Nelle ultime ore, i DPO di diversi enti pubblici italiani hanno ricevuto un messaggio PEC da parte di “un gruppo di hacker italiani, attiviste e attivisti, cittadine e cittadini attenti alla privacy ed alla tutela dei diritti cibernetici nel nostro Paese”[1], con l’invito a rimuovere con urgenza dai siti web istituzionali Google Analytics, asserendone la “pacifica” non conformità ai principi del GDPR “in ordine al trasferimento transfrontaliero di dati personali”. La diffida è seguita dall’avvertimento che, in caso di inerzia, seguirà segnalazione al Garante per la Protezione dei Dati e al Difensore Civico Digitale.
La ritenuta illegittimità di Google Analytics deriverebbe dall’ “ingiustificato e massivo trasferimento transfrontaliero di dati personali” verso gli Stati Uniti, il cui regime giuridico, in seguito alla nota sentenza della Corte di giustizia dell’Unione europea (cd. “Schrems II”), che ha dichiarato l’invalidità del Privacy Shield, non garantisce un livello di protezione “sostanzialmente equivalente” a quello vigente all’interno dell’Unione Europea in conformità al GDPR.
Come strumento alternativo a Google Analytics, gli anonimi attivisti indicano la piattaforma Web Analytics Italia, come raccomandato – ma, se mai fosse il caso di rilevarlo, non imposto – da AgID nelle Linee guida di design per i servizi digitali della PA. Comunque, il passaggio verso soluzioni europee è del tutto condivisibile, sia chiaro, e l’adesione alla piattaforma Web Analytics Italia rappresenta senz’altro una scelta opportuna in termini di minimizzazione dei rischi legati al trasferimento dei dati in Paesi extraeuropei. Scelta opportuna, ma non obbligata ex lege.
Allo stesso modo, è giusto porsi con spirito critico di fronte agli strumenti offerti dai player internazionali, nelle cui mani viene spesso affidato con leggerezza il nostro patrimonio informativo pubblico (e privato).
Un problema di “metodo”
Il problema è il metodo utilizzato da questo gruppo di anonimi attivisti, di dubbia correttezza sotto più di un profilo[2], che rischia di indurre scelte affrettate e poco ponderate da parte dei DPO degli enti pubblici titolari del trattamento, che invece devono agire con prudenza, attenzione e documentando le proprie scelte in modo rigoroso.
La lettura della normativa, è bene ricordarlo, non consente automatismi interpretativi, né impone scelte tecnologiche, in senso positivo o negativo. Nessuno strumento hardware o software è illegittimo o legittimo in re ipsa, secondo il GDPR. D’altra parte, le norme in materia di trattamento dei dati personali non hanno portata assoluta e convivono con altri sistemi normativi che consentono teoricamente l’utilizzo di strumenti come Google Analytics, tra i quali, ad esempio, l’articolo 7 del Codice dell’Amministrazione Digitale in ottica di analisi delle esigenze degli utenti, o la disciplina in materia di trasparenza, ai fini della pubblicazione delle statistiche di accesso ai siti web delle pubbliche amministrazioni.
In ossequio al principio di accountability, l’adeguatezza del livello di protezione assicurato da qualsiasi strumento tecnologico deve essere verificata e assicurata in modo attivo e continuo, attuando misure legali, tecniche e organizzative che ne garantiscano l’effettività e comprovando il rispetto dei principi di protezione dei dati personali, ovunque vengano trattati.
L’invalidità del Privacy Shield
L’invalidità del Privacy Shield, oltretutto, non comporta affatto una preclusione assoluta al trasferimento di dati personali verso gli Stati Uniti, che può basarsi su uno degli strumenti di trasferimento elencati all’art. 46 del GDPR o su una delle deroghe previste dall’art. 49 dello stesso Regolamento. Lo stesso Comitato Europeo per la protezione dei dati[3] ha indicato ai titolari del trattamento una serie di misure supplementari su cui fare affidamento per portare il livello di protezione dei dati trasferiti in Paesi extra UE allo standard di equivalenza essenziale richiesto dalla normativa europea, ribadendo che, in ogni caso, il principio di accountability richiede una vigilanza continua del livello di protezione dei dati personali, che va verificato in concreto e con riguardo al contesto specifico del trattamento.
D’altra parte, non è detto che il passaggio a Web Analytics Italia garantisca pienamente i diritti degli interessati. Come assicurare, ad esempio la corretta conservazione dei dati già acquisiti tramite Google Analytics?[4]
Ad oggi, i Garanti dei Paesi europei che si sono espressi sulla questione, come la francese CNIL e l’austriaco DSB, pur sottolineando l’inadeguatezza di Google Analytics rispetto al livello di protezione assicurato dal GDPR, non hanno elevato sanzioni pecuniarie[5]. Altre Autorità, come il Garante spagnolo e quello lussemburghese, invece, non hanno preso posizione sulla questione.
Un problema di natura politica
Si tratta, chiaramente, di un problema di natura politica. Siamo in attesa della formalizzazione – che si auspica quanto più celere possibile – del Trans-Atlantic Data Privacy Framework, l’accordo tra Unione Europea e USA, destinato a sostituire il Privacy Shield, come recentemente annunciato con dichiarazione congiunta della Presidente Commissione europea e del Presidente degli Stati Uniti.
A prescindere da questo nuovo accordo, comunque, il passaggio a soluzioni italiane o europee, magari open source, rimane un’opportunità da valutare. Ovvio che questa scelta non deve essere la conseguenza dell’imperativo invito proveniente da un imprecisato “gruppo di hacker“, che va accolto con favore, se serve a sollecitare una riflessione in punto di diritto su argomenti poco dibattuti. Ma un DPO non deve, e non può, basare le proprie scelte sul senso di urgenza indotta da condizionamenti esterni, che porta, spesso, a commettere errori più gravi di quelli a cui si vorrebbe porre rimedio (ammesso che di errori si tratti). È essenziale, invece, valutare con calma, sviluppare scelte ponderate e documentare con rigore, in linea con lo spirito del GDPR.
Note
- È quantomeno singolare, peraltro, che da questo messaggio PEC non si evinca in maniera trasparente l’identità dei sedicenti “attivisti”, che sarebbero legati al Centro Hermes per la Trasparenza e i Diritti umani digitali e alla ONLUS Copernicani. Resta il fatto che una pubblica amministrazione non può avviare procedimenti sulla base di comunicazioni che non hanno provenienza certa e, in questo caso, è lecito nutrire più di una perplessità sulla possibilità di considerare il mittente del messaggio PEC come un soggetto identificato o identificabile, tale da soddisfare – ad esempio – gli articoli 45 e 65 del CAD. ↑
- A parte i toni censori utilizzati dagli attivisti, che si ergono a severi tutori della legalità, suscita qualche dubbio il sistema di notifica massiva e automatizzata, al limite dello spamming, impiegato per l’invio dei messaggi di diffida, come pure la minacciata pubblicazione in automatico delle risposte ricevute dai DPO, in piena trasgressione delle norme in materia di liceità del trattamento, che si vorrebbero tutelare. ↑
- Si fa riferimento, in particolare, alle Raccomandazioni 1/2020 sulle misure che integrano gli strumenti di trasferimento per garantire il rispetto del livello di protezione dei dati personali dell’UE, adottate il 10 novembre 2020. ↑
- Del resto, lo si ricorda, la cancellazione di un dato è trattamento e – se quel trattamento è legittimo – la dismissione frettolosa di Google Analytics con conseguente raccolta e utilizzo dei dati trattati (ad esempio per pubblicare le statistiche dell’amministrazione trasparente richieste da ANAC, come spesso accade) rischia di poter essere valutato un illegittimo trattamento. ↑
- Allo stesso modo, la decisione del Garante Europeo per la protezione dei dati, richiamata nella missiva degli attivisti, non prevede misure sanzionatorie, limitandosi a rivolgere un rimprovero nei confronti del Parlamento europeo. ↑
