Il Garante Italiano della Privacy ha concluso che Google Analytics compie un trasferimento illecito di dati personali dei cittadini europei in Usa e ne vieta l’utilizzo: una decisione ufficializzata nel comunicato stampa del 23 giugno 2022 dopo una lunga istruttoria, che fissa a 90 giorni il termine per conformarsi.
La tematica si estende però non solo a Google Analytics (ndr se configurato in un certo modo), ma a molti altri servizi online erogati da aziende americane: benché oggi Usa ed Europa stiano contrattando un nuovo accordo di collaborazione sul trasferimento dei dati, a metà 2022 ancora nulla è stato definito e le aziende che usano questi servizi si trovano in una situazione di incertezza.
Ora, le aziende italiane devono trovare entro la fine di settembre 2022 una soluzione tecnica per effettuare un’analisi del traffico del sito web e delle campagne online compliant con la normativa vigente.
Google Analytics e il trasferimento illecito di dati
Il Garante italiano ha ammonito una società che usava Google Analitycs sul proprio sito, chiedendole di togliere lo strumento entro 90 giorni: un invito che di fatto si estende a tutte le società italiane che utilizzano gli stessi strumenti di Google. Tra le motivazioni del Garante, il fatto che i dati raccolti da Google Analytics mediante cookie, possono essere assemblati e identificare l’utente anche se anonimizzati.
“Tra i molteplici dati raccolti, indirizzo Ip del dispositivo dell’utente e informazioni relative al browser, al sistema operativo, alla risoluzione dello schermo, alla lingua selezionata, nonché data e ora della visita al sito web. Tali informazioni sono risultate oggetto di trasferimento verso gli Stati Uniti. Nel dichiarare l’illiceità del trattamento è stato ribadito che l’indirizzo Ip costituisce un dato personale e anche nel caso fosse troncato non diverrebbe un dato anonimo, considerata la capacità di Google di arricchirlo con altri dati di cui è in possesso” si legge nelle note del Garante.
I dati dei cittadini europei così raccolti da Google Analytics vengono trasferiti negli Usa anche in mancanza di un accordo di collaborazione tra nazioni in merito al loro trattamento. Le Autorità governative e le agenzie di intelligence statunitensi possono infatti accedere ai dati personali trasferiti senza le dovute garanzie, pertanto secondo il Garante le misure adottate da Google non garantiscono – allo stato attuale – un livello adeguato di protezione dei dati personali degli utenti.
Perché Google Analytics sarebbe illegale?
Raccogliendo dati direttamente con l’attuale versione di Google Analytics Universal (GA), Google può fare digital fingerprint incrociando client_ID, user-agent e indirizzo IP (anche se anonimizzato). Questi 3 dati formano un’impronta digitale (digital fingerprint per l’appunto), che può essere utilizzata per identificare completamente o parzialmente singoli utenti o dispositivi, anche quando i cookie sono disattivati.
In particolare, il client_ID è l’id del cookie ed è considerato già di per sé un dato pseudonimo; lo user-agent è invece un identificativo (una stringa) che permette di individuare il browser che ha fatto accesso al sito e raccoglie informazioni sul tipo e sulla versione del browser, sul sistema operativo, sui plug-in attivi, sul fuso orario, la lingua, la risoluzione dello schermo e varie altre impostazioni attive. Infine, l’indirizzo IP è anch’esso un dato pseudonimo a meno che non venga anonimizzato e/o non incrociato con altri dati (ne abbiamo già parlato in questo nostro articolo dedicato ai Cookie di Analytics).
Conosciute queste caratteristiche, i dati possono essere assemblati in un profilo che aiuta a identificare l’utente, come farebbe un’impronta digitale: è una tecnica che si è resa necessaria in risposta alle politiche sempre più stringenti sui cookie e al crescente utilizzo di ad-blocker da parte di molti utenti, al fine di fornire comunque dati utili agli inserzionisti per pubblicità profilata.
La decisione del Garante Privacy italiano è l’epilogo di serie di sentenze, ultima delle quali risale al 2020 dove già la Corte di Giustizia europea aveva annullato gli strumenti giuridici con cui avvenivano i trasferimenti dati da Europa a Usa (nota con il nome di sentenza Schrems II) motivata dal fatto che la normativa statunitense non dava garanzie in termini di sorveglianza governativa su quei dati.
Di seguito ripercorriamo le principali sentenze che nel tempo hanno caratterizzato l’evoluzione legale di questo tema.
Il Safe Harbour (2000)
Nel 2000 Unione europea e Stati Uniti hanno concluso un accordo (noto come Safe Harbour o porto sicuro) che consentiva alle imprese americane di conservare i dati personali degli utenti europei sia nella Ue che negli Usa. Stabiliva il libero trasferimento, a fini commerciali, dei dati di cittadini europei verso gli Stati Uniti da parte delle multinazionali UE, definendo le modalità attraverso cui le società statunitensi dovevano trattare i dati personali di cittadini europei.
Lo scopo dell’accordo era quello di proteggere i dati dei cittadini europei, impedendone la perdita accidentale o la rivelazione di dati personali; a tal fine, le società americane dovevano rispettare 7 principi. Nel novembre 2001 il Garante Privacy italiano dichiara di prendere atto dell’accordo, di autorizzare il trasferimento dei dati personali dall’Italia verso gli Usa, riservandosi di svolgere i necessari controlli su questi trasferimenti di dati e su connesse operazioni di trattamento, nonché di adottare (se necessario) eventuali provvedimenti di blocco o di divieto di trasferimento.
L’invalidazione del Safe Harbour: la sentenza Schrems I (2015)
Il 6 ottobre 2015 la Corte di giustizia dell’Unione Europea ha invalidato il Safe Harbour con la sentenza nota come Schrems I, dal nome del giurista austiaco Maximilian Schrems il quale presentò nel 2011, alle autorità irlandesi, un ricorso dove si opponeva al trasferimento dei suoi dati personali sui computer centrali di Facebook negli Stati Uniti. La motivazione era che le autorità americane non offrivano garanzie sufficienti. La sentenza della Corte di Giustizia Europea fa così decadere il Safe Harbour e definisce illegale mandare i dati negli Stati Uniti.
La Privacy Shield (2016)
Il 12 Luglio 2016 la Commissione europea ha adottato una decisione in merito all’accordo chiamato scudo UE-USA per la privacy (in inglese EU-US Privacy Shield) che regolamenta il trasferimento di dati fra Ue e Usa imponendo alle imprese americane obblighi più stringenti di tutela dei dati personali degli europei (si veda questa Infografica del Garante). L’accordo conteneva, per la prima volta, dichiarazioni e impegni assunti formalmente per quanto riguarda l’accesso ai dati da parte di soggetti dell’Amministrazione americana.
Il nuovo trattato ebbe tuttavia vita breve, e nel 2020 fu dichiarato illegale in quanto non conforme al nuovo impianto normativo (GDPR).
L’invalidazione del Privacy Shield: la sentenza Schrems II (2020)
Il 16 luglio 2020 la Corte di giustizia dell’Unione europea (CGUE) si è pronunciata (c.d. “Sentenza Schrems II”) in merito al regime di trasferimento dei dati tra l’Unione europea e gli Stati Uniti invalidando la decisione di adeguatezza del Privacy Shield, adottata nel 2016 dalla Commissione europea.
La decisione della CGUE di annullare lo Scudo per la Privacy rende gli Stati Uniti un paese non adeguato, privo di alcun accesso speciale ai flussi di dati personali europei. Inoltre, la CGUE ha approvato le Clausole contrattuali standard (SCC, dall’inglese Standard Contractual Clauses), un altro meccanismo comunemente utilizzato per i trasferimenti transatlantici di dati, affermando che questo sistema permette sostanzialmente di garantire il rispetto del livello di protezione richiesto dal diritto dell’Unione europea.
Tale decisione, tuttavia, prevede anche che i titolari del trattamento dei dati valutino il livello di protezione dei dati nel paese del destinatario dei dati, sospendendo il trasferimento in caso di non adeguatezza. Enfatizza inoltre il chiaro obbligo a carico di ciascuna autorità di protezione dei dati, in tutti i paesi membri dell’UE, di sospendere la trasmissione dei dati personali qualora i destinatari si trovino in nazioni ritenute non sicure in base ai requisiti dell’UE in materia di protezione dei dati.
Su questa base, il Garante Privacy austriaco nel 2021 ha avviato un procedimento decretando che Google Analytics non rispettasse la GDPR perché manda dati personali negli Usa. Successivamente, anche il Garante Privacy francese è giunto alle stesse conclusioni.
Soluzioni al problema e Google Analytics 4
Allo stato attuale, la Corte di Giustizia europea ha quindi annullato gli strumenti giuridici con cui avvenivano i trasferimenti dati da Europa a Usa, perché la normativa statunitense non offre garanzie in termini di sorveglianza governativa su dati personali dei cittadini europei. Inoltre, allo scadere del termine di 90 giorni, il Garante italiano procederà, sulla base di specifiche attività ispettive, a verificare la conformità al Regolamento Ue dei trasferimenti di dati effettuati dai titolari dei siti web.
Questo significa che le aziende italiane devono trovare, entro la fine di settembre, una soluzione tecnica compliant per l’analisi del traffico sul sito e anche delle campagne online.
Come risolvere il problema di Analytics
Quando parliamo di “web analytics” spesso parliamo di Google Analytics, ma questo non è ovviamente l’unico sistema di analytics disponibile sul mercato: è al momento il più diffuso. Ovviamente, quanto vale per Google Analytics, vale per qualsiasi altro sistema di analytics di terza parte che sia sviluppato da un’azienda americana.
Google aveva già annunciato che entro luglio 2023 avrebbe dismesso Google Analytics Universal (GA) sostituendolo con la nuova versione Google Analytics 4 (GA4): questo nuovo sistema di analytics presenta una modalità differente di raccolta dati, che non memorizza l’indirizzo IP ed è quindi dotato di un meccanismo di anonimizzazione più forte, by design. Il che da solo non è tuttavia sufficiente a risolvere la problematica della privacy, a meno che non si configuri GA4 con un particolare setup server side, che riduce ulteriormente i dati trasmessi in Usa e rende compliant lo strumento alla GDPR.
In alternativa alla gestione di GA4 (o di altri sistemi di analytics in terza parte), le aziende italiane possono decidere di installare sui propri server un sistema di analytics di 1° parte: si tratta di una soluzione molto più impegnativa dal punto di vista dell’infrastruttura informatica, che però porta il dato all’interno dell’azienda e quindi risolve anche altre problematiche di tipo formale.
Allo stato attuale, il Garante non ha fornito un’indicazione esatta su quale soluzione tecnica risolva la problematica, pertanto ogni configurazione adottata dovrà poi essere sottoposta e valutata a posteriori. In ogni caso, la scelta della soluzione migliore deve essere conseguenza di un processo di studio e della stesura di un piano di misurazione adeguato alle esigenze dell’azienda. Hai necessità di un supporto per scegliere la soluzione migliore? Contattaci
Come risolvere altre problematiche di tracciamento
Oltre ad analytics, il problema del tracciamento tramite cookie di terza parte e trasferimento dati in Usa si pone per moltissimi altri servizi online: dalle campagne in remarketing di Google Ads alle campagne Facebook Ads.
Il Garante infatti “invita tutti i titolari del trattamento a verificare la conformità delle modalità di utilizzo di cookie e altri strumenti di tracciamento utilizzati sui propri siti web, con particolare attenzione a Google Analytics e ad altri servizi analoghi, con la normativa in materia di protezione dei dati personali” (ndr: dove per altri servizi analoghi s’intende che effettuano trasferimento in Usa e profilazione dell’utente)
Anche in questo caso, per poter individuare la soluzione tecnica migliore e compliant al caso, è necessario intraprendere dapprima un processo di studio per elaborare un piano di misurazione adeguato alle esigenze dell’azienda, che tenga conto delle campagne multicanale e dell’esigenza di misurarne l’efficacia. Hai necessità di un supporto per scegliere la soluzione migliore? Contattaci
Fonti:
Comunicato Stampa Garante Privacy – Google: stop all’uso degli Analytics.
Sole24Ore: Vietato l’uso di Google Analytics
Il caso Schrems II e lo Scudo per la Privacy
Sentenza SchremsII
Privacy Shield: Garante Privacy
Privacy Shield: Infografica del Garante
Privacyshield.gov
Sole24Ore: La Corte Ue blocca l’accordo con gli Usa sullo scambio di dati (Schrems I)
Sole24Ore: Che cos’è il “Safe Harbour”
Fonte Immagine:
Termly.io