Il Garante privacy italiano contro Google Analytics: illecito il trasferimento dei dati, anche se anonimizzati

25/06/2022

In data 23 giugno 2022 l’Autorità Garante per la protezione dei dati personali ha pubblicato sul proprio sito internet un commento ad un provvedimento di condanna e ingiunzione nei confronti di un’azienda responsabile dell’illecito trattamento dei dati personali degli utenti del proprio sito web aziendale per il tramite di Google Analytics.

Come noto, Google Analytics è uno strumento di web analytics utilizzato per ottenere dettagliate statistiche sugli utenti che visitano il sito internet sul quale lo strumento è installato. In base a quanto dichiarato dalla stessa Google, la società irlandese tratta i dati ricavati dall’utilizzo dei cookie in qualità di Responsabile del trattamento e si avvale della società statunitense quale sub Responsabile, con ciò dichiarando un trasferimento di dati verso gli Stati Uniti.

Va rammentato che la normativa europea a protezione dei dati personali definisce un confine di sicurezza per la libera circolazione dei dati personali coincidente con i Paesi dello Spazio Economico Europeo (“SEE”); il trasferimento verso Paesi terzi è soggetto a rigorosi vincoli, a cui fanno eccezione solo quegli ordinamenti il cui apparato normativo è stato oggetto di una valutazione di adeguatezza dalla Commissione Europea. L’ordinamento USA è ritenuto non adeguato e gli accordi bilaterali tra USA e UE sottoscritti negli anni (Safe Harbour prima, Privacy Shield poi) sono stati sistematicamente invalidati dalla Corte di Giustizia Europea. Ad avviso del Garante, il trasferimento di dati verso gli USA effettuato da Google non rispetta i rigorosi vincoli cui si è fatto cenno ed è pertanto illecito.

Il tema della liceità di tali trasferimenti, con particolare riferimento agli strumenti di Google Analytics, è già stato trattato sia dalla Autority austriaca, sia da quella francese (“CNIL”).

In ordine alla posizione del Garante italiano, questa può essere così schematicamente riassunta:

  1. È illecito il trasferimento dei dati effettuato con i Google Analytics. Sul punto, l’Autorità sostiene che le misure di sicurezza adottate da Google LLC “non sono sufficienti ad evitare i rischi di un accesso, ai fini di sicurezza nazionale, ai dati trasferiti dall’Unione europea da parte delle Autorità pubbliche degli Stati Uniti, in quanto le tecniche di cifratura adottate prevedono che la disponibilità della chiave di cifratura sia in capo a Google LLC che la detiene, in qualità di importatore, in virtù della necessità di disporre dei dati in chiaro per effettuare elaborazioni e fornire servizi. Merita inoltre evidenziare che l’obbligo di consentire l’accesso, da parte delle Autorità statunitensi, ricade su Google LLC non solo con riferimento ai dati personali importati, ma anche in ordine alle eventuali chiavi crittografiche necessarie per renderli intelligibili […]. Da ciò ne consegue che, fintanto che la chiave di cifratura rimanga nella disponibilità dell’importatore, le misure adottate non possono ritenersi adeguate.”
  2. La funzione di anonimizzazione non è una misura di sicurezza sufficiente. Il Garante italiano ha infatti sostenuto che “l’”IP-Anonymization” consiste di fatto in una pseudonimizzazione del dato relativo all’indirizzo di rete dell’utente, in quanto il troncamento dell’ultimo ottetto non impedisce a Google LLC di re-identificare l’utente medesimo, tenuto conto delle informazioni complessivamente detenute dalla stessa relative agli utenti del web. Sussiste, inoltre, in capo alla medesima Google LLC la possibilità −qualora l’interessato abbia effettuato l’accesso al proprio profilo Google− di associare l’indirizzo IP ad altre informazioni aggiuntive già in suo possesso (quali le informazioni contenute nell’account utente). Tale operazione, pertanto, nonostante l’attivazione dell’“IP-Anonymization”, consente comunque la possibile re-identificazione dell’utente.”

La decisione in commento è particolarmente rilevante, considerato che gli strumenti offerti da Google Analytics sono utilizzati da un notevole numero di gestori di siti web e che in Europa, di fatto, non esistono servizi che garantiscano le medesime prestazioni.

Va però segnalato che Google ha nel frattempo rilasciato i Google Analytics 4, una versione aggiornata che opererebbe l’eliminazione degli indirizzi IP su server posti in Unione Europea, prima di inviare i dati di traffico ai server statunitensi. Tale soluzione, unitamente ad una maggiore configurabilità da parte del gestore del sito, garantirebbe – secondo quanto dichiarato da Google – la possibilità di escludere il trasferimento di dati personali verso gli USA.

Occorrerà attendere i primi procedimenti dinnanzi alle authority privacy europee per comprendere se l’aggiornamento ai nuovi Google Analytics 4 sarà percepita come misura risolutiva ed impeditiva di trasferimenti di dati personali verso gli USA; qualche dubbio appare legittimo, osservando che il Garante italiano considera la possibilità da parte di Google di re-identificare l’utente tenuto conto delle informazioni complessivamente detenute dalla stessa, soprattutto qualora l’interessato abbia effettuato l’accesso al proprio profilo Google. Il tutto, a voler tacere degli effetti del Cloud Act americano, già preso in seria considerazione in sede europea.

Nell’esaminare la fattispecie in commento, il Garante italiano non si è espresso sulla nuova versione “4”, ha svolto un’analisi approfondita del caso ma non è stato altrettanto risoluto nel consigliare possibili alternative.

Il già citato CNIL, di contro, ha suggerito la possibilità, per il Titolare del trattamento, di utilizzare un server proxy che svolga il ruolo di “intermediario” tra il terminale dell’interessato e i server di Google e che, attraverso specifiche funzionalità, sia in grado di limitare i dati trasferiti.

Dal punto di vista dell’Autority francese, sarà implicito onere del Titolare adottare un server proxy che rispetti il Regolamento (UE) 2016/679 sulla protezione dei dati (“GDPR”), anche in considerazione del ruolo di Responsabile del trattamento ex art. 28 GDPR che il fornitore del proxy assumerebbe.

In termini operativi, tutti coloro che sia avvalgono dei Google Analytics devono assumere una decisione: eliminarli, oppure migrare alla versione “4” con uno studio particolarmente scrupoloso sulla configurazione – senza alcuna garanzia di valutazione di conformità – oppure esplorare il mercato per individuare efficaci soluzioni nell’ambito del perimetro europeo, oppure ancora valutare la fattibilità della soluzione ipotizzata dal CNIL. Una valutazione che non potrà non considerare il grado di effettivo utilizzo dei dati ricavati dall’uso dei cookie in commento.

Rimanere inerti espone al rischio di sanzioni, pur considerando la possibilità di impugnazione dinnanzi al giudice ordinario di un eventuale provvedimento di condanna e ingiunzione dell’Autorità Garante. 

Torna alle news