A distanza di quasi due anni dalla storica sentenza Schrems II, pronunciata dalla Corte di Giustizia europea, che ha dichiarato che gli Stati Uniti non garantiscono un livello di protezione adeguato e che, di fatto, ha invalidato i trasferimenti dei dati personali dei cittadini europei verso l’altro lato dell’Atlantico, non accenna a venir meno l’annoso problema attinente al trasferimento dei dati personali tra l’Unione europea e gli USA. Una vera e propria matassa difficile da districare, stante le nuove e importanti pronunce di alcune Autorità di controllo europee.
Trasferimento dati extra-Ue, Scorza (Garante Privacy): “Abbiamo un problema, anzi tre”
Le pronunce
Nelle ultime settimane, infatti, due azioni esecutive, una del Garante austriaco (“Datenschutzbehörde” or “DSB”) e una del CNIL (Commission nationale de l’informatique et des libertés) hanno dichiarato inadeguate le misure di Google Analytics, cioè lo strumento che permette di generare valutazioni statistiche generali sul comportamento dei visitatori dei siti web che ne fanno uso, e che determina il trasferimento dei dati personali negli USA.
Nello specifico, entrambe le decisioni sono conseguenza dei 101 reclami presentati in varie nazioni dell’Unione Europea da parte dell’ONG austriaca NOYB – European Centre for Digital Rights, l’organizzazione fondata Maximilian Schrems, l’attivista che ha dato il nome alla nota sentenza della Corte di Giustizia dell’UE che nel 2020 ha invalidato la decisione di adeguatezza della Commissione Europea che riteneva il Privacy Shield fornire garanzie adeguate il trasferimento dei dati.
La pronuncia del Garante austriaco
Con il provvedimento[1], reso pubblico il 14 gennaio 2022, l’autorità garante austriaca ha riscontrato che tutti i siti che fanno uso di Google Analytics di fatto esportano negli Stati Uniti dati personali dei visitatori, come i loro indirizzi IP e i loro identificatori univoci che vengono memorizzati nei cookie.
Tali informazioni, secondo le leggi in vigore negli USA, possono essere fornite alle autorità americane stante i programmi di sorveglianza governativa dei servizi di intelligence (come il FISA 702) e, per queste ragioni, si configurerebbe la violazione delle norme del Regolamento UE 2016/679 (“GDPR”) in tema di trasferimento dei dati personali all’estero.
Di conseguenza, analizzando il sito web del titolare, ovvero un portale dedicato alla divulgazione su temi sanitari, il garante con un provvedimento articolato e complesso ha disposto la sanzione nei suoi confronti proprio per l’utilizzo dei cookie di Google Analytics, per le seguenti ragioni.
Il trattamento, minuziosamente ricostruito e analizzato dalla DSB, avrebbe avuto luogo prevalentemente in data center situati in Europa e anche su server al di fuori dello Spazio Economico Europeo (SEE). A seguito dell’istruttoria, è emerso che il titolare avrebbe istruito il responsabile ad anonimizzare gli indirizzi IP degli utenti, prima di procedere alla relativa conservazione ed eventuale trasmissione. Tuttavia, a detta della DSB, l’anonimizzazione degli indirizzi IP inizialmente non sarebbe stata configurata correttamente proprio dal titolare stesso. Inoltre, come ricostruito dalla DSB, i convenuti avrebbero anche adottato ulteriori misure contrattuali, organizzative e tecniche per la protezione dei dati personali (inclusa la crittografia), al fine di ridurre il rischio di esposizione degli stessi alle agenzie di intelligence statunitensi.
Nonostante però l’adozione di tali misure, l’autorità non ha potuto fare a meno di constatare che i Google Analytics User ID possono costituire dati personali nella forma di Unique Identification Number, ricadendo nella definizione di “dati personali” di cui all’art. 4, n. 1 GDPR. Peraltro, gli identificativi online combinati con altri elementi, quali l’user ID di Google, i dati del browser e gli indirizzi IP, permetterebbero di identificare l’interessato consentendo ai servizi di intelligence americani la raccolta e delle informazioni e la sorveglianza degli individui.
Del resto, l’autorità austriaca ha tenuto conto del Considerando 30 del GDPR, che recita: “Le persone fisiche possono essere associate a identificativi online prodotti dai dispositivi, dalle applicazioni, dagli strumenti e dai protocolli utilizzati, quali gli indirizzi IP, a marcatori temporanei (cookies) o a identificativi di altro tipo, come i tag di identificazione a radiofrequenza. Tali identificativi possono lasciare tracce che, in particolare se combinate con identificativi univoci e altre informazioni ricevute dai server, possono essere utilizzate per creare profili delle persone fisiche e identificarle”.
A seguito di ciò, la DBS ha rilevato la responsabilità del titolare del trattamento per aver implementato, tramite il proprio sito web, lo strumento Google Analytics trasmettendo i dati personali del ricorrente (inclusi Unique Identification Number, indirizzi IP e parametri browser) al responsabile del trattamento. In seconda battuta, la DSB ha sancito l’illegittimità del trasferimento ritenendo che le clausole contrattuali standard concluse dal titolare con il responsabile non siano in grado di offrire le garanzie adeguate e sufficienti agli interessati, in violazione dell’art. 44 del GDPR.
Come infatti sottolineato dalla DSB: “La responsabilità risiede, in ottica di accountability, presso il titolare del trattamento che, nel decidere di ricorrere a Google Analytics, ha determinato le finalità ed i mezzi del trattamento associati allo strumento scelto.
Google rende soltanto disponibile questo servizio, senza poter influire sul se e sul fino a che punto il titolare del sito web abbia fatto uso delle funzioni dello strumento e quali specifiche impostazioni abbia implementato.
Ricadendo nella definizione di “data exporter”, essendo soddisfatti tutti i requisiti delineati dalle Linee guida n. 5 del 2021 dell’EDPB, il titolare avrebbe dovuto fondare il trattamento”.
Tying: quando il consenso al trattamento dati è vincolante per il servizio
È facile intuire che la portata della pronuncia della DSB potrebbe avere conseguenze dirompenti e riaccendere un dibattito (mai sopito, del resto) sull’irrisolto tema del trasferimento internazionale dei dati personali verso Paesi terzi che non sono in grado di offrire tutele analoghe a quelle accordate dal GDPR all’interno dell’Unione Europea.
La posizione del Garante francese
Dopo il Garante austriaco, anche quello francese ha espresso il proprio parere relativamente ad una società francese, che svolge attività di vendita a distanza, che aveva deciso di integrare la funzionalità di Google Analytics sul proprio sito web allo scopo di misurare l’audience, il rendimento delle campagne pubblicitarie e le performance della società.
La recente pronuncia[2] del CNIL, del 10 febbraio 2022, ricalca sostanzialmente quanto sancito poche settimane prima dall’autorità austriaca.
In particolare, il garante francese, analizzando tecnicamente il funzionamento del servizio Google Analytics, ha rilevato che questo sia in grado di raccogliere la richiesta http dell’utente, le informazioni sul suo browser e sul sistema operativo dell’utente, “tra le altre cose. […] una richiesta http, per qualsiasi pagina, contiene dettagli del browser e del dispositivo che effettua la richiesta, come il nome del dominio e il browser informazioni come il tipo, il referer e la lingua”.
In linea con quanto sollevato dal Garante austriaco, anche il CNIL ha ritenuto che tali informazioni siano da considerare come dati personali ai sensi dell’art. 4 del GDPR e ha dichiarato l’illegittimità dei trasferimenti di tali dati nei server di Google Analytics ospitati negli Stati Uniti, per violazione dell’art.44 del GDPR, ordinando al gestore del sito web francese di conformare la propria attività di trattamento dei dati al Regolamento, cessando di utilizzare tale strumento alle condizioni attuali.
Sebbene Google abbia adottato misure supplementari, contrattuali, organizzative e tecniche per la gestione dei trasferimenti di dati relativamente al servizio di Google Analytics, non è stato chiarito come dette misure “impediscano o riducano di fatto le possibilità di accesso dei servizi segreti americani sulla base del quadro giuridico statunitense” ritenendo quindi che sussista un concreto “rischio per gli utenti francesi di siti web che utilizzano questo servizio e i cui dati vengono esportati”.
Ed infatti, da un lato le clausole contrattuali standard stipulate tra Google e la società francese, al fine di rendere legittimo il trasferimento dei dati, non possono costituire un mezzo sufficiente per garantire la protezione effettiva dei dati personali trasferiti, in quanto Google deve essere qualificato come un “fornitore di servizi di comunicazione elettronica” e, in quanto tale, è soggetto alla sorveglianza da parte dei servizi di intelligence USA ai sensi dell’art. 50 US. Code § 1881a (“FISA 702”).
Dall’altro lato, per ciò che attiene la misura tecnica dell’anonimizzazione dell’IP, l’autorità d’oltralpe ha rilevato che si tratta pur sempre di una misura opzionale e “non applicabile a tutti i trasferimenti” ed in ogni caso Google non ha chiarito se questa venga applicata prima del trasferimento o se l’intero indirizzo IP venga trasmesso negli USA e solo abbreviato dopo questo trasferimento, cosicché sussiste, da un punto di vista tecnico, “un potenziale accesso all’intero indirizzo IP prima che sia abbreviato”.
In conclusione, il CNIL ha raccomandato che gli strumenti di misurazione del pubblico come Google Analytics “siano utilizzati solo per produrre dati statistici anonimi, consentendo così una deroga al consenso se il responsabile del trattamento dei dati garantisce che non ci sono trasferimenti illegali”.
L’autorità ha inoltre avviato un programma di valutazione[3] al fine di individuare gli strumenti esenti dal consenso. In questo senso, l’indagine avviata dalle autorità in materia di protezione dei dati riguarda anche “altri strumenti utilizzati dai siti che comportano il trasferimento di dati degli internauti europei verso gli Stati Uniti. Misure correttive in questo senso potrebbero essere adottate nel prossimo futuro”.
Conclusioni
Quali indicazioni per i titolari del trattamento? Alcuni suggerimenti per essere compliant:
le pronunce dei garanti europei appena analizzate, avvertono i titolari del trattamento che intendano implementare nei propri siti web strumenti come Google Analytics, della necessità di richiedere uno specifico consenso agli interessati dei cookies analitycs e, in via cautelativa, procedere alla anonimizzazione dei dati (quale il mascheramento dell’indirizzo IP) prima di effettuare il trasferimento degli stessi. Tuttavia, stante le probabili eventuali future pronunce dei garanti europei che potrebbero venire a cascata, in considerazione degli oltre 190 reclami presentati dall’associazione NOYB, resta ferma la valutazione in capo al titolare del trattamento sull’opportunità o meno di implementare tale strumento.
Pertanto, la conseguente rinuncia di effettuare un trasferimento di dati verso paesi terzi che, nonostante l’attuazione di misure supplementari, non sono in grado di garantire una sufficiente protezione dei dati, resta la scelta maggiormente prudente. Così come viene rimessa al titolare la valutazione di scegliere service provider che abbiano sede all’interno dello Spazio Economico Europeo, senza dar vita ad alcuno trasferimento.
Laddove invece il titolare del trattamento ritenga necessario l’utilizzo di strumenti come Google Analitycs e, dunque, accetti il rischio di un trasferimento non conforme alle previsioni del GDPR, resta indispensabile procedere al c.d. “Transfer Impact Assessment” (o TIA), come suggerito dall’EDPS, il Garante europeo per la protezione dei dati, in ossequio al principio del risk based approach.
Qualora dall’assessment emerga che non sia possibile assicurare nel Paese in cui si intende trasferire i dati, un livello di protezione sostanzialmente equivalente a quello garantito all’interno dell’Unione, il data exporter dovrà identificare le misure supplementari da mettere in atto.
Di conseguenza, dovrà tenere a mente i suggerimenti previsti dall’EDPB, ovvero il Comitato europeo per la protezione dei dati (nelle Raccomandazioni 01/2020 e 02/2020) e dunque, procedere alla mappatura di tutte le operazioni di trattamento in corso, che comportano un trasferimento dei dati, nonché alla valutazione della legislazione applicabile nel Parse terzo importatore dei dati. In questa fase, risulterà utile la consultazione delle Raccomandazioni 02/2020 dell’EDPB, documento nel quale sono definite le garanzie essenziali da prendere in considerazione nell’assessment della legislazione straniera.
Tali informazioni dovranno essere rinvenute nel classico registro dei trattamenti, indicando, tra le altre cose, la tipologia di operazioni di trattamento, i Paesi destinatari dei dati, lo strumento di trasferimento utilizzato e le categorie di persone interessate.
Da ultimo, per quanto attiene la gestione dei cookies, stante il crescente uso di tracciatori particolarmente invasivi, è utile ricordare che il nostro Garante per la protezione dei dati personali ha approvato le nuove Linee guida sui cookie[4], entrate pienamente in vigore il 10 gennaio 2022, con l’obiettivo di rafforzare il potere di decisione degli utenti riguardo all’uso dei loro dati personali quando navigano on line.
Vediamo alcuni passaggi significativi.
Il titolare del trattamento sarà assoggettato all’obbligo di fornire una specifica informativa, che dovrà indicare anche gli eventuali altri soggetti destinatari dei dati personali e i tempi di conservazione delle informazioni. Questa potrà essere resa anche su più canali e con diverse modalità (ad esempio, con pop up, video, interazioni vocali).
Il Garante conferma l’obbligo della sola informativa per i cookie tecnici, anche inserita nell’informativa generale e raccomanda poi che i cookie analytics, usati per valutare l’efficacia di un servizio, siano utilizzati solo a scopi statistici.
È inoltre necessario rendere manifesti nell’informativa almeno i criteri di codifica dei tracciatori adottati.
Quanto al consenso, agli utenti può essere chiesto nuovamente di prestare il consenso solo se:
- le condizioni del consenso sono cambiate (ad esempio, sono stati aggiunti dei nuovi servizi di terza parte o ne sono stati rimossi di vecchi); o
- il titolare del sito non possiede gli strumenti per tenere traccia del consenso precedente (ad esempio, l’utente ha eliminato il cookie di consenso installato sul suo dispositivo); o
- sono passati almeno 6 mesi dall’ultima acquisizione.
Inoltre, i cookie sono definiti sulla base di due macrocategorie: cookie tecnici e cookie di profilazione.
Al riguardo, il Garante precisa che, in linea di principio, i cookie statistici di prima parte possono essere installati senza il consenso dell’utente.
Per quanto riguarda i cookie statistici di terza parte, possono essere installati senza il consenso dell’utente solo se:
- non permettono l’identificazione di un utente preciso (ad esempio, usano solo indirizzi IP abbreviati o sono assegnati non a un singolo dispositivo, ma a diversi);
- il loro uso è limitato a un singolo sito/app;
- non sono condivisi o comunicati a terzi;
- i dati raccolti non sono combinati con altri dati.
Note
- https://noyb.eu/sites/default/files/2022-01/E-DSB – Google Analytics_EN_bk.pdf ↑
- https://www.cnil.fr/en/use-google-analytics-and-data-transfers-united-states-cnil-orders-website-manageroperator-comply ↑
- https://www.cnil.fr/fr/cookies-solutions-pour-les-outils-de-mesure-daudience ↑
- https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9677876 ↑
- cweb/9677876 ↑
