NOTIZIE

90 giorni per Google Analytics e GA4... le solite conclusioni.

Il provvedimento del Garante Privacy del 22.06.2022 (Doc-Web 9782890) ha disposto l’inutilizzabilità del servizio fornito da Google Analytics senza le garanzie previste dal Regolamento UE: il Garante ha evidenziato che l’utilizzo del servizio Google Analytics viola la normativa in tema di protezione dei dati in quanto trasferisce negli stati Uniti i dati degli utenti dei siti.

Il nuovo Google Analitics 4 non è stato ancora esaminato, probabilmente lo sarà all’esito dei termini concessi alla Società interessata dal provvedimento, per l’intanto cercherò di riassumere gli aspetti es-senziali della decisione del Garante il cui testo lo potete trovare utilizzando il riferimento doc-web sopra indicato.

Preliminarmente mi pare importante evidenziare che il Garante nella predetta decisione (in corsivo la citazione della stessa) ricorda che “la Corte di Giustizia dell’Unione Europea con la pronuncia C-311/18 del 16.07.2020... ha constatato che il diritto interno degli Stati Uniti comporti deroghe alla normativa in tema di protezione di dati che eccedono le restrizioni ritenute necessarie in una società democratica.”

In sostanza, le Autorità governative e le agenzie di intelligence statunitensi possono accedere ai dati senza che agli utenti possa essere garantita una adeguata tutela conforme al Regolamento Privacy, nemmeno con le misure ulteriori che integrano gli strumenti di trasferimento e che nella fattispecie era-no state adottate da Google e dalla Società interessata (peraltro per quest’ultima dopo l’apertura dell’istruttoria).

Il Garante ha evidenziato che la Società il cui operato è stato sottoposto ad esame, mediante cookie, ha raccolti molteplici dati personali. Nella fattispecie sono stati identificati “identificatori online unici che consentono sia l'identificazione del browser e/o del dispositivo dell'utente che visita il sito web, sia del gestore stesso del sito attraverso l'id account Google; l’indirizzo, il nome del sito web e i dati di na-vigazione; l’indirizzo IP del dispositivo utilizzato dall'utente; informazioni relative al browser, al si-stema operativo, alla risoluzione dello schermo, alla lingua selezionata, nonché data e ora della visi-ta al sito web”.

Fermo restando che l’indirizzo IP è un dato personale, il Garante ha osservato che “qualora il visitato-re del sito web faccia accesso al proprio account Google i dati sopra indicati possono essere asso-ciati ad altre informazioni presenti nel relativo account, quali l'indirizzo email che costituisce gli user ID dell'account, il numero di telefono ed eventuali ulteriori dati personali, tra cui il genere, la data di nascita o l'immagine del profilo.”

Tutti questi dati attraverso Google Analytics vengono trasferiti negli Stati Uniti, tali trasferimenti quindi devono essere posti in essere in conformità al capo quinto del regolamento UE 679/2016, ma la tecnica e la legislazione degli Stati Uniti rendono inefficaci:

l'opzione denominata IP anonymization messa a disposizione da Google che di per sé “... non impe-disce a Google LLC di identificare l'utente medesimo tenuto conto delle informazioni complessiva-mente detenute dalla stessa relativa agli utenti del web. Sussiste inoltre in capo alla medesima Goo-gle LLC la possibilità qualora l'interessato abbia effettuato l'accesso al proprio profilo Google, di associare l'indirizzo di IP ad altre informazioni aggiuntive già in suo possesso quali le informazioni contenute nell'account utente. Tale operazione, pertanto nonostante l'attivazione del IP anonymization consente comunque la possibile re-identificazione dell'utente”.

le clausole standard –

la cifratura - in quanto le tecniche di cifratura adottate prevedono che la disponibilità della chiave di legislatura sia in capo a Google LLC che la detiene in qualità di importatore, in virtù del fatto che ricade su Google LLC l'obbligo di consentire l'accesso alle autorità statunitensi non solo ai dati, ma anche le chiavi crittografate necessarie per rendere intellegibili.

Il Garante ha quindi evidenziato che spetta al Titolare, ergo alla Società interessata dalla procedura e dalla decisione, la responsabilità di decidere le modalità le garanzie e i limiti del trattamento in quanto il regolamento pone l'accento con forza sulla responsabilità del Titolare.

Questi non può:

• • lamentarsi di non poter incidere sul Responsabile del Trattamento (nella fattispecie il Signor Google) come invece ha fatto la società interessata dall’esame che ha evidenziato, di non possedere “alcun livello di autonomia in merito alle scelte relative ai trasferimenti dei dati verso Paesi terzi (fuori del territorio SEE)” o ancora di non avere “né i mezzi né le possibilità operative o tecniche per imporre al fornitore Google Analytics modifiche delle predette misure di sicurezza”, di non disporre “di alcuna forza contrattuale per intrattenere dialoghi commerciali con la sua controparte né per interagire con la stessa”!
• • effettuare una valutazione circa la probabilità di accesso ai dati personali trasferiti
• • rispondere ‘non so’ alla domanda inerente un possibile trasferimento dati negli Stati Uniti o di un accesso agli stessi dati da parte delle Agenzia di quello Stato.

Una nota sulle Informative ex articolo 13 fornite dal titolare che, nella fattispecie il Garante ha dichia-rato, in sostanza, essere erronee: sul punto si osserva che la società sottoposta ad esame in una nota difensiva aveva evidenziato di avvalersi del servizio automatico della società Iubenda s.r.l. che fornisce un servizio eccellente, ma che nella fattispecie è stato utilizzato da non tecnici.

Con il predetto provvedimento il Garante in considerazione della collaborazione prestata e delle inizia-tive promosse dal Società sotto esame - non ha voluto appesantire la posizione della stessa, dandole la possibilità di risolvere il problema e quindi ingiungendole di conformarsi al Regolamento UE 679/2016 entro novanta giorni, ha richiamato l’attenzione di tutti i gestori italiani di siti web, pubblici e privati, sull’illiceità dei trasferimenti effettuati verso gli Stati Uniti attraverso Google Analytics e ha invitato tutti i titolari del trattamento a verificare la conformità delle modalità di utilizzo di cookie e altri strumenti di tracciamento utilizzati sui propri siti web, con particolare attenzione a Google Analytics e ad altri servizi analoghi, con la normativa in materia di protezione dei dati personali.

Allo scadere del termine di 90 giorni assegnato alla società destinataria del provvedimento, il Garante procederà, anche sulla base di specifiche attività ispettive, a verificare la conformità al Regolamento Ue dei trasferimenti di dati effettuati dai titolari.

Ovviamente tutto si potrebbe risolvere con un accordo giuridicamente vincolante susseguente all’accordo politico del marzo 2022, ma su che basi verterà questo accordo e sarà tale da spuntare le unghie alle Agenzie di sicurezza degli Stati Uniti, personalmente lo dubito.

Conclusioni… tristi:

Che cosa ho desunto da quanto sopra, al di là del singolo caso Google Analytics, ancora una volta:

• che il Titolare non ha scusanti quando tratta dati personali, è responsabile in tutto e per tutto della tutela dello stesso dato e non può giustificarsi in alcun modo riferendo una propria impotenza o incapacità anche quando per il trattamento dello stesso dato si deve rivolgere a terzi responsabili,
• • che i documenti è bene che li predisponga un tecnico,
• • ma soprattutto che l’approccio alla privacy deve essere concreto e non è solo un problema di... mettere a posto le carte.

• I 90 giorni non sono passati, aspettiamo e vediamo che accadrà...

Alla prossima.
Mauro