ph: deepak pal, lic. cc.
Recentemente si è discusso ampiamente del fatto che il Garante per la privacy ha imposto a una società italiana di uniformarsi al GDPR nell’uso di Google Analytics.
Il caso
La vicenda trae origine nell’agosto 2020, quando un interessato presentava un reclamo al Garante per segnalare che una società avrebbe trasferito a Google LLC (America) dati personali che lo riguardavano in assenza delle garanzie previste dal capo V del GDPR.
Tali trasferimenti, in quanto effettuati verso un paese terzo che non garantisce un livello di protezione adeguato, violano il Capo V del Regolamento Europeo, rubricato “trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali”.
Alla luce di ciò, il Garante dichiarava l’illiceità del trattamento dei dati personali degli utenti del sito, inoltre ingiungeva alla società “di conformare al Capo V del Regolamento entro il termine di novanta giorni dalla notifica del presente provvedimento“.
Google Analytics
Google Analytics è un software gratuito di web analytics erogato da Google che traccia e registra il traffico web.
Il servizio fornisce statistiche complete su come i visitatori interagiscono con il sito internet, in modo da avere una precisa profilazione del target audience dell’utente.
Il software traccia i dati attraverso un codice univoco di tracciamento chiamato Google Analytics Tracking Code (GATC).
Il codice, per funzionare, dovrà essere inserito in tutte le pagine del sito internet, così da poter registrare tutte le varie interazioni.
Successivamente invierà i risultati al server di Google Analytics che li elaborerà e presenterà come un report.
In questo modo sarà possibile venire a conoscenza di importanti informazioni, quali:
- quanti utenti hanno visitato il sito;
- da quale area geografica si sono collegati;
- in quali giorni ed orari il target è più attivo;
- il sesso e l’età degli utenti;
- quali siano gli interessi prevalenti degli utenti.
Le problematiche
Le problematiche derivanti dall’utilizzo di Google Analytics sono diverse.
Un primo problema discende dal fatto che Google, facendo tracciamento dei dati degli utenti del sito web, diviene Responsabile del Trattamento, conformemente all’art. 28 del GDPR.
Il Responsabile del trattamento è la persona fisica, giuridica, pubblica amministrazione o ente che elabora i dati personali per conto del titolare del trattamento.
Tale responsabile dovrebbe essere nominato e adeguatamente istruito relativamente alle attività di trattamento che gestisce.
Tuttavia, come è immaginabile, risulta impossibile imporre a Google le proprie istruzioni documentate.
In concreto, infatti, Google si autonomina con i “Google Analytics Terms of Service” e i “Google Ads Data Processing Terms”, impedendo così la possibilità di discutere con i soggetti che desiderano utilizzare i suoi applicativi.
Inoltre, come sopra riportato, i siti web raccolgono, mediante cookies trasmessi al browser degli utenti, varie informazioni.
Il problema sorge qualora l’utente del sito web si sia loggato al proprio account Google, e che quindi si possa pervenire ad altre informazioni presenti nel relativo account, quali l’indirizzo email, il numero di telefono ed eventuali ulteriori dati personali, tra cui il genere, la data di nascita o l’immagine del profilo.
Pertanto, allo stato attuale e secondo quanto stabilito dall’Autorità Garante, sembrerebbe non essere possibile utilizzare Google Analytics garantendo la conformità rispetto alle previsioni contenute nel GDPR.
Lo scenario europeo
L’utilizzo di Google Analytics è già stato ritenuto illecito dall’EDPS (European Data Protection Supervisor).
Nel luglio del 2020, con la cosiddetta sentenza Schrems II, la Corte di Giustizia europea ha stabilito come sia illegittimo trasferire i dati personali degli utenti dei servizi internet in paesi terzi, dove non vengano garantiti livelli di protezione adeguati a quelli offerti dal GDPR.
In relazione a ciò l’EDPB ha pubblicato:
- le Raccomandazioni 01/2020, che mirano a fornire una metodologia agli esportatori di dati, per determinare se e quali misure aggiuntive dovrebbero essere messe in atto per i loro trasferimenti;
- le Raccomandazioni 02/2020, che mirano ad aggiornare le EEG (le garanzie essenziali europee per le misure di sorveglianza).
In seguito a questa importante sentenza l’Autorità Garante per la protezione dei dati austriaca ha dichiarato che l’uso di Google Analytics viola il GDPR.
Secondo l’Autorità austriaca le clausole contrattuali standard sottoscritte da Google e dal gestore del sito web ai fini del trasferimento dei dati negli Stati Uniti d’America non sarebbero sufficienti.
Dopo il Garante austriaco, anche quello francese ha rilevato come Google Analytics sia in grado di raccogliere le informazioni dell’utente.
In linea con quanto sollevato dal Garante austriaco, anche il CNIL ha ritenuto che tali informazioni siano da considerare come dati personali e ha dichiarato l’illegittimità dei trasferimenti di tali dati nei server di Google Analytics ospitati negli Stati Uniti.
Possibili soluzioni
Una soluzione possibile potrebbe essere rappresentata dalla versione di Google Analytics 4.
La quarta versione della piattaforma di Google ha, infatti, introdotto funzioni specifiche per la tutela della privacy dei visitatori dei siti web, come la possibilità di essere configurata per non raccogliere dati che potrebbero identificare gli utenti e il fatto che non venga più salvato l’indirizzo IP, il quale come ribadito dal Garante “costituisce un dato personale”.
Tuttavia, come dichiarato in un intervista dal componente del Garante Guido Scorza “il vero nodo non si può sciogliere a valle, ma a monte. Significa passare dall’impegno politico che a marzo Joe Biden e Ursula von der Leyen hanno preso per uniformare l’allineamento americano a quello comunitario, rendendo semplice e legittimo il trasferimento dei dati agli Stati Uniti. Quello che manca a quell’accordo politico è un accordo giuridicamente vincolante“.
Trattandosi di un problema politico, è auspicabile una soluzione concreta che risolva in maniera definitiva la questione, permettendo l’uso di strumentazioni come Google Analytics nel rispetto tuttavia dei diritti degli utenti.
Per ulteriori chiarimenti contatta l’Avv. Carolina Bozzo dello studio leale Lexinto.
Articolo a cura della Dott.ssa Diletta Lopes.