Con un provvedimento adottato il 9 giugno 2022 il Garante per la protezione dei dati personali si è espresso per la prima volta sull’utilizzo di Google Analytics, dichiarando che il sito web che lo utilizza non è conforme al GDPR e in violazione alle norme sul trasferimento extra SEE dei dati personali.
Il provvedimento del Garante italiano è in linea con provvedimenti analoghi già adottati nei mesi scorsi dall’Autorità Garante austriaca (“Datenschutzbehörde” or “DSB”). Autorità che si è attivata proprio in seguito ad un reclamo, sanzionando, nel mese di dicembre 2021 il titolare di un sito web. Anche l’Autorità di controllo francese CNIL (“Commission nationale de l’informatique et des libertés”), sulla base di un reclamo proposto da un interessato, ha sanzionato una società di vendita al dettaglio online.
Il Privacy Schield
È bene ricordare che nel luglio 2020 la CGUE (Corte di Giustizia dell’Unione europea) aveva invalidato l’accordo UE-USA definito “Privacy Shield” affermando l’illegittimità dei trasferimenti di dati personali di cittadini europei negli Stati Uniti. Veniva quindi sancito il divieto di flussi di dati personali verso gli USA. L’alternativa era che gli esportatori e gli importatori di dati non adottassero misure giuridiche, tecnologiche e organizzative, in grado di eliminare i rischi per la privacy. Tuttavia, queste misure non si possono sempre adottare e non risultano sempre efficaci, come appunto è stato accertato nel caso di Google Analytics.
Istruttoria del Garante Italiano
Il provvedimento del 9 giugno, rappresenta l’esito dell’attività istruttoria avviata nel corso del 2020 sulla base del reclamo di un interessato, in coordinamento con altre Autorità privacy europee.
Anche la nostra Autorità Garante rileva l’illiceità del trattamento effettuato dalla una società, per il tramite il loro sito web, per mancato rispetto del Capo V del Regolamento. Nell’ambito dell’attività istruttoria, l’Autorità ha esaminato l’opzione c.d. “IP-Anonymization” prevista dallo strumento Google Analytics, la quale comporta l’invio a Google dell’indirizzo IP dell’utente troncato, in seguito all’oscuramento dell’ottetto meno significativo (ad esempio, gli indirizzi da 122.48.54.0 a 122.48.54.255 vengono sostituiti da 122.48.54.0). Il troncamento dell’IP, tuttavia, non impedisce a Google LLC di re-identificare l’utente, considerando tutte le informazioni complessivamente già in possesso del fornitore.
Perchè l’Ip non è anonimizzato
In particolare, spiega il Garante, ciò accade qualora l’interessato navighi avendo effettuato l’accesso al proprio profilo Google. Tale operazione, infatti, consente la possibile re-identificazione dell’utente nonostante l’attivazione dell’“IP-Anonymization”.
In ogni caso – e quindi anche qualora l’utente non abbia effettuato l’accesso al proprio profilo – l’Autorità specifica che “l’obbligo di consentire l’accesso, da parte delle Autorità statunitensi, ricade su Google LLC non solo con riferimento ai dati personali importati, ma anche in ordine alle eventuali chiavi crittografiche necessarie per renderli intelligibili”.
Da ciò ne consegue che l’anonimizzazione non è mai effettiva: “fintanto che la chiave di cifratura rimanga nella disponibilità dell’importatore, le misure adottate non possono ritenersi adeguate”.
Chiarimenti sul provvedimento Google Analytics
Il 24 giugno, in seguito alla pubblicazione del provvedimento, Guido Scorza, Componente del Garante per la protezione dei dati personali, ha rilasciato un’intervista sul tema.
Nell’intervista dichiara che “Il trasferimento dei dati negli Stati Uniti non è vietato a prescindere”. Il dubbio […”> è che esista allo stato una modalità di Google Analytics conforme”. Come specificato, il provvedimento non vuole essere un semplice blocco, per questa ragione vengono lasciati 90 giorni al gestore del sito per conformarsi.
Ma è davvero possibile usare Analytics in modo conforme al GDPR? “Dire se questo è possibile o non è possibile” prosegue Scorza “sta ai vari siti e a Google”. Considerando la posizione predominante del provider, nel determinare condizioni contrattuali e misure di sicurezza, l’unica soluzione potrebbe essere sperare in un’anonimizzazione effettiva dell’IP e dei dati oggetto di trasferimento. Per questo Scorza cita Google Analytics 4, affermando che “In teoria può esistere un modo per usare in maniera conforme Google Analytics, in pratica è legittimo dubitarne. […”> Una volta che sapremo di più su Google Analytics 4, bisognerà fare una verifica di conformità”.
Si spera che nei prossimi 90 giorni si raggiunga un accordo giuridicamente vincolante tra Europa e Stati Uniti.
Il problema, infatti, non è il singolo caso ma l’intera filiera dei trasferimenti effettuati verso gli Stati Uniti, “l’unica certezza è che la portata di questa decisione potrebbe essere epocale e che, in assenza di un provvedimento politico, si possa fare ben poco”.
Cosa fare?
Innanzitutto bisogna informare i titolari del trattamento dei siti web della notizia. Successivamente, verificare la necessità, rispetto alle effettive esigenze della propria organizzazione, di implementare uno strumento di tracciamento del traffico web come Google Analytics.
In alternativa, se non si raggiungerà un accordo internazionale e misure per l’adeguamento, bisognerà valutare l’adozione di strumenti alternativi di web analytics. Strumenti che non trasferiscano illecitamente i dati degli utenti al di fuori dell’Area Economica Europea.
A questo link, ad esempio, è possibile trovare un elenco di soluzioni alternative proposte dal CNIL – il Garante Privacy francese – che possono essere utilizzate per tracciare il traffico sui propri siti web in conformità con la normativa sul trasferimento dei dati, reperibile a questo link
Per maggiori informazioni potete contattarci