L’ora è giunta: anche in Italia è stato emanato il 23 giugno, dal Garante Privacy, un provvedimento indirizzato, di fatto, a vietare l’uso dei cookie di Google Analytics, per ragioni più volte affrontate in questa sede e riconducibili al trasferimento di dati personali col rischio di un loro accesso da parte delle autorità USA.
La domanda che echeggia tra gli utilizzatori di questi cookie è una sola: che cosa fare adesso? Tanto più che gli stessi ragionamenti di questo provvedimento possono essere traslati parimenti su altri servizi di Google (si veda il caso dei Google Fonts) e di altri provider (o provider di provider, si faccia attenzione) soggetti al diritto degli Stati Uniti.
Sono fioriti consigli e alternative ovunque, più o meno in buona fede, più o meno consistenti. Di seguito credo possa essere utile demistificare o comunque analizzare criticamente alcune voci sulle strade da seguire, da adesso in poi, suddivise dicitura per dicitura. Una pars destruens potenzialmente utile per sgombrare il tavolo da eventuali illusioni mal riposte. Vediamola di seguito.
Google Analytics illecito in Italia: l’altolà del Garante privacy, ecco perché
Indice degli argomenti
Non è vero che il provvedimento riguarda solo dati “particolari”
Tra le “voci” che girano su Internet c’è innanzitutto quella secondo cui “il provvedimento del Garante pare sottintendere che solo l’uso di dati “particolari” sia grave, non quello di dati comuni”.
Sicuramente sarebbe valutato più gravemente l’uso di dati particolari (ad es. di salute) rispetto a dati comuni. Che questo possa portare a una riduzione della sanzione è plausibile, ma in che misura? La sanzione resta comunque più probabile, rispetto a un ammonimento: con l’uso di dati particolari potrebbe ridursi il tempo di ammonimento o non esservene affatto.
In ogni caso, si è ben lontani da certezze circa il livello di rischio sanzionatorio.
Il provvedimento colpisce tutte le versioni di Analytics
Secondo alcuni “il provvedimento del Garante pare colpire solo l’uso di Analytics in versione gratuita e senza l’oscuramento dell’IP utente”.
Effettivamente, il caso esaminato esplicita un avvenuto trasferimento di dati in chiaro, senza che il titolare avesse applicato il “troncamento” dell’IP utente, mascherandolo. Da qui a desumere che la sua applicazione non avrebbe portato a un illecito è tutto da dimostrare, anzi la lettura di altri provvedimenti delle autorità europee e, in tale linea, di quello del Garante, porta a far pensare il contrario.
Perché sono dati due presupposti: il primo, l’uso della mascheratura dell’IP porta al più a dati pseudonimizzati (soggetti al GDPR) e non anonimi. Il secondo, per cui Google sarebbe un’entità dotata di tali risorse di dati da poter ottenere facilmente la re-identificazione anche di IP parziali.
Google Analytics e identificabilità dell’utente
“Quanto all’identificabilità dell’utente, dal provvedimento pare di intendere che si sia configurata solo a seguito del login dell’utente al proprio account Google – per cui se ciò non avvenisse nemmeno Google potrebbe identificarlo e dunque non avremmo alcuna violazione”.
Questo frangente era stato già esposto nella precedente decisione dell’autorità austriaca, sempre seguita a segnalazione della NOYB di Schrems che dunque ha documentato lo stesso iter, pare, nei casi che hanno presentato in tutta la UE.
Certo, il fatto che l’utente si sia separatamente “auto-identificato” mediante il login di Google è una prova forte del trattamento dei suoi dati da parte di Google, un argomento di maggior solidità circa l’identificazione utente, l’uso dei suoi dati anche mediante incrocio dei dataset, il loro trattamento in territorio USA eccetera.
Rileggendo il testo, non pare in ogni caso un elemento dirimente: ha rafforzato il quadro di identificabilità dell’utente, ma in sua assenza si sarebbe potuto comunque ragionare – come si evince da altre affermazioni del Garante nel testo – sull’identificabilità presumibile e ragionevole dell’utente, non spostando il problema di fondo.
E, in ogni caso, si tratterebbe di un fattore su cui il titolare non ha di fatto alcun controllo: come sapere se e quando l’utente si è loggato in precedenza? Anche se lo si potesse appurare, come si potrebbe gestire diversamente questo utente? Conoscendo l’estensione dei servizi di Google, statisticamente pare più probabile che non che il navigatore sia un utente Google e possa loggarsi ai relativi servizi, contestualmente all’uso dei cookie.
Insomma, non pare un elemento che possa fornire spunti utili per creare aree “sicure” di trattamento dei dati.
Valutazione dei trattamenti e clausole standard
“Google ha già effettuato una valutazione dei trasferimenti, oltre a basarsi sulle clausole standard della Commissione Europea, applicando una serie di misure supplementari ritenute sufficienti per garantire un adeguato trasferimento dei dati”.
Sempre il Garante rende conto, nella sua narrazione, che Google avrebbe adottato al tempo della violazione le clausole standard della Commissione Europea, nella loro versione pregressa del 2010 (oggi sono in vigore nella nuova versione del 2021).
Al di là di ciò, tra le due versioni delle clausole non pare mutare quanto prescritto di fondo dall’EDPB nelle già citate Raccomandazioni sui trasferimenti e le misure supplementari: deve essere il titolare a valutarle ed applicarle.
Si potrà anche fare riferimento a valutazioni di terzi (come Google quale responsabile del trattamento ex art. 28 GDPR), senza che questo spogli il titolare di un onere di ulteriore verifica della verifica: quanto documentato dal terzo è corretto, adeguato, ecc.?
Il punto è particolarmente critico: si potranno avere diverse incertezze dalla parziale o insufficiente conoscenza delle modalità tecniche di trattamento e trasferimento a cura del terzo.
Per non parlare della difficoltà di comprendere se e quanto una misura possa colmare le problematiche anche di uno scenario giuridico estero poco o per nulla noto.
In merito dobbiamo segnalare che per gli Stati Uniti e Google, dalla sentenza Schrems II in poi, tutto ciò è stato abbondantemente sviscerato dalle varie autorità, dagli esperti con annessi documenti di analisi, per cui un certo materiale di valutazione a disposizione della platea di titolari è ora consolidato. Comprese le varie pronunce delle autorità di controllo, come quella del Garante che stiamo discutendo.
Ad es. è ormai noto che le chiavi di cifratura, nel caso di crittografia dei dati a riposo o in transito, debbono restare nella disponibilità del titolare, cosa che nella gestione di Google non accade.
Non basta avere un contratto con Google Ireland Limited
“Per i cookie ho un contratto con Google Ireland Limited, di diritto UE, non con la società americana di Google, per cui non c’è alcun trasferimento di dati extra-UE”.
Formalmente sarebbe corretto, se si ignora la catena di collegamento tra società. Lo stesso Garante fa presente nel suo provvedimento che la società responsabile Google Ireland (di diritto UE) aveva come sub-responsabile Google LCC (di diritto USA), trasferendovi o dandovi accesso ai dati personali. Si ritorna al punto di partenza.
La non alternativa di Google Analytics 4
“Google offre già un’alternativa, quella di Analytics 4, che dovrebbe garantire la compliance GDPR”.
Google da marzo 2022 propone un’alternativa “in casa”, cioè un nuovo prodotto (più che un aggiornamento del pregresso) detto Google Analytics 4 o GA4, in fase di transizione dai Google Universal Analytics, a regime come unica soluzione dal 2023. Si menzionano in GA4 “controlli per la privacy come la misurazione senza cookie e la definizione di modelli comportamentali e delle conversioni”, dunque senza il famigerato IP utente e comunque con funzioni e dati settabili a cura dell’amministratore, una minor retention dei dati, eccetera.
In realtà, approfondendo il funzionamento di questa nuova versione (si veda anche la disamina del “concorrente” Matomo), non pare affrontato il problema principale, cioè la trasmissione verso Google di dati di interessati identificati o identificabili e che parrebbe continuare. Ad es. tramite gli script e l’uso di identificatori vari, pseudonimizzati o meno che siano. Il che riporterebbe alle stesse criticità di fondo dei precedenti Analytics, se non smentite da una diversa, dettagliata analisi dei flussi di dati che escluda in radice l’uso di dati personali.
Google Analytics e il consenso all’uso dei cookie
“Basterà chiedere il consenso per questi cookie, visto che si facevano rientrare tra quelli “essenziali/tecnici” privi di consenso, e così si avrà un trattamento in regola”.
Il consenso (esplicito) per i trasferimenti extra-UE è in effetti previsto dal GDPR all’art. 49.1.a, tra le deroghe in specifiche situazioni. Anzitutto va premesso che, pure se fosse il caso, in sede di informativa all’utente andrebbero ben chiariti i rischi insiti nel trasferimento (si potrà fare copia e incolla della sentenza Schrems II?) e garanzie appropriate (incluse le misure supplementari), cosa non facile – né benvoluta – da definire, molto spesso disattesa nella prassi.
Il problema fondamentale però è un altro: questa casistica può essere utilizzata solo per trasferimenti “occasionali”, come chiarito da EPDB già nelle Linee guida 2/2018. Il che non pare proprio il caso d’uso di cookie su un sito web, tutto sommato a prescindere dal traffico effettivo. Quindi si ritorna inesorabilmente ai trasferimenti ex art. 46 GDPR, con il loro carico di criticità da Schrems II.
Non basta implementare la crittografia dei dati
“Se il punto sono le misure supplementari per il trasferimento dati negli USA, basta implementare crittografia e/o simili misure tecniche”.
In astratto è possibile trovare una o più soluzioni tecniche che possano garantire la non identificabilità degli interessati, come analizzato anche nelle Raccomandazioni 1/2020 EDPB. Tuttavia nessuna autorità di controllo o altri soggetti autorevoli hanno rinvenuto, pare, questa soluzione tecnica.
Basti menzionare che la CNIL, autorità francese dotata di un laboratorio di specialisti di alto livello (CNIL Digital Innovation Lab), ha sì proposto due misure (crittografia e proxy server) ma con tanti caveat, piuttosto articolati e difficili da mettere in pratica, oltre forse a inficiare l’efficacia dei cookie stessi diretti a redigere statistiche e metriche varie.
Quindi si tratta di un campo aperto in cui, finora, poco di davvero utile pare sia stato trovato. Nulla vieta che possa arrivare una novità efficace ed implementabile, anche a breve – lo si vedrà, anche qui al momento nessuna certezza, tantomeno sul quando potrebbe succedere.
Nessun vincolo contrattuale prevale su obblighi normativi
“Se il punto sono le misure supplementari per il trasferimento dati negli USA, basta implementare clausole contrattuali più stringenti con Google”.
Sia le Raccomandazioni 1/2020 EDPB che le varie autorità europee finora intervenute (oltre a un’attenta lettura della sentenza Schrems II) paiono confermare che nessun tipo di vincolo contrattuale può prevalere su eventuali obblighi normativi.
Il punctum dolens della normativa USA come il FISA 702, con i possibili, derivati accessi delle autorità americane ai dati personali, non può essere aggirato in alcun modo con un atto tra privati come un contratto.
Ecco perché, in definitiva, le uniche misure supplementari efficaci potranno essere solo quelle tecniche, almeno secondo la posizione condivisa attualmente dalle autorità. Infine, che potere contrattuale si potrà mai sperare di avere con un fornitore del calibro di Google?
Non si può aspettare l’approvazione del nuovo Privacy Shield
“Basta aspettare il successore del Privacy Shield che arriverà a breve e permetterà di nuovo l’uso di fornitori di diritto USA come Google”.
Certo, questo provvedimento potrà sanare finalmente, in teoria, l’adeguatezza dei trasferimenti negli USA. Il successore del Privacy Shield, frutto di un accordo politico UE-USA, è stato finora sì annunciato in via generale sui principi, in marzo – ma nulla di concreto, cioè un qualunque testo da analizzare, è finora stato divulgato.
Vista anche la situazione geopolitica globale, potrebbero essere necessari mesi e forse molto di più per arrivare a un testo definitivo, approvato e applicabile. Non si può pensare che il Garante – e le altre autorità – possano chiudere un occhio così a lungo.
Secondo alcuni, peraltro, il successore rischia di essere illecito fin da subito, visto che nessuno ancora sa come potrà arginare i ribaditi rischi di accesso delle autorità USA ai dati personali, fiorenti da una normativa che tutto pare tranne che in via di cambiamento negli Stati Uniti – i problemi di fondo che hanno portato ad “affondare” il Privacy Shield sono tuttora immutati.
Il provvedimento del Garante è diretto a tutti i gestori di siti web
“Il provvedimento del Garante è diretto a un solo, specifico titolare, non alla generalità dei titolari”.
Vero, tuttavia nel suo comunicato il Garante afferma anche quanto segue: “Con l’occasione l’Autorità richiama all’attenzione di tutti i gestori italiani di siti web, pubblici e privati, l’illiceità dei trasferimenti effettuati verso gli Stati Uniti attraverso GA, anche in considerazione delle numerose segnalazioni e quesiti che stanno pervenendo all’Ufficio. E invita tutti i titolari del trattamento a verificare la conformità delle modalità di utilizzo di cookie e altri strumenti di tracciamento utilizzati sui propri siti web, con particolare attenzione a Google Analytics e ad altri servizi analoghi, con la normativa in materia di protezione dei dati personali. Allo scadere del termine di 90 giorni assegnato alla società destinataria del provvedimento, il Garante procederà, anche sulla base di specifiche attività ispettive, a verificare la conformità al Regolamento Ue dei trasferimenti di dati effettuati dai titolari”.
Parrebbe dunque essere un monito generale: allo scadere dei 90 giorni i titolari non in regola potrebbero essere direttamente sanzionati, senza altri ammonimenti.
Il Garante potrebbe adottare altri provvedimenti più severi
“Il provvedimento del Garante pare sottintendere che se si viene colti a usare Analytics, al massimo si riceverà un’ammonizione e tre mesi di tempo per rimediare”.
Vedi sopra: nulla impedisce al Garante, anche di concerto con le altre autorità consorelle, di calzare in seguito guanti meno vellutati.
Specie dopo questo primo provvedimento, segnalato pubblicamente anche sul sito del Garante con una certa risonanza e, come visto al punto precedente, esteso di fatto all’intera platea italiana persino nella sua moratoria a 90 giorni, per poi adottare una maggiore severità.
Vale sempre il principio di accountability
“Se utilizzo servizi di terzi (es. CMP ecc.) per gestire i cookie, la responsabilità in ultima analisi sarà loro e dovranno dunque rispondere loro di eventuali sanzioni”.
Come già segnalato, ai sensi del GDPR la responsabilità per violazioni della normativa spetta in capo al titolare, ammesso che tali terzi siano definibili come responsabili (processor) ex art. 28 GDPR. Certo, potranno averne qualcuna per aver disatteso le istruzioni del titolare, se del caso. Il Garante cita che la linea difensiva del caso in parola cercava di sancire una mancanza di autonomia in merito alle scelte del fornitore, in particolare sul trasferimento dei dati. Alla luce di quanto già visto, è insostenibile per il principio di accountability.
Più pragmaticamente: anzitutto le soluzioni tecniche dei provider hanno sempre dei margini di configurabilità, comunque è ovvio che sia l’utilizzatore a dover sapere quali settaggi siano più corretti e conformi a normativa.
Inoltre, solitamente i contratti di servizi con tali fornitori non prevedono clausole sulla responsabilità degli stessi che si possano invocare, casomai vi si prevedono generali esoneri di responsabilità eccetera.
Il limite civilistico resta quello del dolo o della colpa grave, tutti da dimostrare in capo al fornitore. In definitiva, se anche vi fosse un margine di responsabilità per i processor, non servirà certo per eludere quella piena in quanto titolari utilizzatori.