Il Garante Privacy italiano dichiara illegale Google Analytics. Lo si può interpretare anche così il provvedimento di oggi, anche se riguarda una società specifica, Caffeina Media Srl.
Google Analytics illecito in Italia: l’altolà del Garante privacy, ecco perché
Il provvedimento è notevole perché, a seguito di un reclamo, il Garante ha preso una sua prima posizione ufficiale su una faccenda spinosa: la liceità del trasferimento dati verso gli Stati Uniti dopo che la Corte di Giustizia Ue ha invalidato il privacy shield e nell’attesa di un nuovo accordo Usa-Europa sulle garanzie per il trasferimento dati.
Cosa ha chiesto il Garante a Caffeina Media
In particolare, Caffeina Media Srl è stata ammonita (non sanzionata) e ora ha 90 giorni per “per introdurre adeguate misure per il trasferimento dei dati, in caso contrario si provvederà (da parte del Garante, ndr) alla sospensione dei flussi di dati verso gli USA”, si legge nella nota del Garante.
Ricordiamo che Google Analytics è lo strumento di web analytics fornito da Google ai gestori di siti internet, che consente la generazione di dettagliate statistiche sugli utenti. Lo strumento è utilizzatissimo da chi fa digital marketing per ottimizzare le proprie attività on line.
Caffeina Media S.r.l., la società cui è arrivata il provvedimento del Garante, è una delle tantissime realtà italiana, sui cui sistemi è installata la versione gratuita di Google Analytics.
La questione però come detto è generalizzata. Il Garante ha chiesto a tutte le società di valutare attentamente il trasferimento dati estero con strumenti come Analytics.
Può essere insomma il primo passo – atto dovuto dopo le denunce ricevute dal Garante – per una possibile escalation, sempre che l’Europa e gli USA non si accordino prima.
I problemi di Google Analytics
Ma perché Analytics viola il GDPR, per il Garante? C’è innanzitutto un problema formale di nomina.
Il problema “formale” di nomina
Google, facendo tracciamento dei dati degli utenti del sito web, diviene Responsabile del Trattamento, conformemente all’art. 28 del GDPR, e dovrebbe essere nominato e adeguatamente istruito relativamente le attività di trattamento.
L’impossibilità per qualsivoglia titolare europeo di imporre a Google o a una qualsiasi Big Tech, le proprie istruzioni documentate, è uno dei principali cortocircuiti del GDPR, come denunciato da Wojciech Wiewiórowski, in una recente conferenza (17/06/22 Bruxelles) sullo stato di salute del Regolamento Europeo.
Nei fatti Google si autonomina con i “Google Analytics Terms of Service” e i “Google Ads Data Processing Terms”, propri documenti fatti pro domo sua, e dati senza alcuna possibilità di discussione ad ogni soggetto, che necessiti di utilizzare suoi applicativi, dall’alto di una palese e manifesta sproporzione di forza fra le parti.
Tali accordi definiscono Google Ireland Limited come Responsabile del trattamento, come da art. 28 del GDPR e annoverano tra i subfornitori l’americana Google LLC, innescando un problema, come vedremo a breve, di trasferimento internazionale di dati oltre oceano.
Il problema “sostanziale”
In secondo luogo c’è un problema sostanziale.
I siti web raccolgono, mediante cookies trasmessi al browser degli utenti, informazioni in ordine alle modalità di interazione di questi ultimi con il sito web, nonché con le singole pagine e con i servizi proposti.
I dati raccolti consistono in:
- identificatori online unici che consentono sia l’identificazione del browser o del dispositivo dell’utente che visita il sito web;
- indirizzo, nome del sito web e dati di navigazione;
- indirizzo IP del dispositivo utilizzato dall’utente, che come sappiamo è un dato personale;
- informazioni relative al browser, al sistema operativo, alla risoluzione dello schermo, alla lingua selezionata, nonché a data e ora della visita al sito web.
L’aggravante è data dal fatto che l’utente del sito web può essersi loggato al proprio account Google, e che quindi i dati poc’anzi citati possano essere associati ad altre informazioni presenti nel relativo account, quali l’indirizzo email (che costituisce l’user ID dell’account), il numero di telefono ed eventuali ulteriori dati personali, tra cui il genere, la data di nascita o l’immagine del profilo.
Infine, vi è appunto la sentenza della Corte di Giustizia Europea che ha cancellato il “Privacy Shield”. Il fatto che, a distanza di due anni, le diplomazie transatlantiche non siano ancora riuscite ad accordarsi su un compromesso, che possa mettere tutti d’accordo, implicitamente dimostra che la questione non è così semplice da dipanare.
La soluzione (errata) dell’IP-Anonymization
La soluzione errata portata avanti da Google Analytics, si chiama impropriamente “IP-Anonymization”. Lo strumento oscura l’ottetto meno significativo, le ultime cifre dell’IP per intenderci, rendendolo virtualmente anonimo e quindi non più elemento che lo renda soggetto al GDPR. Tale strumento non sempre è implementato, essendo una personalizzazione lasciata agli utenti, che sovente ignorano l’esistenza della soluzione.
Il Garante ha detto che Caffeina Media Srl non l’ha attivato e che se pure l’avesse fatto non sarebbe stato sufficiente per l’anonimizzazione.
Il nome della stessa soluzione è fuorviante, poiché non si tratta di una reale anonimizzazione ma di una mera pseudoanonimizzazione. In sostanza il troncamento dell’ultimo ottetto non impedisce a Google LLC di re-identificare l’utente medesimo, tenuto conto delle informazioni complessivamente detenute dalla stessa relative agli utenti del web.
Sussiste, inoltre, in capo alla medesima Google LLC la possibilità, qualora l’interessato abbia effettuato l’accesso al proprio profilo Google, di associare l’indirizzo IP ad altre informazioni aggiuntive già in suo possesso (quali le informazioni contenute nell’account utente).
MonitoraPA e le sue 7833 e-mail
Per gli addetti ai lavori il tema di Google analytics è particolarmente scottante, dopo che un collettivo di hacker – attivisti della privacy, “Monitora PA”, un mese fa ha sollevato un discreto polverone.
I telefoni hanno iniziato a squillare e le e-mail a fioccare, mentre solerti dipendenti comunali strabuzzavano gli occhi di fronte alle comunicazioni giunte a protocollo, che denunciavano l’illegale uso di Google Analytics sui siti istituzionale di ben 7833 enti comunali, intimando l’immediata disinstallazione dello strumento di tracciamento, pena una denuncia al Garante e il pubblico ludibrio, attraverso la pubblicazione sul web di tutte le amministrazioni, che perseverassero nella condotta illecita.
Google Analytics, PA fuori legge? Niente panico: ecco cosa sta succedendo
DPO e Consulenti Privacy, come il sottoscritto, hanno dovuto gestire il panico, che nel frattempo montava.
“Cosa diavolo ci siamo presi, che è sto Google Analytics?” mi hanno chiesto i più sprovveduti, convinti di aver aperto l’allegato sbagliato. La maggiorate non sapeva nemmeno si aver installato sui propri sistemi l’applicativo gratuito di analisi dei cookies, installato di default dalla maggior parte delle software house, più a proprio beneficio che non per altro. Altri hanno scoperto a distanza di sei mesi che il loro banner per i cookies era inadeguato alle Lineguide del Garante (vincolanti dal 10/02/22), altri ancora al contrario, in una reazione scomposta, lo hanno fatto installare pur non avendo cookies da tracciare.
A distanza di un mese, con una puntualità sospetta, nello stesso giorno in cui il Garante ammonisce Caffeina Media Srl , “Monitora PA” ha pubblicato un dettagliato resoconto delle proprie attività.
Così 4603 comuni, stando a quanto indicato dal gruppo di attivisti, “sembra” abbiano disattivato gli analytics dai loro siti. Il numero è eclatante e preoccupante.
Può infatti una mail di uno sconosciuto gruppo di attivisti far scattare sull’attenti così tante amministrazioni comunali lungo lo stivale?
L’Italia si allinea a Francia ed Austria
L’utilizzo di Google analytics è infatti già stata ritenuta illecito dall’EDPS, con riguardo al trattamento dei dati operato dal Parlamento europeo, dall’Autorità di controllo austriaca e da ultimo da quella francese.
I fornitori USA che rientrano nel FISA 702 e EO 12.333, secondo le leggi sulla sicurezza nazionale U.S.A., debbono permettere alle agenzie americane di accedere ai dati da essi trattati, dando loro ampissimi poteri di accesso e d’indagine.
Per il GDPR infatti questa totale discrezionalità all’accesso e uso dei dati dei cittadini è illegale. Tale discrezionalità non è consentita alle autorità pubbliche nazionali e comunitarie, soggette a una serie di vincoli e di tutele, e conseguentemente lo deve essere ancor di più per le autorità pubbliche extra europee.
La soluzione proposta da AgID
AgID nelle proprie “Linee guida di design per i siti internet e i servizi digitali della PA” suggerisce di sostituire gli analytics di Google con una versione opensource italiana denominata “Web Analytics Italia”.
Il Garante in merito non si è ancora espresso ed anzi commentando la bozza di Linee guida poc’anzi menzionata solleva alcune critiche.
I nodi privacy delle Linee guida Agid per i siti della PA: perché il Garante approva con riserva
Conclusioni
Insomma, la situazione è in divenire il provvedimento odierno contribuisce solo in parte a chiarirla, e in parte aumenta le incertezze perché non è chiaro cosa possa succedere adesso a chi continua a usare Analytics. Certo dovrebbero valutarne la sostituzione, ma oltre a questo non si può dire altro.
Il Garante in effetti non ha infierito e non ha comminato sanzioni, quasi giustificando in parte Caffeina Media S.r.l. dichiarando: “stante l’asimmetria di potere contrattuale derivante dalla primaria posizione di mercato assunta da Google nel settore dei servizi di web analytics– [il trasgressore] ha erroneamente assunto come idonee, sulla base delle informazioni rese da Google, le misure supplementari adottate da quest’ultima senza esercitare alcun potere decisionale in merito alle stesse.
Il Garante, infine, nelle sue conclusioni “ordina la sospensione dei flussi, verso Google LLC con sede negli Stati Uniti”.
A complicare o semplificare il tutto, c’è Google che è già corsa ai ripari e già ha lanciato il nuovo servizio Google Analytics 4 (GA4), che stando a quanto ci dicono risolverà a monte il problema, in attesa che nuovamente un Garante europeo ci metta il naso.
Concludo riagganciandomi alle parole pronunciate ormai due anni fa da Max Schrems il quale ammoniva le organizzazioni europee ad utilizzare software e strumenti extra UE, poiché così come Google Analytics, è in violazione al GDPR, in misura analoga lo potrebbero essere molti strumenti di Amazon, Microsoft o altre Big Tech, come già evidenziato dal Garante Europeo relativamente agli applicativi di Microsoft nel luglio 2020.
