Lo scorso 9 giugno il Garante privacy ha ammonito una società italiana per aver illegittimamente trasferito dati personali verso gli Stati Uniti in violazione delle disposizioni di cui al capo V del Regolamento Generale europeo in materia di protezione dei dati personali (“GDPR”) sul proprio sito www.caffeinamagazine.it.
Se c’è chi ritiene che la pronuncia rischi di rimanere una mera petizione di diritto, inidonea ad invertire la prassi delle centinaia di migliaia di enti ed organizzazioni che ogni giorno raccolgono ed elaborano dati statistici utilizzando il servizio offerto da Google Analytics, le aziende sono comunque chiamate a trovare soluzioni alternative conformi al Gdpr.
Google Analytics, Scorza: “Ecco cosa devono sapere le aziende”
Le conseguenze del provvedimento
Dal polverone sollevato dal provvedimento in esame, emerge una certezza: trattare dati personali con Google Analytics per fini statistici è illegittimo e il suo utilizzo in Europa (in base a quanto già sancito dall’autorità francese ed austriaca) potrebbe comportare l’applicazione di una sanzione amministrativa (che va fino a 20 milioni di euro o al 4% del fatturato annuo).
Sotto questo profilo, la società italiana colpita dalla pronuncia del Garante privacy può ragionevolmente ritenersi “fortunata”, dal momento che ha ricevuto “solo” un’ammonizione da parte dell’autorità. Quale l’obbligo stabilito? Conformarsi entro il termine di 90 giorni alla predisposizione di misure di sicurezza adeguate a garantire un uso legittimo dei cookie di Google Analytics (allo scadere dei quali, il Garante Privacy procederà, anche sulla base di specifiche attività ispettive, a verificare la conformità al GDPR dei trasferimenti di dati effettuati dai titolari); è pertanto pronosticabile che, nell’ipotesi di un futuro intervento sanzionatorio, il polso del Garante Privacy possa essere più duro e portare all’applicazione tout court di una sanzione pecuniaria.
Appaiono, dunque, chiari i motivi della dilagante preoccupazione delle aziende italiane che fondano il proprio business nel mondo digitale e che si trovano oggi costrette a correre al riparo dallo scenario di possibili e futuribili sanzioni da parte del Garante Privacy.
Più sfumati, invece, sono i confini entro cui si muove il provvedimento del Garante Privacy; in altre parole: è solo Google Analytics ad essere illegale? O il provvedimento si estende ad ogni servizio digitale che comporta il trasferimento di dati verso gli Stati Uniti? E in caso di risposta affermativa a quest’ultima domanda, quali soluzioni GDPR compliant possono essere adottate?
Il provvedimento del Garante privacy aggiunge nuovi elementi al quadro già noto?
L’autorità è stata chiamata ad analizzare la conformità del trattamento relativa all’uso di Google Analytics e solo di questo servizio; pertanto, i principi emanati dal provvedimento in esame potranno, in via unicamente astratta, estendersi ad altri servizi offerti da società statunitensi che comportano il trasferimento di dati personali verso tali territori.
Ad ogni modo, il Garante Privacy (sulla scia di quanto ravvisato dalle sopra citate autorità garanti europee) ha rilevato un duplice piano di criticità:
- da un lato, infatti, alla luce delle indicazioni fornite dall’EDPB (con la Raccomandazione n. 1/2020 del 18 giugno 2021), l’insieme delle misure di sicurezza adottate da Google per consentire il trasferimento dei dati non garantiscono, allo stato attuale, un livello adeguato di protezione dei dati personali degli utenti. Perché? Le informazioni relative all’indirizzo IP del dispositivo dell’utente (nonché quelle relative a: browser utilizzato, sistema operativo, risoluzione dello schermo, lingua selezionata, la data e l’ora della visita al sito web) sarebbero a tutti gli effetti informazioni pseudonimizzate, quindi facilmente riconducibili agli interessati attraverso la combinazione di queste con altri dati a disposizione di Google;
- dall’altro, il colosso americano, in qualità di “fornitore di servizi di comunicazione elettronica”, ai sensi dell’art. 1881, par. 4, lett. b), Titolo 50 del U.S. Code (cd. “Foreign Intelligence Surveillance Ac” – FISA 702) è soggetto alla sorveglianza da parte delle agenzie di intelligence statunitensi, che possono, pertanto, raccogliere gli identificativi online, come gli indirizzi IP e gli “Unique Identification Number” per la raccolta delle informazioni e la sorveglianza degli individui; controllo che è ulteriormente rafforzato dal provvedimento federale cd. “Cloud Act” (“Clarifying Lawful Overseas Use of Data Act”), introdotto nel marzo del 2018, che permette a quest’ultime di acquisire dati informatici dagli operatori di servizi di cloud computing “regardless of whether such communications, records or other informations are located within or outside of USA”; dunque anche ove i server siano collocati in Europa.
Alla luce di tali rilievi, si può osservare come la prima delle criticità parrebbe correlata in via specifica al livello di protezione dei dati fornito da Google, mentre la seconda potrebbe ben estendersi a qualsiasi servizio offerto da una società avente sede negli Stati Uniti che è obbligata a fornire i propri dati all’autorità statunitense in virtù della sopra richiamata normativa federale sulla sicurezza.
Privacy, Google Analytics 4 è fumo negli occhi: ecco perché non risolve il problema
Quali passi seguire per rendere il trattamento GDPR compliant?
Le criticità appena rilevate parrebbero, a prima vista, insormontabili.
Lo stesso Garante Privacy ha suggerito ai titolari del trattamento di verificare attentamente la conformità delle modalità di utilizzo di cookie e altri strumenti di tracciamento utilizzati sui propri siti web, con particolare attenzione a Google Analytics e ad altri servizi analoghi, con la normativa in materia di protezione dei dati personali.
Tuttavia, in attuazione del principio di accountability, l’autorità ha rimesso tali valutazioni in capo al titolare del trattamento, il quale assume l’obbligo di analizzare il processo di trattamento dei dati per valutare il rischio sotteso allo stesso, aggiornando periodicamente il registro dei trattamenti e l’informativa resa agli interessati sul punto. Come prescritto dalla normativa privacy vigente, spetta proprio al titolare determinare autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali, in ossequio al predetto principio che comporta il dovere di verificare, caso per caso e in modo proattivo, se l’importatore sia in grado di assicurare il rispetto degli obblighi previsti dalla normativa.
I rimedi tecnici adottabili
Dal punto di vista dei rimedi tecnici adottabili, la prima delle soluzioni potrebbe risiedere nell’utilizzo da parte del titolare del trattamento di una crittografia con chiave privata, cioè non più detenuta da Google, ma dal titolare stesso: in questo modo il problema sarebbe risolto in principio, essendo i dati trasferiti già in forma anonima.
Avrebbe, pertanto, efficacia determinante il principio discendente dal Considerando 26 del GDPR, a mente del quale “ (…) I principi di protezione dei dati non dovrebbero pertanto applicarsi a informazioni anonime, vale a dire informazioni che non si riferiscono a una persona fisica identificata o identificabile o a dati personali resi sufficientemente anonimi da impedire o da non consentire più l’identificazione dell’interessato. Il presente regolamento non si applica pertanto al trattamento di tali informazioni anonime, anche per finalità statistiche o di ricerca”.
Una soluzione che parrebbe semplice, ma che in relazione ad alcune tipologie di servizi offerti (come nel caso dei trattamenti a fini statistici di Google Analytics) potrebbe risultare incompatibile con le finalità perseguite.
Soluzioni “cookieless”
Ancora, il titolare del trattamento potrebbe preferire soluzioni “cookieless” (ossia evitare l’utilizzo di cookie di terze parti): rimedi ai quali diverse aziende stanno volgendo con interesse lo sguardo, complice anche la dichiarazione della stessa Google di voler eliminare gradualmente i cookie di terze parti all’interno di “Chrome” entro il 2023, ma che parrebbe risolutivo solo in relazione al piazzamento dei cookie e non per altri trattamenti di dati che comportano il trasferimento verso gli Stati Uniti.
Un server “in house” per l’analisi dei dati
Una soluzione altrettanto drastica potrebbe essere quella, percorribile dalle società più strutturate, di costruire un proprio server per l’analisi dei dati “in house” tramite l’acquisto di licenze più o meno performanti.
È evidente, peraltro, che i moniti dei singoli garanti europei non sono rivolti esclusivamente ai titolari del trattamento. Una lettura critica dei provvedimenti emessi già a partire dalla fine dello scorso anno mal celano l’intenzione di premere l’acceleratore sulla conclusione del nuovo accordo tra Unione Europea e Stati Uniti, stimolando, altresì, la riflessione critica sull’assoluta “dipendenza” del mercato digitale europeo dai fornitori americani. Quindi, seppure volti a lanciare un campanello d’allarme, tali provvedimenti possono contribuire a focalizzare l’attenzione sul tema sempre “caldo” della tutela dei dati personali e dei diritti fondamentali degli individui.
Conclusioni
Il provvedimento del Garante Privacy non deve essere letto, quindi, come un divieto categorico al trasferimento dei dati personali verso gli Stati Uniti. La lettura della recente pronuncia sul caso di Google Analytics deve necessariamente muovere su un doppio piano: l’uno politico, relativo alla declaratoria di incompatibilità dell’ordinamento statunitense con i principi del GDPR; l’altro prettamente giuridico, concernente l’insufficienza delle misure di protezione dei dati predisposte da Google nel trasferimento degli stessi negli USA.
Trasferimento dati su cloud Usa: quali soluzioni per le aziende italiane
I rimedi fin qui prospettati prendono attentamente in considerazione questa differenza sostanziale e dovranno ovviamente essere ponderati, caso per caso, dal titolare del trattamento in relazione alle circostanze specifiche del trasferimento di dati, con la consapevolezza che, in ottica di accountability, l’esportatore che intende trasferire i dati personali verso gli Stati Uniti (o in un altro Paese sprovvisto di decisione di adeguatezza da parte della Commissione UE) non potrà esimersi dal procedere ad una valutazione documentata dei rischi per la protezione delle libertà e dei diritti fondamentali degli individui e dall’adozione di misure tecniche supplementari che garantiscano un livello di protezione dei dati personali sostanzialmente equivalente a quello previsto dal GDPR.