Con il provvedimento del 9 giugno, il Garante per la protezione dei dati personali si è espresso per la prima volta sull’utilizzo di Google Analytics, dichiarando il sito web che lo utilizza non conforme al GDPR e in violazione delle norme sul trasferimento extra SEE dei dati personali. Il provvedimento del Garante segue le decisioni delle Autorità di controllo austriaca e francese e rappresenta un turning point: il servizio fornito da Google è utilizzato dalla quasi totalità dei siti web italiani, tutti potenzialmente soggetti a sanzioni. C’è un modo per legalizzare l’uso dello strumento o i titolari devono necessariamente dismetterlo? Quali azioni dovrebbe intraprendere un DPO? Cerchiamo di capire come comportarci nell’articolo di oggi.
Prima di esaminare il provvedimento del Garante è bene fare una premessa sintetica sulle precedenti decisioni vincolanti delle altre Autorità di controllo europee, per capire quali sono i punti in comune e le conseguenze che si prospettano. In seguito alla sentenza della causa C-311/18 (“Schrems II”) del 16 luglio 2020, il trasferimento di dati personali verso fornitori ubicati negli USA è stato definito non conforme alle disposizioni sui trasferimenti di cui al Capo V del GDPR.
La Corte di Giustizia dell’Unione Europea (“CGUE”) ha quindi dichiarato nulli tutti i precedenti accordi fra Unione Europea e Stati Uniti - il “Safe Harbor” ed il “Privacy Shield” - per via dell’ingerenza delle Autorità pubbliche statunitensi sul trattamento dei dati personali importati. In particolare, la Corte ha rilevato che taluni programmi di sorveglianza che consentono l’accesso da parte delle Autorità pubbliche ai dati personali trasferiti dall’Unione Europea, per finalità di sicurezza nazionale, non prevedono limitazioni ai poteri di tali Autorità e neppure garanzie per gli stranieri potenzialmente oggetto di tale sorveglianza. Si tratta dell’articolo 702 del Foreign Intelligence Surveillance Act (“FISA”) e dell’Executive Order (“EO”) 12333: i trasferimenti sulla base di questo quadro giuridico sono illegali ai sensi del GDPR.
Sulla scorta della decisione della CGUE, l’associazione NOYB (“None Of Your Business”) fondata da Max Schrems ha presentato denunce in tutti i trenta Stati membri dell'UE e del SEE contro 101 aziende europee che trasmettono i dati di ogni visitatore a Google e Facebook.
L’Autorità Garante austriaca (“Datenschutzbehörde” or “DSB”) si è attivata proprio in seguito ad uno di questi reclami, sanzionando, nel mese di dicembre 2021, il titolare di un sito web (dedicato alla divulgazione su temi sanitari) per l’utilizzo di Google Analytics. Il DSB accogliendo il reclamo, ha dichiarato che:
- il sito web aveva trasferito i dati personali dell'interessato a Google LLC il 14 agosto 2020, compresi gli identificatori dell'utente, l'indirizzo IP e i parametri del browser;
- le Clausole Contrattuali Standard (“SCC”) concluse tra le parti non offrono un livello di protezione adeguato, in quanto Google LLC si qualifica come “fornitore di servizi di comunicazione elettronica” ed è pertanto soggetta a sorveglianza da parte dei servizi segreti statunitensi;
- le garanzie aggiuntive (“misure tecniche e organizzative” e/o “misure supplementari”) messe in atto sono state dichiarate dal DSB irrilevanti, in quanto non potevano impedire ai servizi segreti statunitensi di accedere ai dati personali dell'interessato;
- il fornitore del sito web non poteva fare affidamento su altri meccanismi di trasferimento ai sensi del Capo V del GDPR. Di conseguenza, il provider non ha fornito un livello di protezione adeguato, ai sensi degli articoli 44 e seguenti del Regolamento europeo in materia di protezione dei dati personali.
Allo stesso modo è intervenuta l’Autorità di controllo francese CNIL (“Commission nationale de l'informatique et des libertés”) sanzionando, sulla base di un reclamo proposto da un interessato rappresentato da NOYB, una società di vendita al dettaglio online. Alla stregua del DSB, la CNIL ha dichiarato il trasferimento di dati personali non conforme al Capo V. In più ha respinto l'argomentazione di Google secondo cui i dati di Analytics sarebbero pseudonimizzati, sottolineando che gli identificatori univoci universali non soddisfano la definizione di pseudonimizzazione ai sensi dell'articolo 4, paragrafo 5, del GDPR, in quanto il loro unico scopo è quello di identificare gli utenti.
È interessante notare come, in quest’ultimo caso, le Autorità coinvolte siano state più di una: ai sensi dell’art. 60 del GDPR, la CNIL, in qualità di Autorità di controllo capofila, ha dovuto presentare una bozza della decisione finale alle altre Autorità interessate e nessuna di queste ha presentato obiezioni motivate. Questo rappresenta un indicatore importante rispetto alla presenza di una visione comune sul tema e sull’esito di futuri casi simili.
I passaggi chiave del provvedimento del Garante
Il provvedimento del 9 giugno rappresenta l’esito dell’attività istruttoria avviata nel corso del 2020 sulla base del reclamo di un interessato, in coordinamento con altre Autorità privacy europee. Anche la nostra Autorità Garante rileva l’illiceità del trattamento effettuato dalla società Caffeina Media S.r.l., per il tramite del sito web www.caffeinamagazine.it, per mancato rispetto del Capo V del Regolamento. Nell’ambito dell’attività istruttoria, l’Autorità ha esaminato l’opzione c.d. “IP-Anonymization” prevista dallo strumento Google Analytics, la quale comporta l’invio a Google dell’indirizzo IP dell’utente troncato, in seguito all’oscuramento dell’ottetto meno significativo (ad esempio, gli indirizzi da 122.48.54.0 a 122.48.54.255 vengono sostituiti da 122.48.54.0). Il troncamento dell’IP, tuttavia, non impedisce a Google LLC di re-identificare l’utente, considerando tutte le informazioni complessivamente già in possesso del fornitore.
In particolare, spiega il Garante, ciò accade qualora l’interessato navighi avendo effettuato l’accesso al proprio profilo Google: tale operazione, infatti, consente la possibile re-identificazione dell’utente nonostante l’attivazione dell’“IP-Anonymization”. In ogni caso - e quindi anche qualora l’utente non abbia effettuato l’accesso al proprio profilo - l’Autorità specifica che “l’obbligo di consentire l’accesso, da parte delle Autorità statunitensi, ricade su Google LLC non solo con riferimento ai dati personali importati, ma anche in ordine alle eventuali chiavi crittografiche necessarie per renderli intelligibili”. Da ciò ne consegue che l’anonimizzazione non è mai effettiva: “fintanto che la chiave di cifratura rimanga nella disponibilità dell’importatore, le misure adottate non possono ritenersi adeguate”.
La carenza di una misura di sicurezza tecnica a garanzia dell’effettiva riservatezza dei dati, di fatto compromette anche l’idoneità di tutte le altre misure supplementari contrattuali e organizzative eventualmente applicate ed applicabili, rendendo il trattamento illecito. L’accesso a questi dati personali non protetti da parte delle Autorità statunitensi, infatti, comporta limitazioni e deroghe alla normativa in materia di protezione dei dati che “eccedono le restrizioni ritenute necessarie in una società democratica”.
Tutto ciò con particolare riferimento alle disposizioni che consentono alle Autorità pubbliche statunitensi, nel contesto di programmi di sicurezza nazionale, di accedere senza adeguate limitazioni ai dati personali oggetto di trasferimento; nonché alla mancata previsione di diritti azionabili in sede giudiziaria, in capo ai soggetti interessati. Occorre, peraltro, considerare, che la possibilità di accesso ai dati importati, da parte delle Autorità statunitensi, trova conferma nel “Transparency report on United States national security requests for user information” messo a disposizione da Google stessa sul proprio sito. Nel report sono compresi i dati statistici inerenti alle richieste di accesso ricevute da Google, ai sensi del FISA 702, su istanza delle Autorità nazionali statunitensi (che, come espressamente riportato, possono riguardare sia dati sui contenuti, sia “non-content metadata”, quali, ad esempio, i campi "da" e "a" nell'intestazione di un'e-mail e gli indirizzi IP associati a un determinato account).
Usare Analytics in modo conforme è possibile?
Il 24 giugno, in seguito alla pubblicazione del provvedimento, Guido Scorza, Componente del Garante per la protezione dei dati personali, ha rilasciato un’intervista sul tema. Nell’intervista ha dichiarato che “Il trasferimento dei dati negli Stati Uniti non è vietato a prescindere. Il dubbio che ora è diffuso […"> è che esista allo stato una modalità di Google Analytics conforme”.
Scorza specifica quindi che il provvedimento non vuole essere un semplice blocco, per questa ragione vengono lasciati 90 giorni al gestore del sito per conformarsi. Ma è davvero possibile usare Analytics in modo conforme al GDPR? “Dire se questo è possibile o non è possibile” prosegue Scorza “sta ai vari siti e a Google”. Considerando la posizione predominante del provider, nel determinare condizioni contrattuali e misure di sicurezza, l’unica soluzione potrebbe essere sperare in un’anonimizzazione effettiva dell’IP e dei dati oggetto di trasferimento. Per questo Scorza cita Google Analytics 4, affermando che “In teoria può esistere un modo per usare in maniera conforme Google Analytics, in pratica è legittimo dubitarne. […"> Una volta che sapremo di più su Google Analytics 4, bisognerà fare una verifica di conformità”.
Insomma, il vero nodo da risolvere non è a valle ma a monte: la speranza è che nei prossimi 90 giorni intervenga un accordo giuridicamente vincolante tra Europa e Stati Uniti. Il problema, infatti, non è il singolo caso ma l’intera filiera dei trasferimenti effettuati verso gli Stati Uniti, “l’unica certezza è che la portata di questa decisione potrebbe essere epocale e che, in assenza di un provvedimento politico, si possa fare ben poco”.
Gli scenari
Realisticamente ci troviamo di fronte a due scenari possibili. Nel primo scenario, quello più roseo per le migliaia di organizzazioni che ricorrono a Google Analytics, è che venga presto definito l’accordo tra Europa e Stati Uniti e che i provider adeguino condizioni e servizi offerti seguendo il dettato di tale accordo e le disposizioni del Capo V del Regolamento.
Il secondo scenario, decisamente più critico, è che, in assenza di un accordo fra le parti che renda i trasferimenti internazionali conformi, si moltiplichino i provvedimenti di blocco (a tutti gli effetti), nonché le sanzioni comminate dalle Autorità di controllo per violazione delle disposizioni in materia di trasferimenti (artt. 44 e ss. GDPR). Si ricorda che la violazione di tali norme rientra nella fattispecie di cui all’art. 83 par. 5 del GDPR e comporta sanzioni amministrative pecuniarie fino a 20 000 000 EUR, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell'esercizio precedente, se superiore. Precisa inoltre Guido Scorza che, provvedimenti di questo tipo, “saranno destinati ad estendersi a macchia d’olio anche fuori dal perimetro di Google Analytics”, basti pensare a tutti i servizi a cui quotidianamente ci affidiamo gestiti da società statunitensi e ospitati su server ubicati proprio negli Stati Uniti.
Il ruolo del DPO
Il primo dei compiti assegnati al DPO dall’art. 39 del GDPR è quello di informare e fornire consulenza al titolare del trattamento. Nell’attesa di un accordo politico giuridicamente vincolante che concretizzi l’impegno politico che a marzo Joe Biden e Ursula von der Leyen hanno preso per rendere semplice e legittimo il trasferimento dei dati agli Stati Uniti, tutti i DPO dovrebbero, in primo luogo:
- Informare i titolari del trattamento rispetto alle novità rilevanti. La speranza è che, nei 90 giorni concessi dal Garante per l’adeguamento, venga definito l’accordo internazionale sul trasferimento dei dati.
Il secondo dei compiti del DPO, consiste nel sorvegliare l'osservanza del GDPR.
- Qualora venga definito un accordo internazionale, Google dovrà adeguare le condizioni del servizio. In questa fase si renderà necessario valutare la complessiva conformità del trattamento svolto.
Qualora non venga definito un accordo internazionale e non si trovino misure per l’adeguamento, i DPO dovranno sorvegliare le scelte intraprese dal titolare, sia che si tratti di dismettere lo strumento Analytics, sia che si tratti di dotarsi di soluzioni alternative (Web Analytics Italia; Matoto; etc.). Inoltre, i DPO dovranno presidiare la fondamentale operazione di ricognizione di trasferimenti effettuati, considerando che, come abbiamo visto, i provvedimenti di blocco riguarderanno tutti i servizi che implicano un trasferimento di dati verso gli USA.
Il terzo dei compiti del DPO, consiste nel fornire, se richiesto, un parere in merito alla valutazione d'impatto sulla protezione dei dati e sorvegliarne lo svolgimento.
- I DPO dovranno seguire e verificare gli assessment svolti dal titolare sul trattamento effettuato, validando le DPIA sul trasferimento (“Data Transfer Impact Assessment” - “DTIA”).
L’importanza del confronto
Oltre all’operato dell’Associazione NOYB, è utile informare i lettori che molte situazioni non conformi sono state e stanno venendo portate all’attenzione del Garante da un gruppo di attivisti e hacker “cittadine e cittadini attenti alla privacy ed alla tutela dei diritti cibernetici nel nostro Paese”, attraverso reclami e segnalazioni volti a denunciare i trattamenti illeciti perpetrati mediante il trasferimento di dati verso gli Stati Uniti. Il gruppo in questione ha dapprima inviato una comunicazione di “Diffida per violazione del GDPR per utilizzo Google Analytics su sito istituzionale” nei confronti di molteplici enti pubblici.
I DPO di alcuni di questi enti si sono quindi organizzati, programmando videocall di confronto sul tema, per cercare di capire quale fosse la soluzione migliore per garantire la conformità delle organizzazioni al GDPR e la tutela dei diritti degli interessati.
In una situazione critica ed in attesa di sviluppi sulla questione, il confronto si è rivelato e si rivela un passaggio fondamentale per consentire l’allineamento delle scelte e per relazionarsi con l’Autorità esponendo un punto di vista comune. Per questo far parte di un’Associazione come ASSO DPO è fondamentale per tutti i professionisti del settore (che siano Data Protection Officer; Consulenti della Privacy; Chief Privacy Officers; etc.).
Ti invitiamo quindi ad aderire all’Associazione seguendo le istruzioni presenti al link dedicato.