Con un provvedimento che avrà importanti conseguenze e riflessi sull’operatività di moltissimi titolari del trattamento (consultabile al seguente link: Provvedimento 9 giugno 2022, docweb n. 9782890), il Garante Privacy ha dichiarato l’illiceità del trattamento dei dati personali degli utenti da parte di un titolare che utilizzava Google Analytics per analizzare il traffico relativo al proprio sito web.
Non si tratta di una novità assoluta (i Garanti di Austria e Francia già si erano pronunciati in auesto senso), ma la motivazione del provvedimento lascia poco spazio agli operatori per continuare ad utilizzare il popolare tool offerto gratuitamente da Google.
Le ragioni dell’illicietà del trattamento dei dati con Google Analytics
Sostanzialmente e sinteticamente, ciò che impedisce di ritenere conforme al GDPR il trattamento effettuato attraverso lo strumento di Google Analytics è il trasferimento dei dati negli Stati Uniti e la possibilità che tali dati sia resi accessibili alle Autorità USA, per motivi di sicurezza nazionale.
Utilizzando la definizione del Garante, “Google Analytics è uno strumento di web analytics fornito da Google ai gestori di siti internet che consente a questi ultimi di analizzare dettagliate statistiche sugli utenti nell’ottica di ottimizzare i servizi resi e di monitorare le proprie campagne di marketing“.
Peraltro, il software consente di scegliere se tenere traccia dell’intero indirizzo IP del navigatore, ovvero di troncare tale dato nell’ultimo ottetto, consentendo la raccolta dei dati in maniera anonimizzata “per il perseguimento di finalità meramente statistiche ovvero volte ad ottenere informazioni aggregate sull’attività degli utenti all’interno del proprio sito web“.
I dati sono raccolti “mediante cookies trasmessi al browser degli utenti, informazioni in ordine alle modalità di interazione di questi ultimi con il sito web, nonché con le singole pagine e con i servizi proposti. Più nel dettaglio, i dati raccolti consistono in: identificatori online unici che consentono sia l’identificazione del browser o del dispositivo dell’utente che visita il sito web, sia del gestore stesso del sito (attraverso l’ID account Google); indirizzo, nome del sito web e dati di navigazione; indirizzo IP del dispositivo utilizzato dall’utente; informazioni relative al browser, al sistema operativo, alla risoluzione dello schermo, alla lingua selezionata, nonché a data e ora della visita al sito web“.
Il problema nasce perché Google Ireland Limited, in qualità di responsabile del trattamento, effettua il trasferimento dei dati così raccolti in favore di Google LLC, con sede negli Stati Uniti.
Il Garante ricorda che la valutazione relativa alle circostanze del trasferimento dei dati personali, “come rilevato dal Comitato europeo per la protezione dei dati – di seguito “EDPB” (v. Raccomandazione n. 1/2020, cit., pag. 4), deve “concentrarsi innanzitutto sulla legislazione del paese terzo [e sulle prassi applicabili] rilevant[i] per il trasferimento [nonché] sullo strumento di trasferimento [individuato] ai sensi dell’articolo 46 del RGPD” al fine di verificare che la predetta legislazione e le suddette prassi non impediscano, di fatto, il rispetto, da parte dell’importatore, degli obblighi previsti dallo strumento utilizzato. Più nel dettaglio, la valutazione di cui sopra “comporta l’esigenza di determinare se il trasferimento in questione rientri o meno nell’ambito di applicazione della [sovra citata normativa]”. Essa deve “essere basata su fattori oggettivi, indipendentemente dalla probabilità di accesso ai dati personali” (v. Parere congiunto 2/2021 dell’EDPB e del GEPD sulla decisione di esecuzione della Commissione europea relativa alle clausole contrattuali tipo per il trasferimento di dati personali verso paesi terzi, adottato il 14 gennaio 2021, par. 86). Rilevano a tal fine le caratteristiche dello specifico trasferimento posto in essere quali: le finalità, la natura dei soggetti coinvolti, il settore in cui avviene il trasferimento, le categorie dei dati personali trasferiti, la circostanza che i dati siano conservati nel paese terzo o vi si acceda da remoto, il formato dei dati da trasferire e gli eventuali trasferimenti successivi (v. Raccomandazione n. 1/2020, cit., par. 33)“.
In definitiva, la “valutazione richiesta all’esportatore, dunque, deve concentrarsi sulla legislazione e sulle prassi applicabili, nel paese terzo, ai dati specificamente trasferiti e comportare la verifica della “possibilità o meno, per le autorità pubbliche del paese terzo (…) di tentare di accedere ai dati” nonché della “capacità o meno, per le autorità pubbliche del paese terzo (…) di accedere ai dati attraverso l’importatore stesso o attraverso i fornitori di telecomunicazioni o i canali di comunicazione” (v. Raccomandazione n. 1/2020, cit., par. 31)“.
Nel caso specifico, la legislazione statunitense è stata ritenuta inadeguata ad assicurare il livello di tutela dei dati personali assicurato dal GDPR (e dall’articolo 52, paragrafo 1, della Carta dei diritti fondamentali dell’Unione Europea), poiché il “Transparency report on United States national security requests for user information” consente alle Autorità di accedere anche a “non-content metadata” quali gli indirizzi IP (ed anche, ove disponili, all’indirizzo e-mail e al numero di telefono degli utenti).
Nemmeno l’abilitazione dell’opzione relativa al troncamento dell’indirizzo IP consente di ritenere lecito il trattamento dei dati con Google Analytics
Il Garante ha ribadito che “l’indirizzo IP costituisce un dato personale nella misura in cui consenta di identificare un dispositivo di comunicazione elettronica, rendendo pertanto indirettamente identificabile l’interessato in qualità di utente (v. Gruppo ex art. 29, WP 136 – Parere n. 4/2007 sul concetto di dati personali, del 20 giugno 2007, pag. 16). Tutto ciò soprattutto ove, come nel caso di specie, l’IP sia associato ad altre informazioni relative al browser utilizzato, alla data e all’ora della navigazione (cfr. considerando 30 del Regolamento)“.
Come anticipato, Google Analytics consente all’utente-titolare del trattamento che abiliti la relativa opzione di registrare solamente una parte dell’indirizzo IP, che viene sottoposto a troncamento con riguardo all’ultimo ottetto.
Ciò dovrebbe consentire l’anonimizzazione dei dati, poiché dall’indirizzo IP così troncato non sarebbe possibile risalire all’identità dello specifico utente.
Così conformata, la raccolta dei dati dovrebbe soddisfare l’esigenza di analisi del traffico del sito web senza invadere la sfera della riservatezza personale.
Tuttavia, il Garante ha evidenziato che nel caso specifico di Google Analytics il troncamento dell’indirizzo IP non consente una tale conclusione, cosicché la specifica opzione prevista dallo strumento in questione si rivela sostanzialmente inutile per tutelare i navigatori.
La motivazione del Garante è eloquente:
“Sul punto, merita sin d’ora evidenziare, tuttavia, che l’“IP-Anonymization” consiste di fatto in una pseudonimizzazione del dato relativo all’indirizzo di rete dell’utente, in quanto il troncamento dell’ultimo ottetto non impedisce a Google LLC di re-identificare l’utente medesimo, tenuto conto delle informazioni complessivamente detenute dalla stessa relative agli utenti del web. Sussiste, inoltre, in capo alla medesima Google LLC la possibilità −qualora l’interessato abbia effettuato l’accesso al proprio profilo Google− di associare l’indirizzo IP ad altre informazioni aggiuntive già in suo possesso (quali le informazioni contenute nell’account utente). Tale operazione, pertanto, nonostante l’attivazione dell’“IP-Anonymization”, consente comunque la possibile re-identificazione dell’utente”.
La re-identificazione dell’utente attraverso i dati dell’account Google al quale il visitatore abbia fatto accesso (sul punto, Google ha aggiornato il browser Chrome permettendo di associare diversi profili utente alle attività di navigazione), consente di associare all’indirizzo IP troncato una serie di dati personali di estrema rilevanza anche per le attività di marketing, quali ad esempio l’indirizzo email, il numero di telefono ed eventuali ulteriori dati personali tra cui il genere, la data di nascita o l’immagine del profilo.
Nemmeno l’adozione di misure di sicurezza supplementari, quali la cifratura dei dati oggetto del trasferimento negli Stati Uniti, mette al riparo il titolare
Il Garante ricorda, altresì. il principio secondo cui “Qualora a seguito della valutazione di cui sopra si rilevi che la legislazione e le prassi del paese terzo impediscano all’importatore di rispettare gli obblighi previsti dallo strumento di trasferimento prescelto, come constatato nel caso di specie, gli esportatori devono adottare misure supplementari che garantiscano un livello di protezione dei dati personali sostanzialmente equivalente a quello previsto dal Regolamento (cfr. Raccomandazione n. 1/2020, cit., paragrafi 50-57, che reca l’indicazione dei criteri ai fini dell’individuazione delle misure da adottare)“.
Tuttavia, secondo il Garante, nel caso di specie le misure supplementari adottate e/o adottabili dai titolari del trattamento non sarebbero sufficienti ad assicurare un adeguato livello di protezione dei dati personali.
Come noto, le misure di sicurezza possono avere natura tecnica e/o contrattuale-organizzativa.
Quanto alle seconde, il Garante ha esaminato le “misure contrattuali e organizzative consistenti nello specifico nell’impegno a:
verificare, ai sensi della normativa statunitense, la legittimità di ogni singola richiesta di accesso ai dati degli utenti oggetto di trasferimento da parte delle Autorità pubbliche, valutandone la proporzionalità; non accogliere la stessa ove, a seguito di un’attenta valutazione, si concluda che non sussistano i presupposti in base alla normativa di riferimento;
comunicare tempestivamente all’interessato le richieste di accesso provenienti dalle Autorità pubbliche statunitensi, salvo che tale comunicazione sia vietata dalla relativa normativa, informando ad ogni modo l’interessato qualora il divieto di cui sopra venga revocato;
pubblicare un “Transparency Report” recante una sintesi delle richieste di accesso ai dati ricevute da parte delle Autorità pubbliche statunitensi, nella misura in cui tale pubblicazione sia consentita dalla relativa normativa;
pubblicare la policy di gestione delle richieste di accesso ai dati degli utenti oggetto di trasferimento da parte delle Autorità pubbliche statunitensi”.
Tali misure contrattuali e organizzative non sono state ritenute sufficienti dal Garante, poiché ad esse non corrispondono garanzie adeguate dal punto di vista tecnico.
“In merito infatti si rileva che, come considerato dall’EDPB, in assenza di misure tecniche idonee –circostanza accertata nel caso di specie– le misure contrattuali e organizzative sopra indicate, di per sé, non possono ridurre o impedire le possibilità di accesso ai dati oggetto di trasferimento da parte delle Autorità statunitensi (cfr. Raccomandazione 1/2020, cit., par. 53)“.
La motivazione con la quale le misure tecniche adottate non sono state ritenute idonee è stringente.
Infatti, il Garante ha ritenuto che persino l’adozione di meccanismi di cifratura dei dati non metta al riparo i deiritti degli interessati, poiché le chiavi per decifrare i dati trasmessi sono conservate da Google, il quale è comunque tenuto alla luce della legislazione estera a consentire l’accesso alle Autorità statunitensi, non solamente ai dati, ma anche alle relative chiavi di cifratura.
Infatti, “le misure di natura tecnica consistono nell’adozione di meccanismi di cifratura dei dati, durante il trasferimento fra sistemi (in transit) e quando sono memorizzati nei sistemi (at rest).
La cifratura in transito è adottata ove i dati siano trasferiti fra diversi sistemi, servizi o data center attraverso reti o infrastrutture non controllate dalla Società (es.: reti geografiche).
La cifratura at rest riguarda invece i dati dell’utente che sono memorizzati su unità disco o in unità di backup e si basa sulla cifratura dei dati mediante algoritmi standard (in genere tramite AES256) e sulla cifratura, a diversi livelli, a partire dalla cifratura a livello hardware, in base al tipo di applicazione e ai rischi specifici. L’accesso ai data center di Google LLC è protetto da 6 livelli di misure di sicurezza fisica.
In merito, si evidenzia che, tenuto conto delle indicazioni rese dall’EDPB nella Raccomandazione n. 1/2020, le misure tecniche summenzionate non risultano adeguate.
In ordine ai meccanismi di cifratura dei dati sopra evidenziati, esse, infatti, non sono sufficienti ad evitare i rischi di un accesso, ai fini di sicurezza nazionale, ai dati trasferiti dall’Unione europea da parte delle Autorità pubbliche degli Stati Uniti, in quanto le tecniche di cifratura adottate prevedono che la disponibilità della chiave di cifratura sia in capo a Google LLC che la detiene, in qualità di importatore, in virtù della necessità di disporre dei dati in chiaro per effettuare elaborazioni e fornire servizi. Merita inoltre evidenziare che l’obbligo di consentire l’accesso, da parte delle Autorità statunitensi, ricade su Google LLC non solo con riferimento ai dati personali importati, ma anche in ordine alle eventuali chiavi crittografiche necessarie per renderli intelligibili (v. anche Raccomandazione 1/2020, cit., par. 81).
Da ciò ne consegue che, fintanto che la chiave di cifratura rimanga nella disponibilità dell’importatore, le misure adottate non possono ritenersi adeguate (v. Raccomandazione 1/2020, cit., par. 95).
Alla luce di quanto complessivamente sopra rappresentato, pertanto, le misure supplementari adottate nel caso di specie non possono considerarsi adeguate con conseguenziale illiceità, ai sensi dell’art. 44 e dell’art. 46 del Regolamento, dei relativi trasferimenti di dati personali verso gli Stati Uniti”.
La necessità di adeguare il trattamento dei dati relativi all’analisi del traffico web nel termine di 90 giorni
Con il provvedimento in esame, il Garante ha ingiunto al titolare del trattamento ai sensi dell’art. 58, par. 2, lett. d), del GDPR “di conformare al Capo V del Regolamento entro il termine di novanta giorni dalla notifica del presente provvedimento, il trattamento di dati personali degli utenti… effettuato per il tramite di Google Analytics, adottando misure supplementari adeguate“.
Inoltre. il Garante ha richiesto al titolare del trattamento “di comunicare quali iniziative siano state intraprese al fine di dare attuazione a quanto disposto nel presente provvedimento e di fornire comunque riscontro adeguatamente documentato, entro il termine di novanta giorni dalla data della notifica della presente decisione“, sotto pena di eventuali sanzioni amministrative pecuniarie ai sensi dell’art. 83, par. 5, lett. e) del GDPR.
Nel stampa pubblicato sul sito del Garante lo scorso 23 giugno, il Garante ha chiarito che “Allo scadere del termine di 90 giorni assegnato alla società destinataria del provvedimento, il Garante procederà, anche sulla base di specifiche attività ispettive, a verificare la conformità al Regolamento Ue dei trasferimenti di dati effettuati dai titolari“.
Pertanto, è evidente che tutte le aziende ed i titolari del trattamento che facciano uso di Google Analytics dovranno intraprendere un percorso di compliance con il provvedimento del Garante, al fine di evitare l’esito negativo di eventuali ispezioni disposte dopo la scadenza del suddetto termine nei confronti di altri titolari del trattamento.
Avv. Emanuele Nati
