Era solo questione di tempo, e lo sapevamo: dopo la sentenza Schrems II (C-311/18 del 16 luglio 2020), la nota pronuncia con la quale la Corte di Giustizia Europea invalidava il privacy shield, evidenziando come la normativa sulla protezione di dati in USA sia del tutto piena di falle, permettendo alle Autorità Pubbliche, in nome della sovraordinata sicurezza nazionale, di accedere senza limitazione ai dati personali di chiunque, ivi compresi quelli che vengono trasferiti dall’Europa; dopo la decisione dell’Autorità per la Protezione dei Dati Personali austriaca, che nel dicembre scorso affermava che l’utilizzo del servizio Google Analytics fornito da Google LLC non risulta conforme al GDPR; dopo che negli ultimi sei mesi, presso gli uffici di piazza Venezia, si è letteralmente riversata una pioggia di segnalazioni e ricorsi, principalmente ad opera di una nota associazione di attivisti, NOYB (None of your business, letteralmente “non sono affari tuoi”), che fa capo ad un “certo” Maximilien Schrems (l’omonimia non è un caso) che denunciavano l’illecito utilizzo di Analytics sui siti di oltre 7.000 pubbliche amministrazioni; dopo tutto questo, anche la nostra Authority non poteva tacere e non lo ha fatto.
Il provvedimento, ampiamente motivato, non si è concluso con una sanzione per la società che ne è stata oggetto, ma soltanto con un ammonimento a conformarsi al Reg. UE 679/2016 (il GDPR) entro 90 giorni.
Ma le conseguenze non solo per la società ammonita, ma per tutti i Titolari, pubblici o privati, potrebbero essere potenzialmente dirompenti.
Indice
>>>Leggi il comunicato del Garante<<<
1. I fatti ed i problemi sollevati
Nel suo comunicato, il Garante ha richiamato l’attenzione di tutti i gestori italiani di siti web, pubblici e privati, sull’illiceità dei trasferimenti effettuati verso gli Stati Uniti attraverso Google Analytics.
I fatti traggono origine da un reclamo presentato da un interessato (una persona fisica) nei confronti della società Caffeina Media s.r.l., che appunto utilizzava Analytics sul proprio sito.
La società “accusata” ha affermato di aver continuato ad utilizzare lo strumento di Google anche dopo il dicembre 2021, in quanto Google stessa dichiarava di trattare soltanto cookie, dati relativi al dispositivo/browser, indirizzo IP e attività sul sito, di utilizzare Analytics solo in forma aggregata e statistica e di limitarsi a trattare solo dati anonimizzati.
Inoltre, il Titolare ha affermato di trasferire i dati verso Google LLC nel rispetto di Clausole Contrattuali Standard, che corrispondono allo schema adottato il 5 febbraio 2010 dalla Commissione Europea: in sostanza, la società si è difesa nel modo in cui chiunque di noi si sarebbe difeso nella stessa situazione, perché chi è senza peccato, scagli la prima pietra, o meglio, chi non utilizza Analytics sulla base delle stesse considerazioni (peraltro anche svolte in buona fede) alzi la mano.
La società ha poi sottolineato un problema non solo suo, ma di chiunque abbia a che fare con i Big Tech sul web: l’impossibilità di stipulare reali accordi sul trattamento dei dati, di nominare Google o qualsiasi altro dei Big Player responsabili esterni secondo il disposto dell’art. 28 del GDPR e la necessità, in altre parole, di accettare, in quanto parte contrattuale non solo debole, ma debolissima, le auto nomine e gli accordi pre confezionati redatti da Google stessa: una “falla nel piano”, cioè nel GDPR, che molti non hanno mancato di sottolineare, anche in passato.
2. Le osservazioni del Garante
L’Autorità ha respinto le motivazioni del Titolare con una serie di osservazioni:
- Google raccoglie, mediante cookies trasmessi al browser degli utenti, informazioni relative alle modalità di interazione di questi ultimi con il sito web, con le singole pagine e con i servizi proposti;
- I dati raccolti consistono in: identificatori online unici che consentono sia l’identificazione del browser o del dispositivo, sia del gestore stesso del sito (attraverso l’ID account Google); indirizzo, nome del sito web e dati di navigazione; indirizzo IP del dispositivo utilizzato dall’utente; informazioni relative al browser, al sistema operativo, alla risoluzione dello schermo, alla lingua selezionata, a data e ora della visita al sito
- La cosiddetta anonimizzazione dell’IP costituisce, di fatto, solo una pseudonimizzazione, in quanto non impedisce a Google di re-identificare l’utente, tenuto conto delle informazioni complessivamente dalla stessa detenute su chiunque interagisca nel web.
- Sussiste, inoltre, in capo a Google, la possibilità, qualora l’interessato abbia effettuato l’accesso al proprio profilo Google, di associare l’indirizzo IP ad altre informazioni aggiuntive già in suo possesso, in modo da ricreare un profilo completo dell’utente.
- Sussiste, dunque, una violazione, da parte del sito che utilizza Analytics, del principio di accountability, dal momento che il Titolare non ha adottato le misure tecniche ed organizzative necessarie per assicurare il corretto trattamento dei dati personali.
- Infine, il Garante ha riscontrato una violazione dell’art. 13 del GDPR, l’informativa, in quanto il Titolare non ha provveduto a rendere edotti gli interessati in ordine all’intenzione di trasferire dati personali a un paese terzo (e per di più un Paese pericoloso).
Potrebbero interessarti anche:
- Nella giornata europea per la protezione dei dati, mini guida per creare una app compliant al GDPR
- Come avere un sito web a prova di GDPR: 5 regole d’oro
- Responsabilità privacy: quando il dipendente risponde personalmente delle violazioni al GDPR
3. La fine di un’epoca?
Come già detto, nonostante la rilevazione della violazione degli artt. 5, par. 2, 13, par. 1, lett. f), 24, 44 e 46 del GDPR, la società non è stata sanzionata, ma solo ammonita.
Ma l’ammonimento rivolto a Caffeina Media riguarda tutti noi, poiché tutti i siti, di Titolari pubblici e privati, che utilizzano Analytics si trovano adesso a dover fare i conti con questo provvedimento, che è il primo, ma che, possiamo stare certi, non sarà l’ultimo.
Per quanto riguarda le Pubbliche Amministrazioni, AgID nelle proprie “Linee guida di design per i siti internet e i servizi digitali della PA” da tempo suggerisce di sostituire Google Analytics con Web Analytics Italia, una versione open source italiana, su cui tuttavia il Garante non si è ancora pronunciato.
E per tutti gli altri?
I Titolari potrebbero decidere di smettere di usare Google Analytics e non sostituirlo in alcun modo: c’è da dire, in effetti, che moltissimi siti raccolgono dati che non usano, magari anche senza saperlo, e che siccome da grandi data base derivano grandi responsabilità, potrebbe questa essere una buona occasione per fare un po’ di piazza pulita e smettere di incamerare dati a casaccio perché chissà prima o poi potrebbero servire.
D’altro canto, Google, che di certo non può stare con le mani in mano a guardare che mezza Europa smette di usare i suoi servizi, è già corsa ai ripari, lanciando il nuovo servizio Google Analytics 4 (GA4), che dovrebbe stavolta essere GDPR compliant e quindi risolvere alla radice il problema. Sarà così?
Per il momento non possiamo che stare alla finestra, ed osservare quali saranno le prossime mosse del Garante e dei Big Tech, auspicando che questo (benedetto) accordo per il trasferimento dei dati negli Stati Uniti in presenza di adeguate garanzie veda al più presto la luce.
Volume consigliato:
Scrivi un commento
Accedi per poter inserire un commento