Con provvedimento del 9 giugno 2022, il Garante Privacy ha confermato l’orientamento per il quale il servizio web Google Analytics si pone in violazione della normativa europea sulla protezione dei dati personali, in quanto comporta un trasferimento dei dati degli utenti verso gli Stati Uniti.
Detto provvedimento trova il suo fondamento nella nota Sentenza Schrems II della Corte di Giustizia Europea, che ha rilevato come la normativa statunitense non permetta di applicare al trasferimento le medesime garanzie e tutele di cui al GDPR, concedendo un accesso eccessivo alle autorità, e ha invalidato il Privacy Shield, decisione di adeguatezza che legittimava “ex ante” i trasferimenti verso gli USA.
Le aziende, in assenza di una nuova decisione di adeguatezza o di un accordo che possa consentire l’utilizzo conforme alla normativa di strumenti semplici e altamente diffusi come Google Analytics, si trovano dunque dinanzi a un rischio non indifferente, connesso all’emanazione nei loro confronti di una pesante sanzione per l’utilizzo dei servizi resi da Google e dalle altre Big Tech con sede in Usa.
Il provvedimento del Garante privacy verso Google Analytics
Il provvedimento in esame trae origine da una complessa istruttoria avviata dal Garante sulla base di una serie di reclami, condotta in coordinamento con altre autorità privacy europee. Nel corso dell’istruttoria, in particolare, il Garante riscontrava che “i gestori dei siti web che utilizzano GA [n.d.a. abbreviazione di Google Analytics] raccolgono, mediante cookie, informazioni sulle interazioni degli utenti con i predetti siti, le singole pagine visitate e i servizi proposti”. Tra i dati raccolti e resi oggetto di trasferimento verso gli Stati Uniti vi erano l’indirizzo IP del dispositivo dell’utente e le informazioni relative al browser utilizzato, al sistema operativo, alla risoluzione dello schermo, alla lingua selezionata, nonché data e ora della visita al sito web. Tutte le informazioni raccolte dal sistema risultavano oggetto di trasferimento verso gli Stati Uniti, secondo modalità contrarie a quanto previsto dalla Sentenza Schrems già citata e in assenza delle garanzie gradualmente individuate dalle Linee Guida dell’EDPB sul tema.
Sulla scorta delle indagini condotte, il Garante dichiarava così l’illiceità del trattamento e concedeva all’azienda 90 giorni per conformarsi alla normativa europea e nazionale applicabile (termine ritenuto congruo “per consentire al gestore di adottare misure adeguate per il trasferimento, pena la sospensione dei flussi di dati effettuati, per il tramite di GA, verso gli Stati Uniti”), affermando ancora una volta come l’indirizzo IP debba ritenersi un dato personale e come lo stesso non possa diventare un dato anonimo nemmeno nel caso in cui fosse troncato, avendo Google la piena capacità di arricchirlo con altri dati di cui è in possesso per risalire all’identità del soggetto cui è associato quell’IP.
Il GDPR e la definizione di “dato personale”
Come descritto all’art. 4 GDPR, infatti, all’interno della definizione di “dato personale” devono farsi rientrare tutte le informazioni che rendano una persona fisica identificata o identificabile. Al considerando 26 si precisa, inoltre, che “per stabilire l’identificabilità di una persona è opportuno considerare tutti i mezzi, come l’individuazione, di cui il titolare del trattamento o un terzo può ragionevolmente avvalersi per identificare detta persona fisica direttamente o indirettamente”. Nel caso in esame, il Garante precisava – sulla scorta di tali elementi normativi e delle risultanze tecniche – che l’indirizzo IP costituisce un dato personale e anche nel caso fosse troncato non diverrebbe un dato anonimo, considerata la capacità di Google di arricchirlo con altri dati di cui è in possesso.
Il Garante, nella motivazione del provvedimento, dava assoluto rilievo alla “possibilità, per le Autorità governative e le agenzie di intelligence statunitensi, di accedere ai dati personali trasferiti senza le dovute garanzie, rilevando al riguardo che, alla luce delle indicazioni fornite dall’EDPB (Raccomandazione n. 1/2020 del 18 giugno 2021), le misure che integrano gli strumenti di trasferimento adottate da Google non garantiscono, allo stato, un livello adeguato di protezione dei dati personali degli utenti”.
L’incertezza sugli strumenti di Google
Sempre all’interno del provvedimento, è di assoluto rilievo evidenziare come il Garante colga l’occasione di richiamare “all’attenzione di tutti i gestori italiani di siti web, pubblici e privati, l’illiceità dei trasferimenti effettuati verso gli Stati Uniti attraverso GA, anche in considerazione delle numerose segnalazioni e quesiti che stanno pervenendo all’Ufficio. E invita tutti i titolari del trattamento a verificare la conformità delle modalità di utilizzo di cookie e altri strumenti di tracciamento utilizzati sui propri siti web, con particolare attenzione a Google Analytics e ad altri servizi analoghi, con la normativa in materia di protezione dei dati personali”.
A fronte di detto richiamo, tuttavia, si apre oggi una situazione di forte incertezza per tutte le aziende che fanno uso dei servizi di Google, al cui interno non si ricomprende esclusivamente Analytics ma anche altri servizi, come Google Ads, oggi strumento essenziale per tantissime aziende – anche in ragione, come detto, della semplicità di utilizzo del servizio e della interconnessione dello stesso con altri servizi resi sempre dalla Big Tech.
Nel contesto descritto, le aziende si trovano dinanzi a una difficile scelta:
- continuare a utilizzare i servizi di Google, nell’attesa che vi sia, da parte delle autorità europee e statunitensi, un nuovo accordo sul trasferimento dei dati personali sostitutivo del Privacy Shield, o che si possa far ricorso ad uno degli altri strumenti contrattuali di cui all’art. 46 GDPR:
- l’applicazione di Clausole Contrattuali Standard (SCC);
- la stesura di norme vincolanti d’impresa;
- l’adesione a codici di condotta o a meccanismi di certificazione;
- la previsione di clausole contrattuali “ad hoc” tra il titolare del trattamento o il responsabile del trattamento e il titolare del trattamento, il responsabile del trattamento o il destinatario dei dati personali nel paese terzo o nell’organizzazione internazionale;
- l’inserimento di disposizioni specifiche all’interno di accordi amministrativi tra autorità pubbliche o organismi pubblici che comprendono diritti effettivi e azionabili per gli interessati.
- migrare su altre alternative equivalenti (conformi al proprio budget e alle proprie necessità, come Matomo, Piwik o altre) che garantiscano un maggior controllo sui dati e non effettuino trasferimento al di fuori dell’UE;
- cessare il trattamento connesso all’utilizzo di Google Analytics.
Guido Scorza, membro dell’Autorità Garante, commenta: “Il primo auspicio – semplicemente perché solo così il problema sarebbe risolto alla radice – è che nelle prossime settimane i Governi di Bruxelles e Washington facciano seguire all’accordo politico annunciato a marzo, un accordo giuridicamente vincolante che consentirebbe la naturale ripresa dell’esportazione di dati dall’Europa agli Stati Uniti. Se questo non accadesse, prima di tirare su un muro tra i due continenti bisognerà verificare se ci sia un modo – che sia l’upgrade alla versione GA4 o altro – per continuare a usare il servizio di Analytics di Big G nel rispetto delle regole europee. Se c’è bene così. Se non c’è, non ci sarà alternativa a sospendere il trasferimento dei dati negli USA e, quindi, a interrompere l’uso del servizio[1]”.
La soluzione del Garante francese CNIL
L’autorità garante francese CNIL è stata ad oggi la sola a individuare una possibile soluzione tecnica all’annoso problema dei dati degli analytics. Come si legge nel comunicato reso dalla stessa il 7 giugno[2], l’uso di un server proxy correttamente configurato può essere una soluzione operativa adeguata a limitare i rischi per le persone fisiche coinvolte nel trattamento, in quanto non consentirebbe a Google di re-identificare gli utenti.
La semplice attuazione di clausole contrattuali standard, infatti, non sarebbe sufficiente per utilizzare Google Analytics nel rispetto del GDPR. Allo stesso modo, “la sola modifica della configurazione delle condizioni di trattamento dell’indirizzo IP non è sufficiente a soddisfare i requisiti della CGUE, in particolare perché questi ultimi continuano a essere trasferiti negli Stati Uniti. Un’altra idea spesso avanzata è quella di utilizzare la “crittografia” dell’identificatore generato da Google Analytics, oppure di sostituirlo con un identificatore generato dal gestore del sito”.
Il problema fondamentale che impedisce a queste misure di risolvere il problema dell’accesso ai dati, secondo quanto rilevato da CNIL, è legato al contatto diretto tra il terminale dell’interessato e i server gestiti da Google: “Le richieste risultanti consentono a questi server di ottenere l’indirizzo IP dell’utente Internet e una grande quantità di informazioni sul proprio terminale. Questi possono, realisticamente, consentire una re-identificazione di quest’ultimo e, di conseguenza, l’accesso alla sua navigazione su tutti i siti che utilizzano Google Analytics. Solo soluzioni che consentano di interrompere questo contatto tra il terminale e il server possono risolvere questo problema”.
“Una possibile soluzione”, continua il CNIL, è quella di utilizzare un server proxy “per evitare qualsiasi contatto diretto tra il terminale dell’utente Internet e i server dello strumento di misura (quindi in questo caso da Google). Tuttavia, è necessario garantire che questo server soddisfi una serie di criteri per poter ritenere che questa misura aggiuntiva sia in linea con quanto previsto dal GEPD nelle sue raccomandazioni del 18 giugno 2021”. Un tale dispositivo, secondo il CNIL, sarebbe corrispondente a una pseudonimizzazione dei dati prima della loro esportazione.
Più nel dettaglio, il server proxy dovrebbe garantire:
- l’assenza di trasferimenti dell’indirizzo IP ai server di Google;
- la sostituzione dell’identificativo utente;
- la cancellazione delle informazioni del sito di riferimento esterne al sito;
- la cancellazione di qualsiasi parametro contenuto negli URL raccolti;
- la rielaborazione delle informazioni che possono partecipare alla generazione di un’impronta digitale, come gli “user-agents”, per rimuovere le configurazioni più rare che possono portare alla re-identificazione;
- l’assenza di qualsiasi raccolta di identificatori tra siti (cross-site) o deterministici;
- la cancellazione di ogni altro dato che possa comportare una re-identificazione.
Si tratta, tuttavia, come confermato anche dallo stesso Garante francese, di misure di sicurezza la cui attuazione risulta costosa e complessa, e non sempre congrua alle esigenze operative dei professionisti.
La soluzione di Google
La soluzione offerta dalla stessa Google al momento è quella di utilizzare il nuovo Google Analytics 4: si tratta di un servizio certamente più avanzato rispetto al precedente Google Analytics, in quanto presenta opzioni privacy aggiuntive, come la possibilità di:
- disattivare la raccolta dati;
- disattivare le funzionalità pubblicitarie;
- anonimizzare gli indirizzi IP;
- impostare un periodo di conservazione dei dati personalizzato;
- eliminare i dati dell’utente finale archiviati sia sui dispositivi mobili che sui server di Analytics;
- disattivare la personalizzazione degli annunci.
Tuttavia, GA4 non risolve le criticità riscontrate dai Garanti europei, operando sempre mediante la raccolta dell’indirizzo IP (dato che, come affermato dal Garante, è da ritenersi assolutamente personale nel caso di specie, anche se in forma anonimizzata – misura di sicurezza comunque non applicata dalla Big Tech).
Anche nel caso in cui non fosse raccolto l’indirizzo IP, per Google, data la vastità di dati che la stessa raccoglie dei propri utenti, sarebbe possibile ugualmente identificare gli utenti, rendendo comunque vani gli sforzi delle aziende che fanno affidamento sul servizio.
Come affermato dallo stesso Guida Scorza, membro dell’Autorità Garante[3], “Gli uffici del Garante non hanno avuto occasione di esaminare la versione 4 di Google Analytics semplicemente perché il titolare del trattamento oggetto del provvedimento non la utilizzava, né sin qui tale versione è venuta in rilievo in altri procedimenti analoghi. Impossibile in queste condizioni, pertanto, dire se essa sia o meno in grado di risolvere il problema e consentire l’uso di Google Analytics in conformità alla disciplina europea sul trasferimento dei dati personali negli USA. Quello che, tuttavia, si può certamente dire è che per rendere il servizio conforme alle regole europee non basta né che gli indirizzi IP degli utenti siano cancellati da Google un istante dopo la raccolta, né che non siano affatto raccolti se, al loro posto, sono comunque raccolti e trasferiti nella disponibilità della casa madre americana di Big G altri dati che consentano a quest’ultima e, dunque – agendo essa in qualità di responsabile del trattamento – almeno in astratto al titolare del trattamento di identificare o re-identificare un utente”.
Conclusioni
Sulla scorta di tutto quanto sin qui premesso, può evincersi dunque come le opzioni più sicure per le aziende siano quelle che evitano il ricorso a Google Analytics o ad altri strumenti che effettuano trasferimenti negli USA, in assenza di riforme normative statunitensi o di un nuovo accordo (il quale, purtroppo, sta tardando ad arrivare).
Nel caso in cui la migrazione verso diverse soluzioni fosse impossibile, si renderà necessario provvedere all’adeguamento delle misure di sicurezza tecniche interne, al fine di scongiurare eventuali insufficienze delle soluzioni contrattuali alternative.
Note
- https://www.agendadigitale.eu/sicurezza/privacy/google-analytics-scorza-ecco-cosa-devono-sapere-le-aziende/ ↑
- https://www.cnil.fr/fr/cookies-et-autres-traceurs/regles/google-analytics-et-transferts-de-donnees-comment-mettre-son-outil-de-mesure-daudience-en-conformite ↑
- https://www.agendadigitale.eu/sicurezza/privacy/google-analytics-scorza-ecco-cosa-devono-sapere-le-aziende/ ↑