Come è ormai ben noto con la decisione del 9 Giugno, resa pubblica la scorsa settimana, il Garante ha dichiarato che Google Analytics (nel prosieguo: GA) viola la normativa sulla privacy in quanto consente il trasferimento di dati negli USA senza che siano previste garanzie adeguate, in violazione di quanto previsto dagli articoli 45 e seguenti del GDPR nonché di quanto sancito dalla Corte di Giustizia nel cd caso “Schrems II” (pronuncia C-311/18, del 16 luglio 2020).
La decisione del Garante, che non sorprende in quanto alla medesima conclusione erano giunti sia la CNIL che il Garante Austriaco, richiede però una attenta lettura per le implicazioni sia pratiche che giuridiche che ne conseguono.
Prima di tutto non può non rilevarsi l’avvertimento esplicito che è stato dato agli utenti ed a tutti i titolari: il comunicato stampa, tuttora disponibile sul sito del Garante
(https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9782874 ), “richiama
all’attenzione di tutti i gestori italiani di siti web, pubblici e privati, l’illiceità dei trasferimenti effettuati verso gli Stati Uniti attraverso GA, anche in considerazione delle numerose segnalazioni e quesiti che stanno pervenendo all’Ufficio. E invita tutti i titolari del trattamento a verificare la conformità delle modalità di utilizzo di cookie e altri strumenti di tracciamento utilizzati sui propri siti web, con particolare attenzione a Google Analytics e ad altri servizi analoghi, con la normativa in materia di protezione dei dati personali.”
Si tratta di un vero e proprio avviso che potrebbe preludere ad altri, simili provvedimenti nei confronti dei titolari che, in seguito ad una segnalazione o nel corso di una ispezione, siano trovati nelle medesime condizioni del titolare sanzionato nel provvedimento in esame.
Venendo all’ analisi del provvedimento, ci sono alcuni aspetti che ritengo opportuno segnalare.
Il primo è quello relativo all’utilizzo del Cookies. Il 10 di gennaio è entrato in vigore il provvedimento del Garante in materia di cookies (Linee guida del 10.06.2021, d.w. 9677876); a questo proposito avevamo già sottolineato, nella nostra Newsletter n.1 di quest’anno, proprio la delicatezza del problema dei GA (cfr https://www.studiozallone.it/news/newsletter-n-1-2022/ ). Il punto, però, è il seguente: secondo il nuovo provvedimento si è passati da un regime di opt-out ad uno di opt-in, vale a dire deve essere l’utente a scegliere se accettare o meno dei cookies, con la conseguenza che, secondo quanto previsto dal menzionato provvedimento, in teoria il sito non dovrebbe mandare altro che cookies tecnici, tra cui non sono più compresi gli analytics (di default). Ragionando in astratto il problema non dovrebbe sussistere in
quanto, avendo dichiarato che i GA non rientrano nell’ambito dei cookies tecnici (se non si anonimizzano e non si bloccano le condivisioni di dati con le terze parti), i GA stessi non dovrebbero più far parte di quelli che vengono inviati per default all’utente. La conseguenza è che non possiamo che invitare tutti a verificare se la prassi relativa ai cookies sia stata adeguata alle nuove linee guida o se invece (e quali) cookies non
tecnici vengano inviati all’utente, perché le nuove linee guida non consentono più questo tipo di prassi.
Il secondo aspetto riguarda il ruolo delle due parti in gioco, vale a dire l’editore del sito, da una parte, e Google dall’altra. Nel primo, originario provvedimento in materia di cookies (8 maggio 2014, d.w. 3118884)
il Garante aveva chiaramente distinto le responsabilità dell’editore del sito rispetto alle terze parti i cui cookies venivano inviati agli utenti, in quanto gli editori “sono la parte più “debole” del rapporto, laddove invece le terze parti sono solitamente grandi società caratterizzate da notevole peso economico”. In base a questa considerazione, gli editori venivano invitati ad ottenere il link all’informativa delle terze parti,
inserendo nella propria informativa estesa “anche il link aggiornato alle informative e ai moduli di consenso delle terze parti con le quali l’editore ha stipulato accordi per l’installazione di cookie tramite il proprio sito…. al fine di mantenere distinta la responsabilità degli editori da quella delle terze parti in relazione all’informativa resa e al consenso acquisito per i cookie di queste ultime parti.”
Di questa distinta responsabilità e diverso ruolo nella decisione in esame non c’è più traccia anzi, si afferma esattamente il contrario. L’editore, in quanto titolare, è soggetto al principio di accountability e pertanto “in ragione del ruolo rivestito ai sensi della disciplina di protezione dei dati personali, è tenuto, come già chiarito, a mettere in atto, anche nel contesto dei trasferimenti transfrontalieri, misure adeguate ed efficaci
a tutela dei diritti e delle libertà degli interessati e ad essere in grado di dimostrare la conformità delle stesse al Regolamento”. Ciò malgrado il titolare, nel caso specifico, avesse ripetutamente sottolineato la sua “mancanza di autonomia” in relazione al trasferimento dei dati in USA.
Il problema in realtà nasce dalle clausole contrattuali adottate da Google (per essere chiari: non le clausole contrattuali per il trasferimento di dati all’estero, ma le clausole contrattuali che Google, in quanto fornitore, fa accettare ai propri clienti). In queste clausole Google viene nominata “responsabile del trattamento” da parte dell’editore che quindi, a tutti gli effetti, diviene lui l’esportatore dei dati. In pratica è
come se Google asserisse che il trasferimento non viene effettuato per una sua, propria decisione operativa, ma per volontà e richiesta del cliente, cosa che, ovviamente, non corrisponde alla realtà. In ogni caso il Garante ha ritenuto valida questa costruzione e come tale ha sanzionato l’editore in quanto titolare,
quando la realtà dei fatti (peraltro ben nota a tutti) è che è Google, nell’ambito della propria infrastruttura, che invia i dati negli USA a proprio uso e consumo. Secondo la nuova definizione dell’art. 4 del GDPR il responsabile del trattamento è il soggetto “che tratta dati per conto del titolare”. Ora qualunque soggetto che offra ad un titolare un servizio che comporta il trattamento di dati su indicazioni chiare del titolare sicuramente rientra nella definizione di responsabile. Ma se questo soggetto, in autonomia, invia dati alla
casa madre che poi li conserva e li utilizza anche per altri scopi del tutto propri, in totale autonomia e per proprie, distinte finalità, senza che il titolare possa avere alcun potere decisionale in merito, definire questo un trattamento svolto da un responsabile per conto del titolare mi sembra essere un po’ tirato.
Una ulteriore osservazione va fatta poi rispetto alle misure alternative per tutelare l’utente. Nel caso esaminato dal Garante i dati erano cifrati sia durante il trasferimento che successivamente nella fase di memorizzazione, ma tale misura non è stata ritenuta adeguata in quanto le autorità USA potrebbero, se necessario, avere accesso al codice di crittografia e quindi ai dati. Neanche l’opzione c.d. di IP
anonymization, messa a disposizione da Google per i propri utenti, è stata ritenuta sufficiente, visto che “non impedisce a Google LLC di re-identificare l’utente medesimo, tenuto conto delle informazioni complessivamente detenute dalla stessa relative agli utenti del web. Sussiste, inoltre, in capo alla medesima Google LLC la possibilità qualora l’interessato abbia effettuato l’accesso al proprio profilo Google di associare l’indirizzo IP ad altre informazioni aggiuntive già in suo possesso (quali le informazioni contenute
nell’account utente). Tale operazione, pertanto, nonostante l’attivazione dell’“IP-Anonymization”, consente comunque la possibile reidentificazione dell’utente”.
Su questo punto ricordo che nelle linee guida veniva fornita una possibile soluzione a questo problema, attraverso il mascheramento di parti dell’indirizzo IP all’interno dei cookies; peraltro le stesse linee guida chiarivano l’aspetto appena evidenziato, sottolineando che i terzi non avrebbero dovuto “combinare i dati,
anche così minimizzati, con altre elaborazioni (file dei clienti o statistiche di visite ad altri siti, ad esempio)
nè trasmetterli a loro volta ad ulteriori terzi, pena l’inaccettabile incremento dei rischi di identificazione
dell’utente”. Questo aspetto potrebbe essere “curato” obbligando il responsabile ad utilizzare i dati esclusivamente per la fornitura del servizio al cliente (in teoria dovrebbe essere già così), senza abbinarli o combinarli con altri dati non necessari per la fornitura del servizio.
Inquadrati così i vari problemi conseguenti alla decisione del Garante, si possono trarre le prime conclusioni. Prima di tutto ricordo che, se gli analytics non venissero anonimizzati con le modalità indicate nelle linee guida e contestualmente non si usassero le cautele normalmente utilizzate nei confronti dei responsabili (trattare i dati solo ed esclusivamente per la fornitura del servizio, non utilizzarli in proprio per
scopi ulteriori, non confrontarli, combinarli o abbinarli ad altri dati ottenuti autonomamente), il loro uso non è permesso se non con il consenso dell’interessato.
Ma il punto è: non c’è solamente il problema dei cookies, il vero problema è il trasferimento dei dati in USA, che comporta altre conseguenze: la informativa, infatti, in questo caso deve espressamente contenere
quanto previsto dall’art. 13.1 (f):
“ove applicabile, l’intenzione del titolare del trattamento di trasferire dati personali a un paese terzo o a
un’organizzazione internazionale e l’esistenza o l’assenza di una decisione di adeguatezza della Commissione o, nel caso dei trasferimenti di cui all’articolo 46 o 47, o all’articolo 49, paragrafo 1, secondo comma, il riferimento alle garanzie appropriate o opportune e i mezzi per ottenere una copia di tali garanzie
o il luogo dove sono state rese disponibili”.
Quindi prima di tutto occorrerà aver aggiornato l’informativa, in modo da includere anche questa informazione. Ma questo, allo stato, ancora non consente di inviare i dati in USA, né è possibile ricorrere al consenso, secondo quanto previsto dall’articolo 49, in quanto sia il Regolamento che l’EDPB (Guidelines 2/2018 on derogations of art. 49) hanno chiarito che deve trattarsi di situazioni particolari, non ripetitive e con solide e differenti basi giuridiche (interesse pubblico prevalente, ecc). In pratica, sembra di trovarsi in
una strada senza uscita: in base alle linee guida sui Cookies occorre il consenso per usare gli analytics, consenso che però non vale per il trasferimento in USA.
Dobbiamo anche sottolineare come di recente si sia concretizzata una possibile soluzione (e sottolineiamo il “possibile”). Le varie decisioni dei garanti hanno sicuramente avuto un impatto su Google ed il suo business, con la conseguenza che da Mountain View sono corsi ai ripari: è disponibile ora la versione 4 del GA che viene presentata da Google come versione “GDPR compliant”, cosa però che è ancora tutta da valutare. A detta di quanto comunicato da Google, questa versione ha eliminato il trasferimento dei dati negli USA e sono state inserite una serie ulteriore di opzioni che, sempre secondo Google, consentono di
garantire la privacy degli utenti. Non si può che prendere atto di queste dichiarazioni, anche se val la pena di usare una certa cautela, nel senso che nessuno può garantire quale sarà la posizione dei garanti e dell’EDPB relativamente ai GA4, se cioè in futuro saranno considerate come rispettose del GDPR o meno.
È necessario poi fare una ulteriore considerazione: nel caso esaminato, il Garante ha tenuto un approccio soft, in quanto non ha erogato nessuna sanzione ed ha dato 90 giorni di tempo al Titolare per adeguarsi. È facile, però, prevedere che questo atteggiamento soft non si ripeterà in futuro in analoghe situazioni, in quanto sarà sempre più difficile sostenere di non essere a conoscenza del problema dei GA e del trasferimento dei dati in USA. Un atteggiamento di questo genere rischia di essere considerato una grave
negligenza e, alla luce del principio di accountability richiamato proprio in questa decisione, col passare del tempo sarà sempre più difficile che l’atteggiamento del Garante continui ad essere così soft. Più difficile sapere se il Garante comincerà una azione a tappeto nei confronti di siti internet, mentre è ipotizzabile invece che ci siano ricorsi o segnalazioni da parte di utenti (a questo proposito circola già il nome di un
signore che avrebbe presentato centinaia di richieste di cancellazione a soggetti pubblici e privati). In un caso simile, se cioè dovessero arrivare richieste di cancellazione, suggerisco di provvedere subito, notificando la necessità di cancellazione anche a Google LLC (il data importer, cioè la azienda che riceve e successivamente tratta i dati in USA).
Infine le riviste di settore in questi giorni stanno elencando tutti i possibili programmi da usare al posto di GA: vale la pena di valutali come possibili alternative all’uso di GA, per evitare di incorrere in sanzioni che come detto, col passare del tempo diventeranno sempre più inevitabili.