Google Analitycs e trasferimenti Extra Ue: quali sono le prospettive per il futuro? Tutto quello che è accaduto a partire da giugno era già abbastanza chiaro come anche l’iter che ha portato all’emanazione del provvedimento di stop da parte del Garante privacy, che ha radici molto profonde e risale al 2020 quando è stata invalidata la decisione di adeguatezza (Privacy Shield) che regolava i rapporti tra i due Stati.
L’esigenza, quindi, è stata quella di fare chiarezza su cosa aspettarci dal futuro e quali strumenti mettere in atto in questo momento tenendo presente che il recente clamore è in parte ingiustificato; i titolari del trattamento hanno avuto ben due anni per pensare ed attuare un “piano B” che potrebbe essere l’utilizzo di altri strumenti che consentano il trasferimento dei dati o, perché no, utilizzare strumenti europei.
Questa situazione ha spinto gli associati del 4Ecom a unire le forze, dividendosi in team legal e team tecnico, e a chiedere un incontro a Guido Scorza, componente del collegio del Garante per la protezione dei dati personali.
Google Analytics, che devono fare le aziende? Qualche risposta possibile
Trasferimento dati extra UE, il contesto
Il problema, oltretutto, non è esclusivamente degli analitici di Google ma, ragionando per astrazione, di tutti i trasferimenti di dati extra UE non coperti da una decisione di adeguatezza e, in particolare (ma soltanto perché era questo nello specifico l’argomento di discussione) dei trasferimenti negli Stati Uniti. E infatti, durante il confronto Guido Scorza ha ricordato che non è vietato in astratto il trasferimento dei dati in USA ma è stato vietato quel trasferimento di dati che non possa essere legittimato attraverso base diversa dalla decisione di adeguatezza.
Parlare di trasferimento di dati, inoltre, non è sempre esatto poiché il potere di intervento delle intelligence americane sui dati personali europei trascende i confini dello stato estendendosi anche alle società formalmente europee e con server in Europa che tuttavia sono controllate da società USA.
I fronti critici per titolari e responsabili del trattamento
Il limite del piano B è tuttavia evidente. Da un lato i titolari del trattamento, anche facendo applicazione del maggior grado possibile di accountability, non sono oggettivamente nella condizione di poter negoziare degli accordi di nomina a responsabili del trattamento con le “big” americane e, dall’altro, il mercato europeo non sembrerebbe ancora una valida alternativa.
La situazione prospettata non è delle più rosee ma resta forte il convincimento (ed anche un po’ la speranza), che si raggiunga questo tanto auspicato accordo tra Italia ed USA. Questo nuovo accordo, però, ha detto l’Avv. Scorza, dovrà essere ben studiato e progettato perché sia veramente valido ed efficace e non si vada incontro ad una successiva invalidazione così come è avvenuto per il Privacy Shield. Il problema è serio.
Ma cosa accade nel caso in caso in cui un responsabile del trattamento si dichiari compliant ma poi non lo sia? Come detto, infatti, le “big” si dichiarano GDPR Compliant ed offrono i propri atti di nomina. Google stessa utilizza le clausole contrattuali standard come meccanismo di trasferimento e ha creato una sede europea.
Queste precauzioni, agli occhi di un titolare inesperto potrebbero sembrare sufficienti a tutelare i dati degli interessati. E’ possibile quindi, sulla base di queste premesse, sanzionare i responsabili del trattamento? In astratto è ipotizzabile che il titolare del trattamento sanzionato possa rivalersi sul responsabile ma solo nel caso in cui non ottemperi alle istruzioni impartite. Infatti, la responsabilità di accertarsi caso per caso che il trasferimento dei dati sia lecito, in prima battuta ricade sempre e comunque sui titolari del trattamento, i quali devono accertarsi (ai sensi dell’articolo 28 GDPR) che i responsabili offrano garanzie sufficienti.
Trasferimento dati extra UE, quattro possibilità
A valle del confronto, cosa possiamo dunque aspettarci e cosa possiamo fare. La prima cosa da tenere presente è che le decisioni di adeguatezza non sono gli unici strumenti messi a disposizione del titolare del trattamento per consentire un valido ed efficace trasferimento dei dati extra UE e dunque i titolari del trattamento che decidessero di continuare ad utilizzare strumenti USA dovrebbero mettere in atto ulteriori misure di sicurezza ed affidarsi ad idonei meccanismi di protezione.
La seconda è che non esiste un’equazione perfetta che ci consenta di dire che se è illecito Google Analytics, allora è illecito Zoom o Teams, perché alcuni servizi americani potrebbero contemplare un trasferimento di dati legittimo sulla base di standard contractual clause, di misure organizzative o tecnologiche diverse che consentono di realizzare quel trasferimento nel rispetto delle regole. Sbaglieremmo pertanto, a dire non si possono più usare i servizi forniti da soggetti americani perché quei servizi implicano un trasferimento di dati all’estero. Ci sono trasferimenti di dati all’estero che possono essere legittimi e quindi non c’è un modo diverso da procedere rispetto ad un’analisi caso per caso.
La terza, tornando ad Analytics 4, è che l’indirizzo IP non è tutto poiché un utente può essere identificato attraverso numerose altre informazioni. Guido Scorza ha specificato che l’indirizzo IP è solo uno tra i vari dati personali utilizzati dai fornitori di servizi per l’identificazione degli utenti che navigano in rete e, inoltre, la stessa Google sul proprio blog istituzionale afferma di non conservare l’indirizzo IP, ma non dice di non acquisirlo. Questo naturalmente è un tema centrale in termini di protezione dei dati, perché la raccolta di quell’indirizzo è di per sé un trattamento che presuppone, considerata la nazionalità del fornitore di servizio, il trasferimento dei dati negli Stati Uniti d’America. Probabilmente esiste una soluzione, quella proposta dalla CNIL, ma da implementare poi nell’ecosistema di Google Analytics c’è quello del proxy tutto quanto europeo, ma tutto quanto è europeo non significa soltanto fisicamente ma anche giuridicamente e validamente geolocalizzato in Europa.
La quarta è di non far passare i prossimi giorni come si sono fatti passare gli ultimi due anni, cioè senza neppure pensare ad una soluzione B. Questo perché nessuno di noi, ottimisti o pessimisti, ha certezza sulle tempistiche in cui avverrà tale decisione.
Conclusione
Da ultimo, ma non è una questione inerente il trattamento dei dati personali in senso stretto, se in maniera compatta si cominciasse ad esigere il rispetto delle regole dalle Big USA avremmo presto una soluzione effettivamente conforme alle nuove regole che non comporti l’esigenza di una migrazione. Proprio per questo, l’associazione 4Ecom sta pensando di rivolgersi all’AGCOM.
