Comunicato stampa diffuso in data 23 giugno 2022 dal Garante per la protezione dei dati personali

Nel comunicato stampa diffuso in data 23 giugno 2022 dal Garante per la protezione dei dati personali, si legge: Google: Garante privacy stop all’uso degli Analytics. Dati trasferiti negli Usa senza adeguate garanzie.

Il caso portato all’attenzione del Garante Privacy Italiano ed oggetto del provvedimento n. 224 del 9 giugno 2022, muove da un reclamo presentato ai sensi dell’articolo 77 GDPR nei confronti di una società che gestisce un sito web e che, utilizzando Google Analytics, ha effettuato un trattamento illecito consistito nel trasferimento dei dati personali negli Usa, Paese privo di idonei standard di sicurezza.

Nel seguito ci si propone di illustrare il caso e di dare alcune prime e provvisorie indicazioni ai soggetti titolari del trattamento che, a seguito dell’adozione del provvedimento del Garante, si chiedono se sia legittimo continuare ad utilizzare il servizio di Google Analytics.

Che cosa è Google Analytics

Google Analytics è uno strumento di web analytics fornito da Google ai gestori di siti internet che consente a questi ultimi di analizzare dettagliate statistiche sugli utenti nell’ottica di ottimizzare i servizi resi e di monitorare le proprie campagne di marketing.

GA, fa parte di una gamma di strumenti forniti da Google che includono Google Search Console e Google Tag Manager.

A seconda delle impostazioni, Google Analytics, consente di monitorare:

  • il numero di visitatori del sito web;
  • il luogo da cui si collegano i visitatori del sito web;
  • la durata di ogni collegamento al sito;
  • il comportamento del visitatore del sito.

Criticità nell’utilizzo di Google Analytics

Le criticità legate all’utilizzo di Google Analytics, a seguito delle quali, nel corso dei primi mesi dell’anno 2022, si sono moltiplicate le segnalazioni degli utenti alle varie Autorità Garanti europee, sono riconducibili:

  1. al fatto che il gestore del sito web che si avvale di Google Analytics, effettua il trattamento dei dati personali degli utenti; in particolare, Google Analytics, mediante cookies trasmessi al browser degli utenti, può raccogliere informazioni in ordine alle modalità di interazione degli utenti con il sito web, nonché con le singole pagine e con i servizi proposti. Più nel dettaglio, i dati raccolti che tramite Google Analytics possono essere raccolti, consistono in: identificatori online unici che consentono sia l’identificazione del browser o del dispositivo dell’utente che visita il sito web, sia del gestore stesso del sito (attraverso l’ID account Google); indirizzo, nome del sito web e dati di navigazione; indirizzo IP del dispositivo utilizzato dall’utente; informazioni relative al browser, al sistema operativo, alla risoluzione dello schermo, alla lingua selezionata, nonché a data e ora della visita al sito web.
  2. al fatto che, fino al 30 aprile 2021, il servizio di Google Analytics è stato fornito ai vari gestori di siti web, che se ne sono avvalsi, da Google LLC (che rivestiva il ruolo di responsabile del trattamento dei dati raccolti tramite Google Analytics), società con sede in USA, verso la quale i dati personali venivano trasferiti o potevano essere trasferiti; la circostanza che a partire dal 1° maggio 2021 sia subentrata, quale controparte contrattuale dei medesimi “Google Analytics Terms of Service”, Google Ireland Limited, non ha fatto venire meno la possibilità del trasferimento dati negli Usa, perché GIL ha dichiarato di avvalersi di altri soggetti, in qualità di sub-responsabili del trattamento, fra cui Google LLC.

Il profilo e l’aspetto sub a), di per sé solo, rappresenterebbe una criticità facilmente superabile.

In generale il GDPR non vieta di “monitorare” o “tracciare” i visitatori del sito web, tuttavia, la vigente disciplina sui cookie (anche alla luce delle recenti Linee Guida del Garante pubblicate nel gennaio 2022), impone al titolare del trattamento di dare specifica e idonea informativa sul tracciamento dell’utente del sito web; l’installazione dei cookie tecnici e di quelli analytics non richiede il consenso degli utenti; l’installazione dei cookie di profilazione, richiede, invece, l’acquisizione del consenso dell’utente.

Da un punto di vista operativo e in termini generali, non vi è un divieto assoluto di tracciare i visitatori del sito web, questo perché – entro i limiti di cui al GDPR esplicitati nelle Linee Guida in materia di cookie pubblicate dal Garante Privacy il 10 gennaio 2022 – esiste la possibilità di effettuare tale trattamento. Peraltro, in base all’art. 7 del Codice dell’Amministrazione digitale, gli enti pubblici sono espressamente autorizzati a tracciare gli accessi dei visitatori del sito web (alle condizioni ivi previste).

Il profilo sub b) e cioè il fatto che il “trattamento” menzionato venga effettuato da un soggetto che ha sede negli Stati Uniti o da un soggetto che si avvale di subresponsabili del trattamento che hanno sede negli Stati Uniti, rappresenta un problema che in questo momento non risulta facilmente superabile e che ha fatto scattare l’intervento del Garante per la protezione dei dati personali (intervenuto con il provvedimento del 9.6.2022).

Il trattamento dei dati personali effettuato dal gestore del sito web che si avvale di Google Analytics, può comportare il trasferimento dei dati stessi negli Stati Uniti: detto paese non garantisce, in generale, adeguati standard di sicurezza a tutela dei dati personali.

Come noto, la Corte di Giustizia dell’Unione Europea, con la pronuncia C-311/18, del 16 luglio 2020 (c.d. Schrems II), nel dichiarare l’invalidità della decisione della Commissione UE n. 2016/1250 del 12 luglio 2016, sull’adeguatezza della protezione offerta dal regime dello scudo UE-USA per la privacy (c.d. Privacy Shield), ha constatato che il diritto interno degli Stati Uniti (in particolare l’Executive Order 12333 e l’art. 702 del Foreign Intelligence Surveillance Act – di seguito “FISA 702”) comporta deroghe alla normativa in materia di protezione di dati che eccedono le restrizioni ritenute necessarie in una società democratica. Tutto ciò con particolare riferimento alle disposizioni che consentono alle Autorità pubbliche, nel quadro di determinati programmi di sicurezza nazionale, di accedere senza adeguate limitazioni ai dati personali oggetto di trasferimento, nonché alla mancata previsione di diritti, in capo ai soggetti interessati, azionabili in sede giudiziaria.

In generale i trasferimenti dei dati personali verso gli Stati Uniti, devono dunque considerarsi illeciti ai sensi dell’art. 44 e 46 del GDPR, salvo che non siano state adottate misure supplementari idonee ad impedire che le autorità pubbliche del paese terzo possano accedere liberamente ai dati importati, attraverso l’importatore stesso o attraverso i fornitori di telecomunicazioni o i canali di comunicazione” (v. Raccomandazione Garante Protezione Dati Personali n. 1/2020).

Il provvedimento del Garante per la protezione dei dati personali adottato il 9 giugno 2022

Nel caso oggetto dell’intervento del Garante per la Protezione dei dati personali con il provvedimento del 9 giugno 2022, è stato riscontrato che:

  • né il gestore del sito web (titolare del trattamento) ha adottato idonee misure che potessero impedire al responsabile esterno del trattamento fornitore del servizio Google Analytics, di esportare i dati personali negli USA;
  • né il responsabile esterno del trattamento (Google LLC prima e Google Ireland Limited) ha adottato misure aggiuntive e supplementari idonee ad innalzare il livello di sicurezza e di protezione dei dati personali esportati negli USA (in modo tale da impedire il rischio del libero accesso ai dati da parte delle Autorità Pubbliche).

Il Garante, nel provvedimento sopra menzionato, ha messo in evidenza che i meccanismi adottati dal servizio di Google Analytics per la cifratura dei dati, durante il trasferimento fra sistemi (in transit) e al momento della memorizzazione nei sistemi (at rest), rappresentano misure tecniche non adeguate.

I predetti meccanismi di cifratura dei dati sopra evidenziati, non sono sufficienti ad evitare i rischi di un accesso, ai fini di sicurezza nazionale, ai dati trasferiti dall’Unione europea da parte delle Autorità pubbliche degli Stati Uniti, in quanto le tecniche di cifratura adottate prevedono che la disponibilità della chiave di cifratura sia in capo a Google LLC che la detiene, in qualità di importatore, in virtù della necessità di disporre dei dati in chiaro per effettuare elaborazioni e fornire servizi.

Che cosa può fare il gestore di un sito web per essere compliant e per non incorrere nel rischio di effettuare l’illecito che è stato da ultimo contestato dal Garante a fronte dell’utilizzo di Google Analytics?

Il gestore del sito web deve verificare se sia attivo, sul sito, il servizio di Google Analytics. Nel caso in cui il servizio sia attivo, allora è senz’altro opportuno:

  • in tutti i casi in cui attraverso il sito venga effettuato il trattamento di dati personali particolari, sospendere l’utilizzo del servizio in attesa degli sviluppi che sicuramente si verificheranno nei prossimi mesi e dell’auspicabile innalzamento delle misure di sicurezza;
  • nei casi in cui attraverso il sito venga effettuato il trattamento di dati personali comuni è opportuno
    • effettuare verifiche ed approfondimenti (tra l’altro verificare se il trattamento del trasferimento dei dati all’estero sia stato mappato ed inserito nel Registro dei Trattamenti; se nell’informativa sia indicato; se esista una base giuridica per effettuare lo stesso);
    • mettere in atto comunque “misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al [Regolamento]” (c.d. principio di accountability; cfr. art. 5, par. 2 e art. 24, par. 1 del Regolamento);
    • valutare, in ogni caso, la possibilità di avvalersi di servizi web analytics alternativi erogati da altri fornitori che hanno sede in UE o che non effettuano trasferimenti in Pesi terzi privi di misure di sicurezza adeguate.

Avv. Anna Schiaffino
Avv. Laura Mariotti