Le questioni legate all’impiego di Google Analytics (GA) in quanto sofisticato strumento di analisi del traffico su siti e portali web continuano a essere di grande attualità, in particolare in seguito al recente provvedimento del Garante Privacy relativo, nello specifico, a un reclamo nei confronti di una società che fa uso di Analytics sul suo sito web.
La dialettica che ha portato al provvedimento ha il merito di chiarire diversi aspetti che caratterizzano il rapporto fra un sito web e Google. Aspetti praticamente ovvi; eppure, quasi mai considerati a sufficienza.
Google Analytics, Scorza: “Ecco cosa devono sapere le aziende”
La presa di posizione del Garante
La presa di posizione del Garante su Google Analytics, che non è del tutto inedita nel merito ma certamente lo è nei toni chiari e decisi, costituisce inevitabilmente una pietra miliare in materia. Il Garante infatti affronta un reclamo nei confronti di una società che fa uso di Analytics; dichiara illecito il trattamento dei dati personali da essa posto in essere per il tramite di Google; ingiunge l’adozione di misure supplementari adeguate; ordina l’immediata sospensione dei flussi dati verso Google LLC con sede negli Stati Uniti; la ammonisce per aver commesso diverse violazioni nel trattamento di dati personali, fra le quali il trasferimento dati via Analytics verso uno stato estero non coperto da una decisione di adeguatezza.
Cosa sappiamo del rapporto tra un sito web che usa Analytics e Google
Ma, appunto, cosa sappiamo del rapporto tra un sito web che usa Analytics e Google?
Chi utilizza GA “è vincolato al testo contrattuale [“Google Analytics Terms of Service”] che deve approvare prima di iniziare a utilizzare la piattaforma (testo standard imposto dal fornitore Google)”. Il trasferimento dei dati verso Google avviene per il tramite delle Clausole contrattuali standard (SCC), corrispondenti allo schema tipo adottato dalla Commissione europea con decisione n. 2010/87/UE, integrato dalle misure supplementari adottate da Google, rispetto alle quali non vi è in effetti “alcuna possibilità di verificare l’implementazione a livello tecnico (..), ovvero di impartire specifiche istruzioni sull’effettiva implementazione delle stesse”.
Con lucidità occorre allora prendere atto che l’utilizzatore di GA “non ha né visibilità del dettaglio dei dati raccolti, né può precisamente descriverne le tipologie” e ancora che “non ha alcun livello di autonomia in merito alle scelte relative ai trasferimenti di dati verso Paesi terzi, ivi incluse l’identificazione delle tipologie di dati oggetto del trasferimento”. In questa condizione di conclamata subalternità, spesso ricorrente on-line, non si può che rimettersi alle dichiarazioni di GA in merito alla validità e all’efficacia delle “misure supplementari di protezione dei dati personali”, pseudonimizzazione, ecc.
L’adeguatezza delle misure di protezione dei dati
Sono esse adeguate? Possono essere considerate sufficienti? Questo è un passaggio chiave. Quando si procede alla valutazione della sufficienza si evidenzia tutta la distanza fra il punto di vista dell’utente e quello delle piattaforme, e anche fra i presupposti culturali e la conseguente sensibilità che noi europei abbiamo sulla privacy rispetto ad altri paesi. Per constatare quanto sia eclatante questa distanza culturale trasliamo brevemente il piano di analisi.
Numerosi recenti studi accademici[1] hanno via via dimostrato come i sistemi operativi dei nostri smartphone, senza sostanziali differenze per costruttore (nel caso di Android, ad es. Samsung, Xiaomi, Huawei, …), trasmettano significative quantità di dati al fabbricante come pure a terze parti fra le quali la stessa Google. Ciò avviene senza possibilità di configurare il dispositivo in modo diverso e ben oltre le ragionevoli necessità di telemetria e ricerca di aggiornamenti. Per evidenziare la distanza fra le sensibilità culturali è illuminante il commento sul punto di un portavoce della compagnia di Mountain View: “…non siamo d’accordo che un tale comportamento sia inaspettato: questo è il modo in cui funzionano i moderni smartphone…”. Prendere o lasciare.
Tornando al provvedimento del nostro Garante, in esso non solo si legge che non è sufficiente affidarsi alle “misure supplementari” implementate da Google, ma al tempo stesso si coglie quanto aggiungerne di ulteriori sia difficile per il gestore del sito, nella sua scomoda posizione fra la piattaforma Analitycs e il suo utente-navigatore e senza nessuna possibilità di determinare le condizioni operative e tecniche né dell’uno dell’altro.
Come superare l’impasse
Come superare allora questa impasse?
Con una nota dei primi di giugno, il Garante francese (CNIL) ha indicato efficaci strategie tecniche per utilizzare GA in conformità con il Regolamento europeo. L’iniziativa è interessante anche perché è articolata sul piano della tecnologia e di come essa viene applicata, senza limitare analisi e contromisure al solo piano del diritto. Una dimostrazione, se mai ce ne fosse ancora bisogno, di quanto la relazione dinamica fra tecnologia e diritto animi l’intero GDPR.
Un sistema di proximizzazione per evitare il “contatto diretto” fra l’utente-navigatore e i server di tracciatura
Nella sua nota la CNIL delinea un’architettura di rete e di sistemi che consente di mantenere riservati senza conferire a server esteri i dati personali dell’utente-navigatore, a partire dall’indirizzo IP, recuperando soluzioni tecniche di “anonimizzazione” (quelle che hanno generato, per intenderci, anche il browser Tor, e che sono state troppo spesso sbrigativamente considerate solo arnesi del cosiddetto mondo cyberpunk). Nel concreto, la CNIL ritiene adeguata e propone un’architettura che impieghi un sistema di proximizzazione (“proxyfication”), per evitare il “contatto diretto” fra l’utente-navigatore e i server deputati alla tracciatura e all’analisi del traffico (GA).
Come e dove collocare il sistema di proximizzazione e chi ne debba essere “titolare” resta un aspetto determinante. Nel caso frequente in cui l’utente-navigatore operi nella rete di un’azienda o di altra organizzazione, ad es. una LAN o in smart-working via VPN, il sistema di proximizzazione posto nella giurisdizione aziendale, e correttamente gestito come CNIL raccomanda, permette all’azienda di sottrarre alla tracciatura identificativa, e di riportare in conformità, l’utilizzo praticamente di ogni servizio Internet a beneficio dei propri utenti e a propria tutela. In linea di principio, e seppure con evidenti complessità tecniche e politiche, è anche possibile concepire una proximizzazione a livello nazionale o continentale. Di queste e di altre ipotesi di collocazione e sfruttamento del sistema di proximizzazione, sebbene molto interessanti, non possiamo per brevità qui discutere.
Google Analytics 4
Un’altra risposta ai problemi di protezione dei dati personali collegati ad Analytics la sta fornendo la stessa Google, con la sua nuova tecnologia denominata Google Analytics 4 (GA4). Il cuore della soluzione è un’innovativa proprietà per le misurazioni, che utilizza gli eventi anziché le sessioni e abbandona l’impiego dei cookie. La nuova tecnologia è già stata adottata da molti Content Management Systems (CMS) e sostituirà la sua omologa attuale (Universal Analytics) entro la metà del prossimo anno. Mentre GA4 si diffonderà, sarà interessante registrare la valutazione che i diversi Garanti ne daranno, anche alla luce della “visibilità del dettaglio dei dati raccolti” che Google consentirà.
La necessità di un accordo giuridico dopo Schrems II
La soluzione principe al tema del trasferimento dati, per questo caso e per tutti quelli diventati di difficile trattazione dopo la pronuncia n. C-311/18 della Corte di Giustizia dell’Unione Europea del 16 luglio 2020 (c.d.”Schrems II”), andrebbe fondata su un rinnovato accordo giuridico e sulla conseguente armonizzazione normativa con i principali paesi terzi e anzitutto con gli Stati Uniti. Lo sforzo è doveroso anche se tutto in salita perché deve coniugare una sensibilità culturale per la quale è “scontato” che uno smartphone racconti delle nostre telefonate a chi lo ha fabbricato e un’altra invece che conserva ancestrale memoria e più non vuole imbattersi in nomi e sigle terribili come Geheime Staatspolizei, OVRA e poi ancora Stasi o Milice francaise.
Conclusioni
Al momento, la soluzione più adottata dai gestori di siti e portali è quella “di ultima istanza”: rinunciare all’utilizzo di GA e di ogni altro cookie, con le ormai consuete opzioni per l’utente-navigatore: “continuare senza accettarli”, “rifiutarli tutti”, ecc., laddove in effetti sarebbero disponibili anche altre piattaforme di analytics maggiormente in linea con il GDPR, tra le quali quella dedicata alle PA dell’Agenzia per l’Italia Digitale “Web Analytics Italia”.
Un’ultima riflessione. Le conseguenze di fatto del provvedimento del Garante sono ineludibili e quasi ovvie, eppure non del tutto previste. Il loro effetto, infatti, non può non estendersi agli altri servizi di Google, che sono assoggettati alle stesse regole di funzionamento, alle stesse politiche privacy, allo stesso corredo legale, condizioni d’uso e informative che accompagnano Analitycs. Come è possibile escludere provvedimenti di censura del Garante per quegli altri servizi, alla luce del caso discusso? E per di più, se anche fossero assoggettati a differenti regole di funzionamento e corredo legale, quei servizi fanno uso di cookies proprio come Analytics e quindi di nuovo esposti a censura.
Certo è una libera e legittima scelta affidare la propria mailbox o il proprio archivio drive a una piattaforma costituita in un paese terzo non coperto da una decisione di adeguatezza. Ma la questione cambia natura e diventa critica quando con quella mailbox o con quell’archivio drive si inizia a gestire (a “trattare”) dati personali di interlocutori terzi. Pur ammettendo per ipotesi di scuola che il “titolare” della mailbox o del drive abbia edotto con un’adeguata informativa i suoi interlocutori del trasferimento, e ciò normalmente non avviene, costoro potranno sempre azionare i propri diritti e sulla base del provvedimento discusso presentare reclamo nei confronti del titolare stesso.
Note
- Fra gli altri:Android Mobile OS Snooping By Samsung, Xiaomi, Huawei and Realme Handsets – Haoyu Liu et. al., October 2021
What Data Do The Google Dialer and Messages Apps On Android Send to Google? – Douglas J. Leith. Feb 2022 ↑
