Alcuni giorni fa, il Garante per la protezione dei dati personali è intervenuto, come noto, sulla questione del legittimo utilizzo di Google Analytics come strumento di analisi dell’attività degli utenti all’interno di un sito web. In particolare, con provvedimento n. 224 del 9 giugno 2022, adottato all’esito di una complessa istruttoria avviata nei confronti del gestore del sito www.caffeinamagazine.it[1], il Garante ha dichiarato l’illegittimità dei trattamenti di dati personali effettuati per il tramite di Google Analytics, nella misura in cui implicano il trasferimento di dati personali verso gli Stati Uniti in assenza di garanzie adeguate, ai sensi dell’art. 46 del Regolamento (UE) 679/2016 (GDPR).
Il tema torna ad essere al centro del dibattito, essendo già stato oggetto di un’iniziativa lanciata nell’ambito del progetto MonitoraPA e volta a promuovere l’utilizzo dello strumento di analisi Web Analytics Italia[2]. Pertanto, il problema non è nuovo e non riguarda solo Google Analytics. Nel luglio 2020, con la nota sentenza “Schrems II”[3], la Corte di Giustizia dell’Unione Europea dichiarava l’inadeguatezza della protezione offerta dal cd. Privacy Shield, osservando che alcune disposizioni normative statunitensi (in particolare l’Executive Order 12333 e il Foreign Intelligence Surveillance Act) autorizzano le Autorità pubbliche, per finalità di sicurezza nazionale, ad accedere ai dati personali trasferiti negli USA in maniera sostanzialmente illimitata e senza riconoscere in favore degli interessati mezzi di tutela in sede giudiziaria.
I problemi legati all’utilizzo di Google Analytics
Nel caso esaminato dal Garante, l’utilizzo di Google Analytics comportava la raccolta di dati relativi alle modalità di interazione degli utenti con il sito web, nonché con le singole pagine e con i servizi offerti dalla società Titolare del trattamento. Gli stessi dati erano oggetto di trasferimento verso Google LLC, avente sede negli Stati Uniti[4]. Come ricordato dall’Autorità, occorre considerare che l’indirizzo IP costituisce un dato personale “nella misura in cui consenta di identificare un dispositivo di comunicazione elettronica, rendendo pertanto indirettamente identificabile l’interessato in qualità di utente”, specialmente nel caso in cui “l’IP sia associato ad altre informazioni relative al browser utilizzato, alla data e all’ora della navigazione”. La facilità di identificazione dell’interessato, oltretutto, diviene ancora più elevata qualora il visitatore del sito web acceda al proprio account Google – come nel caso oggetto di provvedimento – rendendo possibile l’associazione dei dati di navigazione con altre informazioni collegate allo stesso account, come l’indirizzo e-mail, il numero di telefono e altre informazioni sociodemografiche come l’età o il genere di appartenenza.
In mancanza di misure che garantiscano un livello di protezione adeguato alle persone fisiche, spetta, dunque, all’esportatore valutare la concreta possibilità di accesso da parte delle Autorità statunitensi ai dati oggetto di trasferimento e adottare misure supplementari che garantiscano un livello di protezione dei dati personali sostanzialmente equivalente a quello previsto dal Regolamento[5].
Argomentazioni non convincenti
Le argomentazioni addotte, a questo proposito, dalla società Titolare del trattamento non sono state ritenute sufficienti, tuttavia, a comprovare il rispetto delle garanzie di protezione richieste dal GDPR.
Da un lato, infatti, l’Autorità Garante ha ricordato che è compito del Titolare determinare autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali, in ossequio al principio di accountability, che si traduce, con riguardo ai trasferimenti transfrontalieri, nel dovere di verificare, caso per caso e in modo proattivo, se l’importatore sia in grado di assicurare il rispetto degli obblighi previsti dalla normativa. A nulla varrebbe, secondo il Garante, lo squilibrio di potere tra Google Ireland Limited e il gestore del sito, “che non ha né i mezzi né le possibilità operative o tecniche per imporre al fornitore modifiche delle misure di sicurezza”, non potendo esercitare “alcuna forza contrattuale per intrattenere dialoghi commerciali con la sua controparte [né] (..) per interagire con la stessa”[6].
Allo stesso modo, il Garante non ha giudicato pertinenti i rilievi del Titolare in merito alla sostanziale improbabilità che le Autorità statunitensi possano utilizzare gli indirizzi IP o i cookie raccolti tramite Google Analytics, che non sarebbero “di principale interesse per le attività di intelligence”, anche in considerazione del tenore degli articoli e delle tematiche trattate sul sito web, “di taglio leggero e concentrato su ambiti di spettacolo”. Sul punto, senza entrare nel merito degli argomenti del gestore, l’Autorità ha sostenuto laconicamente – e, sia consentito, con un certo bizantinismo – che tale valutazione verte sulla “probabilità che si verifichi il rischio di accesso ai dati da parte di terzi” e non sulla “gravità della possibile insorgenza del rischio”.
In ultimo, con riferimento all’adeguatezza delle misure supplementari implementate da Google alla luce della Raccomandazione n. 1/2020 del Board, l’Authority ha osservato che i meccanismi di cifratura dei dati, durante il trasferimento fra sistemi (in transit) e quando sono memorizzati nei sistemi (at rest), “non sono sufficienti ad evitare i rischi di un accesso, ai fini di sicurezza nazionale, ai dati trasferiti dall’Unione europea da parte delle Autorità pubbliche degli Stati Uniti”, in quanto la chiave di cifratura è nella disponibilità di Google LLC, che potrebbe essere obbligata a comunicarla alle stesse Autorità. Tale circostanza condiziona, di fatto, l’efficacia delle ulteriori garanzie contrattuali e organizzative adottate dall’importatore[7]: in sostanza, come anche osservato dall’EDPB, le misure di tipo contrattuale e organizzativo non sono idonee, di per sé, a limitare le possibilità di accesso ai dati oggetto di trasferimento, in mancanza di misure tecniche che rendano inintelligibili gli stessi dati.
In definitiva, il Garante ha ammonito il Titolare, ingiungendo di conformare il trattamento di dati personali degli utenti del sito web effettuato per il tramite di Google Analytics alle pertinenti disposizioni del GDPR, entro il termine di novanta giorni dalla notifica del provvedimento, adottando misure supplementari adeguate. In mancanza, i flussi di dati verso Google LLC dovranno essere sospesi.
Il che significa, in pratica, che per ottemperare all’ingiunzione dell’Autorità, il gestore del sito dovrebbe fare in modo che Google LCC rinunci alla disponibilità della chiave di cifratura dei dati – peraltro necessaria per effettuare elaborazioni sui dati in chiaro – o adotti, entro novanta giorni, misure tecniche ulteriori che impediscano materialmente alle Autorità statunitensi di accedere ai dati trasferiti verso gli USA.
Si tratta, come ognuno potrà comprendere, di uno scenario altamente inverosimile.[8]
Di fatto, il gestore del sito non potrà fare altro che dismettere Google Analytics, in favore di un altro strumento di web analysis che non comporti il trasferimento extra UE di dati personali.
E tutti “gli altri titolari” del trattamento?
La domanda, a questo punto, è: come dovrebbero comportarsi tutti gli altri Titolari del trattamento, pubblici e privati? È certamente vero, infatti, che si tratta di un provvedimento specifico, riferito a una singola società[9]. Ma il problema resta, e non è, ovviamente, limitato a Google Analytics, ma a tutto il web saldamente in mano oggi agli OTT (Over The Top), cioè a tutti i fornitori di servizi on line che si trovano in una situazione simile a quella di Google nel rapportarsi contrattualmente con i propri Committenti e nel gestire, in una situazione ormai di oligopolio, le dinamiche commerciali (e comportamentali) del mondo digitale.
Tanto è vero che, a distanza di pochi giorni dal provvedimento del Garante italiano, l’Autorità tedesca per la protezione dei dati ha pubblicato, sul proprio sito istituzionale, le domande frequenti sull’uso di Microsoft 365.
Non solo Google: la questione si allarga a Microsoft
Pur non trattandosi di un provvedimento cogente, l’intervento del Garante tedesco potrebbe avere effetti di portata estremamente ampia, in considerazione della maggiore diffusione della soluzione software di Microsoft Corporation, rispetto a Google Analytics, e della quantità di applicazioni comprese nella suite Microsoft 365. Così, all’allarmismo generalizzato scatenato dal provvedimento della nostra Authority nei gestori di siti che utilizzano Google Analytics, si è aggiunta l’apprensione degli utenti, pubblici e privati, che quotidianamente ricorrono a Microsoft 365. Dal canto suo, il Garante tedesco ha offerto più di un motivo per nutrire diffidenza verso Microsoft Corporation, evidenziando, ad esempio, che l’opzione di archiviazione dei dati su server europei si riferisce alle sole informazioni che, nei “Termini dei servizi online” di Microsoft, sono indicati come “dati del cliente”[10], ma non ai “dati diagnostici”, raccolti o ricevuti da Microsoft attraverso il software installato in locale dall’utente (anche definiti “dati di telemetria”) né ai “dati generati dal servizio”, generati o dedotti nell’ambito della gestione di qualsiasi servizio online fornito da Microsoft[11]. Tutti questi dati vengono archiviati su server allocati negli Stati Uniti. Non solo. Il Garante alemanno evidenzia che anche i cosiddetti “dati del cliente”, per i quali Microsoft garantisce l’archiviazione su server europei, potrebbero essere oggetto di accesso da parte delle Autorità statunitensi, dal momento che il cd. “CLOUD Act” impone ai provider USA di consentire l’accesso ai dati, anche se sono archiviati al di fuori degli Stati Uniti.
Circostanza, questa, tanto più preoccupante, se si considera che la mancanza di garanzie di protezione dei dati riguarda principalmente i prodotti basati su cloud. Le misure tecniche e organizzative per impedire l’invio di dati diagnostici a Microsoft o, comunque, ottenere un livello di protezione adeguato dei dati personali degli utenti di Microsoft 365, esistono e sono puntualmente indicate dal Garante tedesco. Si tratta, però, di soluzioni che, oltre a richiedere sforzi non indifferenti, in termini di tempo, costi e competenze tecnico-informatiche, potrebbero non essere sufficienti a fare da scudo di fronte alle ingerenze delle Autorità d’oltreoceano.
In fondo, però, le indicazioni dell’Authority tedesca, come già di quella italiana, rappresentano il naturale e prevedibile precipitato della sentenza Schrems II. Rilevare la sostanziale assenza di garanzie di trasferimento idonee dei dati personali verso gli Stati Uniti, dopo la pronuncia della Corte di Giustizia e le Raccomandazioni dell’EDPB è come far notare l’elefante seduto in salotto. In entrambi i casi, le Autorità Garanti si sono espresse esattamente nel modo in cui ci si sarebbe aspettati, sulla base di principi corretti e di argomenti formalmente ineccepibili.
La sudditanza europea ai “padroni” della Silicon Valley
È evidente, d’altra parte, che il monito dei Garanti non è rivolto solo ai Titolari del trattamento. Entrambi i provvedimenti si incardinano all’interno di ingranaggi politici, con l’intento di accelerare la conclusione di un nuovo accordo sul trasferimento di dati personali tra Unione Europea e Stati Uniti, sollecitando, al contempo, una più ampia riflessione sulla sudditanza europea rispetto ai padroni della Silicon Valley, che hanno accumulato un potere di mercato tale da portare intere economie nazionali ad orbitare attorno a un numero limitato di attori. I provvedimenti dei Garanti, in questo senso, sono un sasso in uno stagno, ma vanno comunque valutati positivamente, perché contribuiscono ad amplificare temi essenziali per i nostri diritti e libertà fondamentali
Ora, è il momento di capire dove vogliamo andare. Fino a quando durerà il braccio di ferro tra Unione Europea e Stati Uniti per la conclusione del Trans Atlantic Data Privacy Framework, le carte potranno cambiare ben poco sul tavolo dei Titolari e dei Responsabili del trattamento che esportano enormi moli di dati personali al di là dell’oceano.
Non è un mistero che la nostra economia digitale sia largamente fondata su infrastrutture extraeuropee. Per questo, se non vogliamo affiggere alla porta del web un avviso di allerta permanente, è necessaria la costruzione di una più solida Europa digitale. Dobbiamo renderci conto della necessità di investire sulla sovranità digitale europea, rafforzando le infrastrutture e promuovendo le competenze.
La scommessa è quella di definire una strategia comune per realizzare un’alternativa all’offerta tecnologica dominata dall’oligopolio degli OTT, che minacciano la sicurezza e l’integrità dei nostri dati personali, sottoponendoci a rischi continui di controllo e anche manipolazione. Spetta, adesso, all’Unione Europea farsi carico del proprio destino nell’era digitale, per difendere i nostri valori e dare impulso alla nostra autonomia, come singoli e come collettività.
[1] Oltre ai profili di illiceità derivanti dall’utilizzo di Google Analytics, oggetto di reclamo presentato all’Autorità Garante da un utente dello stesso sito web, l’istruttoria ha consentito di accertare la violazione dell’art.13, par. 1, lett. f) del Regolamento (UE) 679/2016, che impone al titolare del trattamento di rendere edotti gli interessati anche in ordine “all’intenzione di trasferire dati personali a un paese terzo” nonché “all’esistenza o l’assenza di una decisione di adeguatezza della Commissione o, nel caso dei trasferimenti di cui all’articolo 46 o 47, o all’articolo 49, paragrafo 1, secondo comma, il riferimento alle garanzie appropriate o opportune e i mezzi per ottenere una copia di tali garanzie o il luogo dove sono state rese disponibili”.
[2] Sul punto, ci sia consentito ricordare il vivace Talk presente su DIGEAT +
[3] Per approfondire la questione legata al trasferimento transfrontaliero dei dati personali, si invita a rivedere il webinar tenuto dall’autrice, Avv. Carola Caputo: “America oggi. Il trasferimento dei dati personali verso gli Stati Uniti dopo la sentenza “Schrems II” disponibile gratuitamente su piattaforma DIGEAT + https://www.digeat.it/webinar-cpt/america-oggi-il-trasferimento-dei-dati-personali-verso-gli-stati-uniti-dopo-la-sentenza-schrems-ii/
[4] Più precisamente, in base ai “Google Analytics Terms of Service” e dei “Google Ads Data Processing Terms”, Google Ireland limited riveste il ruolo di Responsabile del trattamento dei dati raccolti tramite Google Analytics e può avvalersi di altri soggetti, in qualità di sub-responsabili del trattamento, fra cui Google LLC.
[5] In tal senso, come pure ricordato dal Garante, si è espresso l’EDPB con la Raccomandazione n. 1/2020 relativa alle misure che integrano gli strumenti di trasferimento al fine di garantire il rispetto del livello di protezione dei dati personali dell’UE.
[6] L’asimmetria di potere contrattuale derivante dalla primaria posizione di mercato assunta da Google nel settore dei servizi di web analytics, tuttavia, è stata valutata dal Garante ai fini della graduazione della sanzione, considerando che il Titolare del trattamento “ha erroneamente assunto come idonee, sulla base delle informazioni rese da Google, le misure supplementari adottate da quest’ultima senza esercitare alcun potere decisionale in merito alle stesse”.
[7] Tali misure consistono, in particolare, nello specifico nell’impegno a:
- verificare, ai sensi della normativa statunitense, la legittimità di ogni singola richiesta di accesso ai dati degli utenti oggetto di trasferimento da parte delle Autorità pubbliche, valutandone la proporzionalità;
- non accogliere la stessa ove, a seguito di un’attenta valutazione, si concluda che non sussistano i presupposti in base alla normativa di riferimento;
- comunicare tempestivamente all’interessato le richieste di accesso provenienti dalle Autorità pubbliche statunitensi, salvo che tale comunicazione sia vietata dalla relativa normativa, informando ad ogni modo l’interessato qualora il divieto di cui sopra venga revocato;
- pubblicare un “Transparency Report” recante una sintesi delle richieste di accesso ai dati ricevute da parte delle Autorità pubbliche statunitensi, nella misura in cui tale pubblicazione sia consentita dalla relativa normativa;
- pubblicare la policy di gestione delle richieste di accesso ai dati degli utenti oggetto di trasferimento da parte delle Autorità pubbliche statunitensi.
[8] Potrebbe, forse, risultare adeguata agli standard di protezione richiesti dal GDPR l’ultima versione di Google Analytics, GA4, in quanto basata sull’assenza di tracciamento dell’indirizzo IP associato al dispositivo dell’utente. Anche in questo caso, tuttavia, sarebbe necessario analizzare la configurazione di GA4 (del quale il Garante per la protezione dei dati personali non ha potuto tenere conto nel provvedimento in esame e sul quale, peraltro, non ancora fornito indicazioni ufficiali) per comprendere se sia effettivamente esclusa la raccolta dell’IP, o se lo stesso venga cancellato dopo essere stato inviato sui server di Google.
[9] Particolare, questo, apparentemente trascurato all’Ufficio stampa del Garante, che ha veicolato, sul sito istituzionale e sui profili social dell’Autorità, il messaggio per cui il trasferimento di dati personali verso gli Stati Uniti realizzato attraverso Google Analytics sarebbe stato giudicato illecito tout court e in via generale, probabilmente per favorire un meccanismo di “moral suasion” nei confronti di tutti i Titolari.
[10] Ossia, come precisato dal Garante tedesco, “qualsiasi dato, inclusi qualsiasi file di testo, audio, video o immagine e software, fornito a Microsoft da o per conto della Società”.
