GOOGLE ANALYTICS SARA’ VIETATO?
Con la presente newsletter cerchiamo di fare chiarezza, per quanto possibile, in merito alla ormai annosa questione inerente la possibilità per i gestori di siti web italiani di utilizzare Google Analytics, tornata di grande attualità in seguito alla comunicazione del Garante Privacy del 23 giugno 2022[1], con la quale l’Autorità ha affermato – o meglio ribadito – l’illiceità dei trasferimenti di dati effettuati verso gli Stati Uniti, senza adeguate garanzie, attraverso cookie analitici e altri strumenti analoghi.
La normativa attuale
Ricordiamo anzitutto che dopo lo smantellamento del c.d. “Privacy Sheild”, l’accordo stretto tra Unione Europea e Stati Uniti ai sensi dell’art. 45 GDPR, è possibile inviare informazioni personali oltreoceano solamente qualora siano offerte garanzie adeguate dal titolare del trattamento (art. 46 GDPR) o ricorrano le deroghe elencate dall’art. 49 del GDPR. In proposito sono intervenute le Raccomandazioni 1/2020 dell’EDPB[2], le quali chiariscono che è responsabilità del titolare controllare che il fornitore di servizi offra misure di sicurezza adeguate e, in mancanza, provvedere a adottare ulteriori misure in prima persona.
La posizione del Garante
Google non dà garanzie adeguate: il Garante lo conferma a chiare lettere nel provvedimento n. 224 del 9 giugno 2022[3], ripreso nella comunicazione citata in apertura, con cui il collegio ha ingiunto ad una società di informazione di conformare l’utilizzo sul proprio sito di Google Analytics, entro 90 giorni, alle previsioni del GDPR. Il colosso americano – afferma il Garante – trasferisce dati su server statunitensi e adotta dei meccanismi di cifratura dei dati che non sono sufficienti ad evitare i rischi di un accesso agli stessi da parte delle autorità governative locali. Peraltro, con particolare riguardo alle misure di protezione adottabili, viene ribadito che il troncamento dell’IP, funzionalità offerta da Google ai gestori dei siti web, non rende l’IP stesso un dato anonimo, in quanto la big tech ha la capacità di arricchirlo con altri dati di cui è in possesso.
Alla luce dell’inequivocabile posizione del Garante italiano, pienamente in linea con quella di altre autorità di protezione europee, come quella francese e austriaca, è inevitabile chiedersi se sia ancora possibile utilizzare Google Analytics su siti italiani. La risposta è affermativa, tuttavia ad oggi sembrano essere solamente due le possibili soluzioni per usarlo in modo lecito, entrambe di difficile attuazione, come si dirà nei paragrafi che seguono.
L’adozione di ulteriori misure di sicurezza e le novità di Google Analytics 4
Sicuramente è possibile usare Analytics, nonché altri strumenti di tracciamento che trasferiscono dati in paesi terzi, nel caso in cui il titolare sia in grado di adottare delle misure di sicurezza adeguate ai sensi dell’art. 46 del GDPR; tuttavia risulta veramente difficile per il gestore di un sito web individuare quali strumenti possano mettere in sicurezza le informazioni personali e soprattutto implementare tali strumenti parallelamente all’utilizzo dei pacchetti “standard” di cookie analitici offerti da Google.
In tale ottica è fondamentale ricordare che il 16 marzo 2022 Google ha lanciato Google Analytics 4 e ha annunciato che la terza versione di Analytics, utilizzata dal destinatario del provvedimento del Garante del 9 giugno e da tantissimi gestori di siti web, verrà ritirata dal mercato dal 1° luglio 2023. “GA4” è stato progettato, a detta del Direttore di Analytics Russel Ketchum, ponendo la privacy al centro, e in effetti una grande novità c’è: gli IP degli utenti non vengono più registrati, né archiviati[4]. Inoltre, aumentano le funzioni previste di default che l’amministratore del singolo account può disattivare, in linea con il principio di accountability del titolare, cardine del GDPR.
Non si registrano ad oggi dei pareri sulla quarta versione di Analytics da parte del Garante; Guido Scorza, componente del collegio, il 24 giugno ha affermato che sarà fondamentale capire “se la quantità di dati personali, che comunque anche con questa nuova versione passeranno da una parte all’altra, sarà tale da dichiarare risolto il problema o no”.
La richiesta del consenso dell’interessato
Un’altra strada percorribile dai titolari è senz’altro quella di chiedere il consenso al trasferimento dei dati oltreoceano all’interessato ai sensi dell’art. 49, comma 1, lettera a), rendendo lecito tale trasferimento. Anche questa via incontra degli ostacoli non indifferenti.
Le Linee guida 2/2018 sulle deroghe di cui all’articolo 49 del regolamento 2016/679 dell’EDPB[5] ribadiscono che il consenso deve essere esplicito, specifico per il trasferimento di dati in questione e informato, con particolare riguardo ai possibili rischi per l’interessato. L’EDPB precisa che l’avviso agli utenti, pur potendo essere standardizzato, deve includere informazioni circa l’inadeguatezza del livello di protezione dei dati nello stato destinatario, e ricorda che il consenso può essere sempre revocato.
Non è ipotizzabile, dunque, che un trasferimento di dati “non sicuro” possa essere autorizzato dall’interessato attraverso il banner generico per la gestione delle preferenze sui cookie, normalmente usato dai siti web, che presenta anche un pulsante “Accetta tutto”; è invece necessario che il consenso venga chiesto singolarmente, fornendo le dovute informazioni, rendendo questa soluzione di difficile implementazione (ma comunque possibile).
La necessità di un accordo tra Unione Europea e USA
Il contrasto evidente tra la restrittività della normativa europea, disegnata sul principio di responsabilizzazione del titolare, e gli alti rischi presenti panorama americano, dall’enorme quantità di dati trattata da Google agli ingerenti poteri delle Autorità pubbliche, rende non solo auspicabile, ma anche piuttosto urgente, la stipula di un nuovo accordo politico, peraltro già annunciato lo scorso 25 marzo dal Presidente degli Stati Uniti Biden e dalla Presidente della Commissione Europea von der Leyen.
Ad oggi non è stato ancora stipulato un accordo giuridicamente vincolante; la speranza del Garante è che intervenga nei prossimi 90 giorni. In caso contrario, afferma Scorza, “si configura lo scenario peggiore: il moltiplicarsi di provvedimenti di blocco in relazione ai quali poco si potrà fare”.
Conclusioni
Lo scenario attuale si presenta davvero incerto, sia nella difficoltà per i gestori di siti web di implementare misure di sicurezza o richieste di consenso che siano adeguate e sostenibili dal punto di vista pratico, sia nell’assenza di tempi certi in merito alla conclusione di un nuovo accordo intercontinentale risolutivo.
Poiché al titolare spetta comunque la responsabilità di proteggere i dati, la scelta senz’altro più tutelante è quella di rivolgersi a fornitori di cookie analitici europei, o che conservino i dati degli interessati solamente in server collocati in Europa.
Quanto a Google Analytics, sicuramente l’utilizzo della nuova versione “4” dà più possibilità al gestore del sito web di controllare l’ingerenza delle varie funzionalità, tuttavia non c’è ancora alcuna rassicurazione del Garante in merito all’utilizzo lecito dello stesso. L’uso della versione precedente, diffusissimo, dovrà essere senz’altro accompagnato da misure di protezioni ulteriori o da un’appropriata richiesta del consenso.
Il 9 settembre scadranno i 90 giorni che il Garante Privacy ha dato alla società destinataria del provvedimento n. 224: il giudizio dell’autorità di controllo circa le misure correttive operate dalla società ingiunta darà qualche indicazione in più circa le soluzioni attuabili dai tanti gestori di siti web che usano Google Analytics o servizi assimilabili, che dovranno essere implementate in tempi rapidi, qualora non siano ancora pervenute notizie certe circa la stipula di un nuovo accordo UE-USA.
[1] https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9782874
[2] https://edpb.europa.eu/our-work-tools/documents/public-consultations/2020/recommendations-012020-measures-supplement_it
[3] https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9782890
[4] https://support.google.com/analytics/answer/2763052?hl=it#:~:text=riportata%20di%20seguito.-,Approfondimento,utenti%20all’interno%20del%20prodotto.
[5] https://edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_2_2018_derogations_it.pdf