Studio Legally
Via Grazioli 106 - Trento
Email: info@studiolegally.com
Telefono: +39 0461 233175
Alessia Antonia D'Alessio
06 Lug 2022

23.06.2022 – Garante privacy: prima censura italiana all’uso di Google Analytics

Privacy​

Alcuni mesi fa – ricorderete (cfr.  il nostro articolo sul blog https://studiolegally.com/blog/leredita-della-sentenza-schrems-ii-e-limpatto-sulla-realta-del-web-europeo-il-garante-privacy-austriaco-dichiara-illecito-per-difformita-al-gdpr-lutilizzo-del-servizio-di/) – erano intervenute alcune decisioni delle Autorità Garanti europee, ed in particolare quella dell’Authority austriaca, con cui era stato dichiarato illecito per difformità al GDPR l’utilizzo del servizio di Google Analytics sui siti web europei.

Tali decisioni per la verità, a quel tempo, non avevano ancora avuto alcun impatto, quantomeno diretto, sul nostro Paese; ebbene, in un comunicato stampa del 23.06.2022, l’Autorità Garante italiana ha reso pubblica la notizia di aver per la prima volta intrapreso delle misure nei confronti di un gestore di sito web (italiano) per l’utilizzo del servizio di analisi statistica dei dati fornito da Google Analytics.

Il provvedimento, che non è comunque sanzionatorio trattandosi – per il momento – di un semplice ammonimento, al di là della sua natura piuttosto blanda, è sintomatico, da un lato dell’insorgenza di una nuova consapevolezza sociale sulla correttezza del trattamento dei dati personali (il Garante si è pronunciato a seguito delle segnalazioni degli utenti del sito web incriminato), ma soprattutto rivela una volontà sempre più impellente dell’Autorità preposta alla messa in pratica dei principi derivanti dal GDPR e della sentenza della Corte di giustizia dell’Unione Europea “Schrems II” del luglio 2020, con cui era stato evidenziato che, visto che i fornitori di servizi digitali americani (es. GA) non trattano i dati personali dei cittadini europei in conformità alle norme europee, l’utilizzo di tali servizi da parte di aziende europee viola il GDPR.

Riassumendo in breve il contenuto del comunicato stampa del Garante italiano, lo stesso afferma che i siti che utilizzano il servizio Google Analytics (GA) senza le garanzie previste dal GDPR violano la normativa sulla protezione dei dati perché GA trasferisce negli USA, Paese privo di un adeguato livello di protezione, i dati degli utenti.

A seguito di un’indagine e di un’istruttoria durata alcuni mesi, il GPDP ha rilevato che i gestori dei siti web che utilizzano GA raccolgono, mediante cookie informazioni sulle interazioni degli utenti con i predetti siti, sulle singole pagine visitate e sui servizi proposti (tra i dati raccolti: indirizzo IP del dispositivo dell’utente, informazioni sul browser, sistema operativo, risoluzione dello schermo, lingua selezionata, data e ora della visita al sito). Tutte queste informazioni vengono raccolte – anche in dati aggregati ed anonimi – e poi trasferite negli Stati Uniti.

Ciò che più interessa evidenziare è che il Garante – discostandosi in parte da quanto indicato sulle Linee Guida di luglio 2021 e facendo una valutazione valida per i soli servizi Google – afferma che l’indirizzo IP è un dato personale (e quì nulla di nuovo), aggiungendo che anche se troncato non è suscettibile di diventare anonimo e ciò in quanto Google può “arricchirlo” con altri dati riferiti allo stesso utente di cui è in possesso, incrociandoli.

In buona sostanza sembra che il problema sia proprio la capacità di Google di acquisire mediante i suoi vari servizi i dati, incrociarli – rendendo così identificabile l’utente anche se vengono raccolti in forma anonimizzata -, trasferendoli negli Stati Uniti dove possono essere trattati con qualsiasi finalità e senza alcuna garanzia di protezione per l’interessato.

Il provvedimento, come anticipato, è stata soltanto un’ammonizione per il gestore del sito web incriminato, al quale è stato ingiunto di conformarsi al Regolamento UE entro 90 giorni a pena della sospensione dei flussi di dati effettuati per il tramite di GA verso gli USA.

Nello stesso comunicato stampa, tuttavia, il Garante ha invitato tutti i titolari del trattamento a verificare la conformità delle modalità di utilizzo di cookie e altri strumenti di tracciamento utilizzati sui propri siti web, con particolare attenzione a GA e ad altri servizi analoghi, con la normativa in materia di protezione dei dati personali.

Nel frattempo, Stati Uniti ed Europa stanno negoziando un nuovo accodo che tenga conto di quando previsto da una serie di provvedimenti come il Data Acts e i due pacchetti normativi (Digital Market Act e Digital Services Act) pronti ad entrare in vigore.

Nello stesso tempo il Garante (nella persona di Guido Scorza – componente del consiglio del Garante della Privacy) ha dichiarato che la soluzione deve essere necessariamente normativa, con un nuovo accordo “capace di sanare la situazione venutasi a creare in seguito alla sentenza Schrems II, che ha annullato il Privacy Shield”.

Ma nell’attesa, cosa fare? Come devono comportarsi i siti che utilizzano GA?

Occorre infatti evidenziare che l’utilizzo del servizio Google incriminato non è illegale o illecito, e pertanto è possibile continuare ad utilizzarlo purché tale scelta sia motivata e siano state messe in atto tutte le misure tecniche deputate alla tutela dei dati personali trattati.

Il problema, tuttavia, è pratico in quanto al massimo tra 90 giorni tutti i gestori di siti web italiani che usano GA si troveranno davanti al quesito su cosa fare in concreto.

Anche a tale domanda è stato chiamato a rispondere il Garante, il quale conferma che il trasferimento dei dati negli USA non è vietato a prescindere; il dubbio delle Authorities europee è allo stato capire se esista o meno una modalità di utilizzo del servizio Google Analytics conforme al GDPR, su cui si possano applicare le garanzie legate al trattamento dei dati previste all’interno dell’Unione Europea.

Con molta probabilità dovrà essere Google direttamente o quantomeno i titolari del trattamento dei dati personali in questione (i gestori dei siti web per intendersi) a rispondere a questa domanda dal momento che sul provvedimento dell’Authority si chiede che siano questi ultimi, tra 90 giorni, a trovare un modo per utilizzare il servizio Analytics a norma di GDPR o, in caso contrario, sospenderlo definitivamente.

Seppur alcune speranze di fruizione a norma di GDPR del suddetto servizio sono raccolte intorno alla nuova versione di Google Analytics 4, sul quale comunque il Garante si è già riservato di eseguire una verifica di conformità, ma l’aspettativa maggiore è tutta racchiusa nella soluzione politica del problema.

Interrogato sul punto, infatti, è lo stesso GPDP ad evidenziare la necessità che nei prossimi 90 giorni intervenga un accordo giuridicamente vincolante tra Europa e Stati Uniti; in caso contrario, si configura lo scenario peggiore e cioè il moltiplicarsi di provvedimenti di blocco che non coinvolgeranno soltanto Google Analytics ma molti più servizi del colosso americano.

In buona sostanza, al momento non c’è una soluzione definitiva:

– Da un lato si può continuare ad utilizzare il servizio GA, ma farlo, di fatto è molto rischioso in quanto potrebbe comportare l’insorgenza di problemi in punto violazione della privacy.

Per arginare la questione, se proprio si vuole continuare ad utilizzare Analytics, è necessario – quantomeno – accertarsi d’aver raccolto il consenso specifico degli utenti al trasferimento dei loro dati fuori dall’UE (come peraltro prevede il GDPR) o verificare che il trasferimento dei dati dei cittadini europei negli USA avvenga soltanto previa anonimizzazione degli stessi utilizzando dei filtri a ciò deputati (anche se ciò nel caso sanzionato dal Garante, non è stato comunque sufficiente ad evitare l’ammonimento);

– In alternativa, è possibile utilizzare strumenti tecnici di analisi statistica dei dati differenti da GA ma conformi al GDPR, spesso più costosi e meno performanti rispetto al servizio di controllo del sistema metrico web a firma Google, ma certamente a prova di Garante e di sanzione.