È di ieri la notizia che il Garante Privacy italiano si sia finalmente espresso dichiarando l’illiceità del trattamento di Google Analytics.
Il comunicato stampa è rimbalzato attraverso tutti i social, dando la sensazione che ci sia un divieto netto e assoluto dell’utilizzo di questo strumento.
In realtà non è così, ed è lo stesso provvedimento a dichiararlo nella parte in cui, anziché vietare completamente il trasferimento dei dati, lo ha semplicemente sospeso dando al titolare del trattamento 90 giorni di tempo per trovare dei meccanismi ulteriori rispetto a quelli già attuati che siano idonei a proteggere i dati degli interessati, anche consentendo loro di poter esercitare i propri diritti ed avere dei mezzi di ricorso effettivi.
Google Analytics, fine di un’epoca? Cosa accadrà, con la rivoluzione privacy
Lo stesso tempo è quindi concesso a tutte le società che si trovino nella medesima situazione, aggiunge il comunicato stampa.
Un’altra doverosa premessa: questo provvedimento sanzionatorio si riferisce allo specifico caso oggetto dell’attenzione del Garante e, posto che i fatti lamentati risalgono al 2020, l’analisi è stata molto probabilmente condotta su una versione antecedente di GA.
I fatti
Nell’agosto 2020 un interessato ha presentato un reclamo al Garante per segnalare che una società avrebbe trasferito a Google LLC (America) dati personali che lo riguardano in assenza delle garanzie previste dal capo V del GDPR, che si evidenzia immediatamente, è quella parte del GDPR che elenca tutte le condizioni che legittimano un trasferimento di dati in Paesi Extra Ue.
La società, invitata a fornire riscontro, ha rappresentato che in un momento iniziale e coincidente con quello del reclamo, la sua controparte contrattuale fosse in effetti Google LLC e che successivamente alla stessa si sia sostituita Google Ireland la quale, tuttavia, continuava ad esportare dati in USA utilizzando la società Google LCC come subresponsabile del trattamento.
Aggiungeva, inoltre, che aveva proceduto alla nomina di Google a Responsabile del trattamento (ex art. 28 GDPR) che erano state stipulate le clausole contrattuali standard, che era stato utilizzata, sin dal momento in cui fosse stato possibile, l’anonimizzazione dell’indirizzo IP, di aver usato la cifratura dei dati e di non aver aderito all’opzione di condivisione dei dati (cosiddetta data sharing option) e quindi, in definitiva, di aver fatto tutto quello che era oggettivamente in suo potere per rispettare il principio di accountability e garantire i diritti degli interessati.
Il Garante in questo caso specifico, giova ribadirlo, ha stabilito che quanto realizzato non fosse sufficiente perché, tanto la pseudonimizzazione quanto la crittografia potevano essere sottoponibili ad un procedimento inverso e quindi consentire a Google d’avere accesso, in chiaro, ai dati personali degli utenti.
Allo stesso modo, le clausole contrattuali standard non erano sufficienti ad impedire l’accesso delle Authority americane a tali dati.
Il problema di fondo
Il problema di fondo è che la legislazione americana consente alle Autorità di avere accesso a tutti i dati che risiedono negli USA mentre non garantisce mezzi di ricorso effettivi e non fornisce garanzie circa i diritti degli interessati.
Questa, peraltro, è la ragione che ha portato all’emanazione della sentenza Schrems II e conseguentemente all’invalidazione del Privacy Shield, ossia quella decisione di adeguatezza sottoscritta tra la Commissione Europea e gli USA che riconosceva i livelli di protezione offerti dal paese terzo equivalenti a quelli europei.
Proprio per questo, l’EDPB aveva emanato delle nuove clausole contrattuali standard da poter utilizzare in caso di trasferimento extra-Ue non coperto da decisione di adeguatezza.
Nessun divieto di trasferimento, solo una sospensione
Il Garante, nel ricordare come le clausole siano ancora valide ed efficaci ha tuttavia rilevato che spetta comunque al titolare del trattamento verificare se nel caso concreto siano sufficienti o adottare ulteriori meccanismi di protezione e da qui la decisione di non vietare detto trasferimento, ma di sospenderlo nell’attesa che il titolare trovi dei sistemi aggiuntivi che riescano a tutelare gli interessati.
Non dimentichiamo, infatti, che uno dei capisaldi del GDPR è il principio di accountability, che consente al titolare del trattamento di muoversi liberamente nella scelta delle misure tecniche e organizzative da implementare per garantire che tutti i principi del GDPR, a tutela dei diritti degli interessati, siano attuati.
Non è, tuttavia, compito del Garante procedere a questa valutazione di adeguatezza. Come detto, è onere e responsabilità del titolare del trattamento.
Quali soluzioni è possibile adottare
Occupandoci della problematica oggetto del provvedimento e immaginando delle soluzioni, iniziamo con il dire che certamente ci sono e non passano, necessariamente, per l’utilizzo di Analitici europei (anche se, certamente, è la soluzione più veloce e più sicura).
A livello normativo, il titolo V del GDPR offre molti spunti anche se, stante lo squilibrio contrattuale tra le parti, alcune sono poco ipotizzabili.
L’uso di norme vincolanti d’impresa
Innanzitutto, il trasferimento extra-Ue, in assenza di decisione di adeguatezza e senza previa autorizzazione del Garante è possibile attraverso l’uso di norme vincolanti d’impresa, l’adesione a codici di condotta o a meccanismi di certificazione. Possibile anche, come già visto, l’uso delle clausole contrattuali standard.
In ogni circostanza, si richiede comunque uno sforzo ulteriore al titolare del trattamento che consiste nel verificare, caso per caso, se lo strumento utilizzato sia effettivamente efficace nel caso concreto e, nel caso in cui non lo sia, adottare ulteriori accorgimenti.
Clausole contrattuali ad hoc
Previa autorizzazione del Garante possono poi essere utilizzate delle clausole contrattuali ad hoc; essendo previamente sottoposte al vaglio del Garante, in caso di approvazione il titolare potrà essere certo che siano efficaci.
Le deroghe stabilite dall’articolo 49
Da ultimo, il GDPR prevede che in assenza di ogni altro presupposto (e quindi è un’ipotesi residuale) il trasferimento possa essere effettuato sulla base di alcune deroghe stabilite dall’articolo 49 tra cui, a determinate condizioni, il consenso dell’interessato, l’esecuzione di un contratto o il legittimo interesse del titolare del trattamento.
È evidente che quella principale e più facilmente utilizzabile sia la richiesta di consenso dell’interessato.
Ed infatti, se l’interessato che sia stato compiutamente ed adeguatamente informato circa i rischi del trasferimento vi presti il suo consenso libero ed esplicito, questo sarà sufficiente a consentire il trasferimento Extra Ue anche se il paese di destinazione non offre alcuna garanzia. Si badi bene, però, l’uso del consenso deve essere ben ponderato ed è una decisione da non prendere con leggerezza o superficialità. Lo stesso EDPB ha adottato delle linee guida specifiche proprio sulle deroghe ai sensi dell’articolo 49 (linee guida 2/18) che devono essere tenute in debita considerazione prima di lanciarsi in tale impresa.
Strumenti utili a livello tecnico
Anche a livello tecnico ci sono degli strumenti parimenti utilizzabili e sembra che Google, con il rilascio di GA4, si sia mosso esattamente in questa direzione, probabilmente anche tenuto conto delle indicazioni del Garante Francese che aveva offerto degli spunti.
Google Analytics 4, infatti, ha tutta una serie di parametri, spiega Matteo Zambon esperto di Google Analytics e autore anche del manuale “Google Analytics 4 per chi inizia”, che permettono di gestire i dati personali degli utenti, partendo dalla circostanza, tutt’altro che trascurabile che non viene gestito l’indirizzo IP. Inoltre, per la gestione dei dati degli utenti si è dotata di un proxy – quindi di server di Google situati in Europa – che non dovrebbero essere controllati o controllabili da Google LLC.
C’è quindi tutta una serie di configurazioni che è possibile gestire, attivare ed implementare per permettere di essere GDPR compliant in relazione all’anonimizzazione del dato.
Ulteriore strumento che può essere implementato, continua Zambon, è l’uso di un proprio sistema server-side in modo da passare, prima dei server Google che fanno da ponte tra Europa ed America, attraverso un filtro ulteriore. In sostanza, per i non addetti ai lavori, l’utente arriva nel sito, la richiesta e l’analisi dei dati passa attraverso un nostro server che è dislocato in Europa; il dato viene pulito e le informazioni passano successivamente ai server di Google Europa che, a loro volta fungono da ulteriore proxy. Questo permette di slegare qualsiasi indirizzo IP e qualsiasi altra informazione prima ancora che arrivi proprio sulla parte del proxy europeo di Google.
Come fare
In conclusione, a livello tecnico ci sono tutta una serie di implementazioni che dovrebbero consentire a GA4 di poter essere utilizzato con le opportune accortezze, a maggior ragione passando per l’uso di server-side.
In questi stessi termini sembra essersi espresso anche il Garante Francese che il 7 giugno u.s. ha pubblicato un articolo di sicuro interesse (reperibile qui) confermando che l’utilizzo di un proxy, se ben configurato secondo rigide impostazioni, renda compliant l’uso di GA4.
Il supporto di un legale e di un tecnico, in tutte queste ipotesi è fondamentale perché i dati personali sono quanto di più prezioso una persona abbia e un trattamento illecito, se frutto di superficialità, sarà sempre severamente sanzionato.
La sanzione, invece, manca nel caso specifico e proprio in ragione del fatto che il titolare del trattamento ha dimostrato e non solo dichiarato di aver ben presente il problema e di aver attuato tutto quanto fosse in suo potere per minimizzare il rischio e limitare le conseguenze; si è trattato di una condotta colposa frutto di incapacità e non di trascuratezza.
Tra geopolitica e complottismo
Resta tuttavia aperta un’altra questione, che trascende il caso concreto, e che ha portata generale. Oggi, sulla base delle informazioni tratte dal provvedimento, prima di trasferire dati in USA i titolari del trattamento non dovranno limitarsi alla formale verifica della presenza delle clausole contrattuali standard ma verificare, concretamente, quali sono le garanzie aggiuntive che le stesse forniscono in relazione alla tutela dei dati e, nel caso non fossero sufficienti, fare applicazione del principio di accountability e trovare strumenti ulteriori e idonei.
Alcune obiezioni sin qui avanzate – vedi nuovo report di MonitoraPA su GA e GA4, circa la collocazione dei data center e che tenderebbero a confermare che l’intero ecosistema Google venga gestito a livello centrale da Google negli USA, dipendono dalla circostanza che a seguito del blackout generale del 2020 la risoluzione sia stata simultanea in tutto il pianeta.
Un’informazione così generale non può essere sufficiente per stabilire con assoluta certezza che i dati personali dei cittadini europei non vengano elaborati in Europa. E inoltre, tale blackout avrebbe ben potuto riguardare un’altra parte del software ma la possibilità non è stata presa in considerazione.
Da tale non meglio argomentato controllo se ne fa poi discendere, in modo ovvio, la possibilità di accedere ai dati stessi. A chi scrive sembra che la circostanza non sia poi così ovvia e comunque è sempre possibile utilizzare degli strumenti ed implementare delle verifiche per vedere esattamente quali dati vengono “prelevati” e come.
Da ultimo sembra un po’ complottistico affermare che Google potrebbe essere costretta a inviare presso uno o più dei suoi data center europei aggiornamenti in grado di prelevare i dati di interesse di una agenzia governativa e rimuovere ogni evidenza di tale “data breach” prima del riavvio dei servizi. Con ciò non si intende dire che in astratto non sia possibile, ma che gli USA (come certamente anche altri paesi) non hanno bisogno di questo per arrivare a dati europei, qualora volessero.
