Google Analytics e GDPR: il Garante per la Privacy boccia Big G. Cosa sta succedendo in Europa

Il Garante per la privacy italiano ha stabilito l’illegittimità del trasferimento di dati da parte di Google Analytics al di fuori dall’Unione europea. Il motivo, ormai sotto gli occhi di tutti, è la violazione del GDPR. Proviamo a fare ordine ripercorrendo i fatti salienti che hanno portato al caso italiano. Google Analytics e GDPR: l’udienza è tolta. Neanche Big G può sottrarsi alla scure del Garante per la Privacy. Google, come altri, è stata più volte richiamata e sanzionata per la disinvoltura dimostrata nella gestione dei dati dei propri utenti. La sentenza del Garante per la Privacy italiano arriva a fronte di altre sentenze analoghe emanate nei paesi limitrofi di Francia e Austria. Cosa ha spinto l’autorità italiana a emettere il suo verdetto? Scopriamolo insieme.

Google Analytics e GDPR: Stop alla circolazione dei dati personali tra UE e USA

Stavolta è toccato al nostro Garante della Privacy bacchettare Google Analytics. Era inevitabile. L’Autorità ritiene il trasferimento dei dati in USA come illegittimo. Decisione che arriva a fronte di un’istruttoria complessa che ha visto avvicendarsi numerosi reclami e che si è svolta in coordinamento con le altre autorità europee.

L’indagine del Garante

Tutto, infatti, parte dall’indagine che ha fatto emergere un dato inequivocabile. I gestori dei portali web che utilizzano Google Analytics raccolgono, tramite cookie, molteplici informazioni che riguardano i fruitori dei siti in esame. Bene: tra i dati raccolti vi sono l’indirizzo IP dei dispositivi, informazioni circa il browser e il sistema operativo utilizzati dagli utenti, risoluzione dello schermo, lingua selezionata, data e ora della visita.  Insomma: Google Analytics scandaglia gli utenti con attenzione certosina. Questa stessa attenzione, però, non viene adottata nella gestione dei dati stessi. Le informazioni raccolte, infatti, vengono trasferite negli Stati Uniti dove gli utenti non hanno diritto alle tutele previste dal GDPR (Regolamento Ue 2016/679). Trasferimento esplicitamente vietato, dal regolamento di emanazione europea, verso quei paesi che non garantiscono livelli di protezione dei dati pari o superiori a quelle previsti in Europa. Viene così abbattuto il Privacy Shield previsto nell’export dei dati da UE a USA.

Garante per la privacy ammonisce Caffeina Media

L’indagine mossa dal Garante ha come oggetto il reclamo mosso da un utente nell’agosto del 2020 nei confronti di Caffeina Media S.r.l. Il Garante ha, dunque accertato il trasferimento di dati personali negli Stati Uniti, luogo in cui la protezione dei dati non è adeguata ai livelli di allerta previsti dal GDPR. Da qui è stata rilevata la violazione. In particolare, il Garante per la Privacy, ha indicato nell’ammonimento, che “I trasferimenti effettuati da Caffeina Media S.r.l. verso Google LLC (con sede negli Stati Uniti), per il tramite dello strumento di Google Analytics, sono stati posti in essere in violazione degli artt. 44 e 46 del Regolamento; si rileva, altresì, che sono emerse le violazioni dell’art. 5, par. 1, lett. a) e par. 2, dell’art. 13, par. 1, lett. f), e dell’art. 24, del Regolamento”.

L’anonimato dell’IP non garantisce sicurezza

Il Garante ha rilevato che Caffeina Media ha utilizzato la versione gratuita di Analytics, per fini statistici – cioè capire le attività degli utenti sul sito. Sebbene la società ammonita abbia dichiarato di non aver attivato la funzione di IP anonymization, che consente di oscurare parzialmente l’indirizzo IP dell’utente verso Google, il Garante ha sottolineato come anche l’anonimato parziale dell’IP non garantisca protezione. Questo perché, come afferma il Garante, Google potrebbe arricchirlo con altre informazioni. Il cartellino giallo vale non solo per Caffeina Media Srl ma per tutti i gestori italiani di siti web. Nessuna sanzione ma l’obbligo entro 90 giorni di verificare la conformità delle modalità di utilizzo di cookie e altri strumenti di tracciamento utilizzati sui propri siti. Pena sanzioni severe.

Google Analytics e trasferimento illegittimo dei dati in USA: le posizioni di Austria e Francia

Il provvedimento del Garante, ribadisce le interpretazioni già elaborate dai garanti dell’Austria e della Francia dopo il crollo del Privacy Shield in seguito alla sentenza della Corte di Giustizia UE del 2020. Tutto, infatti, ha inizio con la Sentenza Schrems II, frutto di poderose rimostranze mosse da Max Schrems, noto attivista austriaco da cui prende il nome la sentenza citata. Con provvedimento datato 22 dicembre 2021, reso pubblico il 14 gennaio 2022, l’Autorità Garante austriaca (“Datenschutzbehörde” or “DSB”) ha sanzionato il titolare di un sito web (più specificatamente un portale dedicato alla divulgazione su temi sanitari) per l’utilizzo di Google Analytics, che avrebbe violato le norme del regolamento GDPR. 

Google Analytics bocciato in Austria

Il ricorrente proponeva ricorso in data 18 agosto 2020. Riferendosi alla sentenza della Corte europea di giustizia del 16 luglio 2020, caso C-311/18 (“Schrems II”), secondo il ricorrente i convenuti, ossia il titolare del sito web e Google, non avrebbero più potuto basarsi sulla decisione di adeguatezza “Privacy Shield” per giustificare un trasferimento di dati verso gli USA. Il titolare ricorreva a Google Analytics e, in particolare, alla versione gratuita per generare valutazioni statistiche sul comportamento dei visitatori del sito web. Lo stesso, inoltre, aveva approvato i relativi termini e condizioni d’utilizzo, oltre ad aver concluso con Google le clausole contrattuali standard relative al trattamento dei dati personali ed il relativo contratto di nomina a responsabile del trattamento, in conformità all’art. 28 del GDPR (“processor agreement”).

L’anonimizzazione degli IP non garantisce sicurezza

Il trattamento, ricostruito nel dettaglio dalla DSB, avrebbe avuto luogo prevalentemente in data center situati in Europa, ma anche su server al di fuori dello Spazio Economico Europeo (SEE). Il titolare avrebbe istruito il responsabile ad anonimizzare gli indirizzi IP degli utenti, prima di procedere alla relativa conservazione ed eventuale trasmissione. Tuttavia l’anonimizzazione degli indirizzi IP inizialmente non sarebbe stata configurata correttamente proprio dal titolare stesso. Inoltre, come ricostruito dal garante austriaco, i convenuti avrebbero anche adottato ulteriori misure contrattuali, organizzative e tecniche per la protezione dei dati personali (inclusa la crittografia), al fine di ridurre il rischio di esposizione degli stessi alle agenzie di intelligence statunitensi. Nonostante questo si è resa necessaria la decisione adottata dal Garante e, quindi, l’intimazione all’adeguamento al GDPR.

Il J’Accuse della Francia a Google Analytics

A distanza di poco più di due settimane dalla decisione austriaca anche il CNIL Autorità Garante per la protezione dei dati personali francese, il 10 febbraio 2022, adotta lo stesso provvedimento intimando un sito francese – a fronte di 101 reclami – di conformarsi al regolamento UE. La decisione francese, tra l’altro, segue di pochi giorni la polemica innescata proprio sul tema privacy da Meta. La holding di Facebook ha paventato uno scenario ipotetico di chiusura delle sue attività in Europa in assenza di regole chiare sulla gestione dei flussi di dati.

L’istruttoria francese

La CNIL, dopo un’approfondita istruttoria, ha concluso che i trasferimenti oltre oceano dei dati non garantiscono adeguata sicurezza esponendo, di fatto, i cittadini francesi a rischi potenziali. Pertanto il Garante francese ha dichiarato che il trasferimento dei dati può avvenire in Paesi extra UE solo se sono previste garanzie adeguate. La CNIL ha rilevato che i dati degli utenti di Internet vengono trasferiti negli USA violando, di fatto, gli articoli 44 e seguenti del GDPR. Il Garante francese ha intimato a Google Analytics di conformarsi entro un mese a quanto stabilito dal GDPR. Per quanto riguarda i servizi di misurazione e analisi dell’audience dei siti web, la CNIL ha raccomandato che questi strumenti siano utilizzati solo per produrre dati statistici anonimi, consentendo così un’esenzione dal consenso dell’interessato soltanto se il motore di ricerca garantisca che non vi siano trasferimenti illeciti.

Nuovi scenari per Google Analytics? Un dibattito destinato a rimanere acceso

È facile prevedere come la pronuncia della DSB riaccenderà un dibattito – già caldo – sull’irrisolto tema del trasferimento internazionale dei dati personali verso Paesi terzi che non possano offrire tutele analoghe a quelle accordate in UE. Quali saranno i nuovi scenari? Si è parlato a partire da marzo 2022 di Google Analytics 4 che farebbe a meno dell’identificazione degli IP dell’utente. Nella disamina affrontata anche dal concorrente Matomo pare non vi sia soluzione di sorta nella trasmissione di dati verso gli USA. Le criticità rimangono, sebbene non vi sia trasmissione di IP i dati possono essere inviati anche tramite gli script e l’uso di identificatori vari. Il problema, quindi, rimane e gli scenari possibili per una conciliazione tra Google Analytics e GDPR sono ancora distanti e difficili da intravedere. LEGGI ANCHE: Ecco cosa dice il Garante: no, non basta utilizzare Google Analytics 4 per essere in regola