Tempo di lettura stimato: 3'
I Titolari che sul proprio sito web utilizzano il servizio Google Analytics (GA), senza le garanzie previste dal Regolamento UE, violano la normativa sulla protezione dei dati in riferimento al trasferimento negli Stati Uniti, paese privo di un adeguato livello di protezione, dei dati degli utenti. È questo quanto affermato dal Garante per la privacy nel provvedimento che ha destato scalpore in questi ultimi giorni.
Perché questo provvedimento non ci dice nulla di nuovo?
Come già sappiamo, a seguito dell’invalidità del Privacy Shield, il trasferimento dei dati negli Stati Uniti è possibile solo se sono assicurate misure adeguate alla protezione dei dati o se è stato dato previo consenso da parte dell’interessato, così come stabilito dalle linee guida del Garante (EDPB).
Nel caso riguardante Caffeina Media srl l’autorità ha stabilito che il trasferimento extra UE violava i principi del GDPR, addossando al titolare la colpa di non essersi assicurato che il responsabile esterno adottasse tutte le misure idonee ad assicurare la sicurezza dei dati trasferiti. Va precisato che non è Google Analytics in generale l'oggetto dell'indagine ma la possibilità da parte della versione utilizzata in quel momento di raccogliere e trasferire dati personali, come l'IP, verso gli Stati Uniti, anche nel momento in cui si attivi la funzione IP-Anonymization.
Chiaramente, l’obbligo di vigilare sulla sicurezza del trasferimento grava su coloro ai quali è riconosciuta la titolarità dei dati raccolti, ovvero nei confronti di coloro che hanno la disponibilità dei dati non anonimizzati e che definiscono le finalità del trattamento. Per tutti i casi in cui, invece, Google opera in veste di Terza parte su un sito, sul Titolare ricade esclusivamente l’obbligo di dichiararlo all’interno della propria informativa estesa.
Purtroppo nei Termini di utilizzo del servizio Analytics di Google la stessa si dichiara Responsabile al trattamento, va da sé quindi che l’obbligo di vigilare ricada in capo al titolare.
Pseudo-anonimizzazione dei dati di Google Analytics
Google Analytics, nelle sue versioni meno recenti, aveva introdotto lo strumento chiamato impropriamente “IP-Anonymization” per ovviare alle problematiche derivanti dal GDPR. Tuttavia, seppur oscurando l’ottetto meno significativo dell’indirizzo IP dell’utente, rendendolo virtualmente anonimo, lo strumento non risultava essere ancora sufficiente per raggiungere il suo scopo. Il Garante ha infatti detto che, anche se l’azienda ammonita avesse attivato questa opzione, cosa che non ha fatto, questo comportamento non sarebbe stato sufficiente per garantire l’anonimizzazione dei dati raccolti.
Il problema sostanziale è che questa funzione non consente un’effettiva anonimizzazione delle informazioni, ma una sua mera pseudo-anonimizzazione. Il troncamento dell’ultimo ottetto, infatti, non impedisce a Google LLC di re-identificare l’utente medesimo, tenuto conto delle informazioni complessivamente detenute dalla stessa relative agli utenti del web.
Questa precisazione di fatto smentisce in parte ed ingarbuglia le indicazioni date dall’Autorità stessa su come poter anonimizzare gli indirizzi IP indicate nelle linee guida pubblicate il 9 Luglio 2021.
Il problema non è Google Analytics, ma come usarlo a norma
Sulla base di quanto premesso, i principi stabiliti dalla normativa vigente in materia di protezione dei dati personali e dalle linee guida del garante in termini di trasferimento dei dati rimangono pienamente validi: qualora lo strumento di Analitycs, ad esempio l’ultima versione GA4, fosse in grado di rendere possibile la completa anonimizzazione dei dati e la loro visualizzazione in forma aggregata, che impedisca anche al fornitore stesso del servizio di ricollegarli all’utente, il problema verrebbe meno.
In più, a tutela del Titolare del trattamento, gli strumenti utilizzati per la gestione dei cookies sul proprio sito web dovrebbero permettere all’utente di gestire i consensi in modo separato, dandogli la possibilità di esplicitare il consenso specifico al trasferimento dei propri dati al di fuori dell’UE, come fa ad esempio Elmo, il nuovo tool di PrivacyLab.
Partendo da questi presupposti, il trasferimento non è sempre vietato. Resta la possibilità, da parte dei Titolari, di trasferire i dati raccolti in paesi Extra Ue, anche per finalità di marketing e profilazione, qualora il trattamento sia supportato da idonee garanzie o da un consenso specifico dell’interessato.
Tirando le fila del discorso si potrebbe dire quindi che le mancanze dell’azienda ammonita sono state sicuramente molteplici e di diversa natura, come la dichiarazione di titolarità e la scelta di utilizzare una versione gratuita e non aggiornata di Google Analytics, mancanze che hanno portato le autorità ad intervenire. Allo stesso modo, però, si potrebbe affermare che la posizione assunta dal Garante privacy italiano non intende attaccare in modo assoluto l’utilizzo dello strumento di analytics, ma ne richiede un utilizzo conforme al GDPR.
RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.
