L’emanazione della sentenza Schrems II che ha invalidato il Privacy Shield ha avuto importanti conseguenze per le Big Tech. Google Analytics, in particolare, è stato rapidamente posto al centro dell’attenzione delle autorità garanti, le quali, a più riprese, ne hanno apertamente sconsigliato l’utilizzo, in quanto il servizio non consentiva di garantire adeguate tutele ai dati personali che sarebbero stati inevitabilmente oggetto del trasferimento presso le sedi USA delle società.
Già nel 2022, il Garante Privacy italiano affermava che, venuto meno il Privacy Shield, senza un accordo giuridicamente vincolante, o senza adeguate misure di sicurezza (giuridiche, organizzative e/o tecnologiche) capaci di consentire il rispetto del GDPR, le aziende avrebbero dovuto sospendere l’utilizzo del servizio Google Analytics, comportando detto servizio un trasferimento di dati personali negli Stati Uniti.
Indice degli argomenti
Google Analytics: le attività del Garante svedese
Il medesimo servizio è stato esaminato anche dall’Autorità Garante svedese, la quale, come da comunicato ufficiale del 3 luglio, ha provveduto a verificare il modo in cui quattro società utilizzavano Google Analytics per estrarre le statistiche web, irrogando rilevanti sanzioni amministrative nei confronti di due di queste e ordinando la cessazione dell’utilizzo del servizio.
La sanzione più rilevante, in particolare, è stata quella emessa nei confronti del fornitore di telecomunicazioni Tele2, multato per ben 12 milioni di corone svedesi (circa 1 milione di euro) per aver utilizzato Google Analytics sulla propria pagina web.
Oggetto delle indagini anche la catena di negozi alimentare Coop e il giornale Dagens Industri, i quali, tuttavia non sono stati multati, avendo adottato misure ulteriori per tutelare i dati trasferiti, secondo le indicazioni fornite dalle autorità europee.
I reclami sulla base dei quali le decisioni si fondano, erano stati presentati dall’associazione no-profit NOYB (acronimo di None of Your Business), fondata da Max Schrems, attivista da cui prende il nome la citata sentenza della Corte di Giustizia UE e che più volte ha evidenziato come la vigente normativa statunitense non consenta di garantire il rispetto dei principi fondamentali enunciato dal GDPR.
Le decisioni prese da IMY, rappresentano non soltanto un primato, in Europa, trattandosi della prima sanzione di natura finanziaria erogata nei confronti delle aziende per l’utilizzo di Google Analytics, dunque un utile parametro di riferimento per le organizzazioni che utilizzano questo servizio, nell’attesa di vedere gli sviluppi del nuovo protocollo di trasferimento che regolerà i flussi di dati fra USA e UE.
I reclami e gli audit condotti
Come anticipato, le attività di indagine condotte da IMY prendono avvio da reclami avanzati da NOYB, nei quali si ribadiva come il GDPR non consentisse il trasferimento dei dati personali al di fuori dell’UE in assenza di strumenti che consentano di applicare a detti dati un livello di protezione pari a quello richiesto dal GDPR medesimo.
I reclamanti lamentavano, in particolare, che Google, essendo classificato come fornitore di servizi di comunicazione elettronica ai sensi della normativa USA, e dunque essendo soggetto alla sorveglianza da parte delle agenzie di intelligence statunitensi, non avrebbe potuto garantire, anche alla luce delle clausole contrattuali standard implementate, un’adeguata protezione dei dati personali una volta che gli stessi erano trasferiti, essendo chiamato a fornirli, ove richiesto, al governo degli Stati Uniti.
All’interno dell’audit condotto, IMY ritiene, coerentemente con quanto affermato da altre autorità europee, che i dati trasferiti negli Stati Uniti tramite lo strumento statistico di Google siano, in primo luogo, dati personali perché gli stessi possono essere collegati ad altri dati univoci ugualmente trasferiti per poter identificare uno specifico soggetto. Nello specifico, le informazioni trasferite ricomprendevano:
- informazioni sulla visita al sito web (quali pagine vengono visualizzate o quali clic vengono effettuati);
- informazioni sul dispositivo che visita il sito web (tra cui l’indirizzo IP);
- informazioni contenute nel cookie (_ga cookie) che costituisce il Client ID.
Dette informazioni consentivano di identificare uno specifico interessato mediante i cosiddetti “identificatori di rete”, soprattutto se combinati ad altri tipi di informazioni simili.
L’autorità applicava, pertanto, quanto previsto dal considerando 30 del GDPR, che stabilisce che “le persone fisiche possono essere collegate a identificatori online forniti dalle loro apparecchiature, ad es. Indirizzi IP, cookie o altri identificatori.
Ciò può lasciare tracce che, soprattutto in combinazione con identificatori univoci e altri dati raccolti, possono essere utilizzate per creare profili di persone fisiche e identificarle”.
Combinando le informazioni raccolte da Google Analytics, distinte secondo indicatori creati appositamente con l’obiettivo di poter distinguere i singoli visitatori, questi ultimi diventavano inevitabilmente identificabili, comportando la piena applicazione dei principi di cui al GDPR.
Ciò sarebbe confermato anche dal fatto che, accedendo all’account Google, il reclamante poteva effettuare l’accesso al proprio account Google una volta giunto sul sito di Tele2, consentendo a Google stessa di utilizzare le informazioni raccolte con Analytics per inviare al visitatore annunci personalizzati.
Accerta, poi, che nell’utilizzo dello strumento di Google Analytics le informazioni vengono divulgate ad una serie di attori, da ritenersi responsabili del trattamento o subappaltatori di Google.
L’autorità conclude, inoltre, sposando le tesi sostenute nel reclamo, che le misure tecniche di sicurezza adottate dalle società prese in esame non sono sufficienti a garantire un livello di protezione sostanzialmente corrispondente a quello garantito all’interno dell’UE/SEE: in assenza di una decisione di adeguatezza, infatti, i dati possono essere trasferiti sulla base di clausole contrattuali standard, corredate e integrate da idonee garanzie supplementari che permettano di garantire nella pratica lo stesso livello di tutela teorizzato all’interno di dette clausole.
Anche in questo caso, le quattro aziende coinvolte hanno basato il trasferimento dei dati tramite Google Analytics sulla base di clausole contrattuali standard, senza tuttavia applicare misure tecniche di sicurezza aggiuntive ritenute sufficienti, contrariamente a quanto invece effettuato dalle citate Coop e Dagens Industri.
L’attuazione di mere misure di sicurezza “legali”, infatti, richiamando quanto affermato da EDPB, non consente di vincolare le autorità del paese terzo, in quanto queste non sono parti dell’accordo. Pertanto, risulta essenziale combinare dette misure con altre misure tecniche e organizzative che forniscano il livello di protezione dei dati richiesto.
Più nel dettaglio, IMY rilevava che le garanzie adottate da Google, tra cui la crittografia dei dati e la anonimizzazione degli indirizzi IP, “non sono efficaci, in quanto non impediscono ai servizi di intelligence statunitensi di accedere ai dati personali o rendono tale accesso inefficace”.
Non era dimostrato, inoltre, che il troncamento dell’indirizzo IP avvenisse prima del trasferimento.
A tutte le aziende coinvolte è stato, ad ogni modo, ordinato di cessare l’utilizzo di Google Analytics.
Trasferimenti di dati personali UE-USA: si cerca una “soluzione universale”
Il commento di NOYB
Marco Blocher, avvocato specializzato in data protection e facente parte di NOYB, si è dichiarato assolutamente favorevole alle decisioni di IMY: “Infine”, ha affermato, “un DPA ha imposto una multa significativa per l’uso continuato di uno strumento che trasferisce dati personali negli Stati Uniti in violazione del GDPR e ha vietato l’ulteriore utilizzo di tale strumento. Questo è un cambiamento piacevole rispetto ad altri DPA che semplicemente sostengono che c’è stata una violazione ma non creano alcun incentivo a conformarsi in futuro. Ci auguriamo che altre autorità di protezione dei dati seguano l’esempio delle autorità di protezione dei dati svedesi e pongano fine ai trasferimenti illegali di dati”.
NOYB ha anche affermato, nel proprio comunicato, di non vedere il nuovo protocollo di trasferimento dei dati UE/USA come risolutivo per il trasferimento dei dati personali: “Finora non è finalizzato, ma si dice che sarà rilasciato questo mese”, afferma. “Dato che il nuovo accordo è strutturalmente identico a due accordi precedenti, è molto probabile che la CGUE lo annulli nuovamente”.
