 del GDPR, in particolare nel passaggio in cui afferma che “per stabilire l’identificabilità di una persona è opportuno considerare tutti i mezzi, come l’individuazione, di cui il titolare del trattamento o un terzo può ragionevolmente avvalersi per identificare detta persona fisica direttamente o indirettamente. Per accertare la ragionevole probabilità di utilizzo dei mezzi per identificare la persona fisica, si dovrebbe prendere in considerazione l’insieme dei fattori obiettivi, tra cui i costi e il tempo necessario per l’identificazione, tenendo conto sia delle tecnologie disponibili al momento del trattamento, sia degli sviluppi tecnologici. I principi di protezione dei dati non dovrebbero pertanto applicarsi a informazioni anonime, vale a dire informazioni che non si riferiscono a una persona fisica identificata o identificabile o a dati personali resi sufficientemente anonimi da impedire o da non consentire più l’identificazione dell’interessato. Il […] regolamento non si applica pertanto al trattamento di tali informazioni anonime, anche per finalità statistiche o di ricerca”.
Conclusioni
A ben vedere, quindi, non in tutti i casi ricorrono gli elementi di “contenuto”, “finalità” o “risultato”, ma soprattutto non in tutti i casi il titolare o l’editore del sito sono in grado (per mancanza di capacità o di mezzi, per esempio) di identificare direttamente o indirettamente una persona fisica (sempre che dall’altra parte del terminale su cui è installato il cookie di Google Analytics ce ne sia una). È molto probabile, per esempio, che Google sia in grado di farlo. Ma, a questo punto, sarebbe un trattamento determinato da lei stessa, sia sul piano dei mezzi che su quello delle finalità, il che la renderebbe un titolare del trattamento, oppure un responsabile del trattamento che agisce in difformità delle obbligazioni determinate dal contratto con il titolare e, di conseguenza, del Regolamento.
Articolo originariamente pubblicato il 13 Set 2023