Menu
Garante Privacy vs Google Analytics: cosa cambierà in Italia?
Lo scorso 23 giugno un vero e proprio terremoto si è abbattuto sull’ecosistema dei siti web italiani. Il Garante della Privacy ha pubblicato un documento in cui dava conto del risultato di un’istruttoria – partita dal caso di Caffeina Media srl – che evidenziava violazioni sul trasferimento dei dati personali per il sito web che utilizza il tracciamento di Google Analytics.
Risultato? Il Garante ha dichiarato illecita l’implementazione di Google Analytics su un sito web. Questo perché con quella specifica implementazione tecnica i dati personali degli utenti europei venivano trasferiti nei server Google situati negli Stati Uniti, e per questa ragione non venivano garantiti livelli adeguati di sicurezza della privacy degli utenti secondo la normativa GDPR.
Apriti cielo: “Google Analytics è illegale!”, “Addio Google Analytics” oppure “Da oggi Google Analytics è illegale in Italia e non potete più usarlo” e via discorrendo.
È veramente così? Come stanno le cose? Soprattutto cosa dobbiamo fare ora e cosa cambierà?
Oggi ne parliamo in questo articolo per evitare ogni tipo di confusione.
La questione
Per aiutarci a comprendere meglio il fatto, ci aiutiamo con le parole di Guido Scorza: “Il contesto è quello dell’ormai famosa decisione della Corte di Giustizia dell’Unione Europea che ha di fatto annullato il Privacy Shield che garantiva l’export di dati verso gli Stati Uniti d’America – ha spiegato Guido Scorza a Giornalettismo.
“La Corte di Giustizia ha evidenziato che tra i due ecosistemi non ci sono le stesse garanzie di tutela: negli Usa, le condizioni per i dati personali importati dall’Europa non sono le stesse. In particolare, le agenzie di intelligence possono accedere con più facilità ai dati dei cittadini europei e i cittadini europei, in casi di violazioni, non possono appoggiarsi a una autorità garante della privacy che possa offrire loro tutela.
Google Analytics, come un sacco di altri servizi americani, presuppone un trasferimento di dati dall’Europa agli Stati Uniti, dati potenzialmente utili a identificare gli utenti che visitano un sito internet che è cliente di Google Analytics: indirizzi IP, identificativi di browser, connessione e tempo di connessione.
Essendo, ad oggi, vietato il trasferimento dei dati verso gli Usa, ed avendo ricevuto dei reclami nei confronti di questo aspetto, ci siamo adeguati. La nostra intenzione non era quella di trovare il cattivo del gruppo”.
L’orizzonte attuale è quello dei 90 giorni che il Garante ha concesso per effettuare le opportune verifiche. Si tratta di un problema politico, che deve giocarsi tra Bruxelles e Washington. Esattamente come accaduto a marzo dell’anno scorso, quando il presidente Usa e quella della commissione europea avevano trovato un’intesa sull’annoso problema del trasferimento dei dati personali a parità di garanzie.
“Il vero nodo non si può sciogliere a valle, ma a monte – conferma Guido Scorza- e questo significa passare dall’impegno politico che a marzo Joe Biden e Ursula von der Leyen hanno preso per uniformare l’allineamento americano a quello comunitario, rendendo semplice e legittimo il trasferimento dei dati agli Stati Uniti.
Quello che manca a quell’accordo politico è un accordo giuridicamente vincolante. Noi stiamo giocando di supplenza, in un tratto specifico della filiera, legata a un singolo episodio: ma il problema è molto più ampio”.
La portata del provvedimento
Questa decisione ha, inesorabilmente, una portata che trascende il singolo caso sul quale l’Autorità si è pronunciata (esistono certamente migliaia o decine di migliaia di soggetti pubblici e privati che utilizzano il servizio esattamente come lo utilizza l’editore destinatario del servizio).
E l’autorità trascorsi i tre mesi in questione, inizierà a fare ispezioni e verifiche per fare in modo, per quanto possibile, che tutti quanti si trovino in posizioni identiche, siano trattati allo stesso modo, così da evitare il crearsi di antipatiche asimmetrie.
Ed è egualmente vero che la portata del provvedimento trascende il perimetro degli utilizzatori di Google Analytics perché ci sono decine di altri servizi forniti da società americane che per funzionare presuppongo il trasferimento di dati personali dal vecchio al nuovo continente.
La sentenza Schrems II e il trasferimento dati negli Usa
Per capire meglio la questione bisgona tirare in ballo la decisione della Corte di Giustizia che non ha vietato tutti i trasferimenti tra Europa e Stati Uniti ma più semplicemente annullato la decisione di adeguatezza adottata dalla Commissione europea a valle dell’accordo del cosiddetto Privacy Shield.
Ma trasferire dati personali negli USA – così come in altri Paesi in relazione ai quali, allo stato, non esiste una decisione di adeguatezza – non era vietato prima della Sentenza nota come Schrems II e non è vietato oggi a valle di tale Sentenza.
Il GDPR, infatti, prevede una serie di altre condizioni di legittimità del trasferimento di dati personali al di fuori dell’Europa. Non è vero, quindi che chiunque allo stato stia trasferendo dati dall’Europa agli Stati Uniti d’America stia violando le regole. Un accertamento caso per caso è indispensabile per capire se e in che termini il trasferimento extra UE sia lecito o illecito.
La questione GA4
All’indomani della decisione del Garante in tanti hanno segnalato che Google ha, frattanto, rilasciato una versione aggiornata del servizio (GA4) che sarebbe idonea a superare le criticità emerse nel corso dell’istruttoria all’origine del provvedimento oggetto di discussione a limitare il trasferimento e/o la conservazione di dati personali dall’Europa agli Stati Uniti.
Gli uffici del Garante non hanno avuto occasione di esaminare la versione 4 di Google Analytics semplicemente perché il titolare del trattamento oggetto del provvedimento non la utilizzava, né sin qui tale versione è venuta in rilievo in altri procedimenti analoghi.
Impossibile in queste condizioni, pertanto, dire se essa sia o meno in grado di risolvere il problema e consentire l’uso di Google Analytics in conformità alla disciplina europea sul trasferimento dei dati personali negli USA.
Quello che, tuttavia, si può certamente dire è che per rendere il servizio conforme alle regole europee non basta né che gli indirizzi IP degli utenti siano cancellati da Google un istante dopo la raccolta, né che non siano affatto raccolti se, al loro posto, sono comunque raccolti e trasferiti nella disponibilità della casa madre americana di Big G altri dati che consentano a quest’ultima e, dunque – agendo essa in qualità di responsabile del trattamento – almeno in astratto al titolare del trattamento di identificare o re-identificare un utente.
Hai Google Analytics? Cosa devi fare?
C’è un problema pratico per tutti i gestori di siti web italiani che usano Google Analytics ed è rappresentato da un’unica domanda: cosa fare? Al momento, secondo il collegio del Garante, ci sono pochi punti fermi.
“Il trasferimento dei dati negli Stati Uniti non è vietato a prescindere. Il dubbio che ora è diffuso – il nostro provvedimento segue quello dei colleghi austriaci e francesi – da parte delle autorità di protezione è che esista allo stato una modalità di Google Analytics conforme, su cui si possano applicare le garanzie legate al trattamento dei dati.
Dire se questo è possibile o non è possibile sta ai vari siti e a Google. Il nostro provvedimento non è un semplice blocco: nel documento si dice al gestore del sito se nei 90 giorni successivi riuscirà a usare questo servizio a norma di GDPR; in caso contrario bisogna fermarsi”.
Una speranza può essere rappresentata dall’ormai imminente passaggio alla versione di Google Analytics 4, che sta già creando più di un grattacapo ai gestori dei siti web: “In teoria può esistere un modo per usare in maniera conforme Google Analytics, in pratica è legittimo dubitarne – dice Scorza- e capire su quale sponda ci troviamo è compito dei titolari del trattamento.
Una volta che sapremo di più su Google Analytics 4, bisognerà fare una verifica di conformità. Sicuramente sul versante degli indirizzi IP ci sarà una semplificazione, il punto è capire se la quantità di dati personali, che comunque anche con questa nuova versione passeranno da una parte all’altra, sarà tale da dichiarare risolto il problema o no”.
L’unica certezza è che la portata di questa decisione potrebbe essere davvero immensa: “Tanto vasta quanto è la posizione di un leader di mercato come Google Analytics. È realistico supporre che la più parte o la totalità degli utenti italiani di Google Analytics si trovino esattamente nella stessa condizione in cui si è trovato il titolare del trattamento oggetto del nostro provvedimento.
La nostra principale speranza è che nei prossimi 90 giorni intervenga un accordo giuridicamente vincolante tra Europa e Stati Uniti. In caso contrario, si configura lo scenario peggiore: il moltiplicarsi di provvedimenti di blocco in relazione ai quali poco si potrà fare.
Andranno adottati e saranno destinati ad estendersi a macchia d’olio anche fuori dal perimetro di Google Analytics”.
Cosa devono fare le aziende?
Le aziende ora dovranno guardarsi intorno, vedere con Google se ci sono soluzioni a norma o valutare soluzioni diverse, tecniche o contrattuali per la compliance; allo stesso tempo si spera che tutto questo non serva perché arrivi nel frattempo un accordo giuridico vincolante tra Usa ed Europa sul trasferimento dati.
Nelle prossime settimane la speranza è che i Governi di Bruxelles e Washington facciano seguire all’accordo politico annunciato a marzo, un accordo giuridicamente vincolante che consentirebbe la naturale ripresa dell’esportazione di dati dall’Europa agli Stati Uniti.
Se questo non accadesse, prima di tirare su un muro tra i due continenti bisognerà verificare se ci sia un modo – che sia l’upgrade alla versione GA4 o altro – per continuare a usare il servizio di Analytics di Big G nel rispetto delle regole europee.
Sino ad allora, tuttavia, sbaglia allo stesso modo chi dice che tutti i trasferimenti di dati personali tra i due continenti sono da considerarsi incompatibili con il GDPR e chi sostiene che basterebbe eliminare o tagliare un IP per risolvere il problema.
Articoli Correlati
