Con il provvedimento n. 244 dello scorso 9 giugno – reso noto con il comunicato stampa del 23 giugno – l’Autorità garante per la protezione dei dati personali ha statuito che il trattamento sotteso ai servizi di Google Analytics viola le norme previste dal Regolamento UE 679/2016 (“GDPR”) e, in particolare, le disposizioni previste per il trasferimento dei dati al di fuori dell’Unione europea.
L’utilizzo di Google Analytics
Google Analytics è uno strumento di web analytics che consente di analizzare statistiche sugli utenti che navigano su un determinato sito internet. Tale servizio, in Europa, è fornito da Google Ireland Limited.
Nel caso di specie, il Garante ha rilevato che la società sanzionata utilizza Google Analytics per il perseguimento di finalità meramente statistiche, volte ad ottenere informazioni aggregate sull’attività degli utenti all’interno del proprio sito web, ossia:
-
identificatori online unici che consentono sia l’identificazione del browser o del dispositivo dell’utente sia del gestore stesso del sito (attraverso l’ID account Google);
-
indirizzo, nome del sito web e dati di navigazione;
-
indirizzo IP del dispositivo utilizzato dall’utente1;
-
informazioni relative al browser, al sistema operativo, alla risoluzione dello schermo, alla lingua selezionata, nonché a data e ora della visita al sito web.
Inoltre, il Garante ha chiarito che sussiste un trattamento di dati personali anche qualora sia attivata l’opzione denominata “IP-Anonymization”, che comporta l’invio a Google Analytics dell’indirizzo IP dell’utente previo oscuramento dell’ottetto meno significativo e che, di fatto, consiste in una pseudonimizzazione del dato (che quindi può essere ricollegato all’utente da parte di Google).
Il trasferimento dei dati verso gli USA
Nel contesto del trattamento così delineato, il Garante ha accertato che – sulla base di quanto indicato nel “Google Ads Data Processing Terms” – Google, nelle attività di trattamento, può farsi supportare da altre società del proprio gruppo, tra cui Google LLC, con sede negli USA.
L’utilizzo di Google Analytics comporta, pertanto, un trasferimento di dati verso gli USA, regolato tramite delle Clausole contrattuali standard ai sensi schema tipo adottato il 5 febbraio 2010 dalla Commissione europea con decisione n. 2010/87/UE. Dette clausole sono integrate dalle misure di garanzia supplementari, rispetto alle quali, tuttavia, gli utilizzatori dei siti (compresi la società sanzionata) non hanno alcuna possibilità di verifica o integrazione.
Sul punto, si ricorda – come tra l’altro richiama anche il Garante – che, a seguito della nota sentenza “Schrems II” con cui la Corte di Giustizia dell’Unione europea ha invalidato il cosiddetto Privacy Shield, il trasferimento verso gli USA può avvenire unicamente ricorrendo ad uno dei transfer tool previsti dall’art. 46 del Regolamento, purché sia garantito un livello di protezione dei dati essenzialmente equivalente a quello garantito all’interno del SEE.
In tale contesto, l’esportatore dei dati è responsabile di verificare caso per caso se la legge o la prassi del Paese terzo possano incidere sull’efficacia delle predette garanzie e, in tal caso, lo stesso deve provvedere all’individuazione di misure supplementari volte ad assicurare, appunto, una protezione dei dati equivalente a quella garantita dal GDPR.
Nel caso oggetto del provvedimento, l’Autorità ha concluso che non sono state individuate misure adeguate a garantire la protezione dei dati personali, posto che la legislazione e le prassi del Paese terzo (in questo caso gli USA) impediscono all’importatore (ossia, il gestore del sito) di garantire detto livello di protezione dei dati personali.
Le prescrizioni imposte dal Garante
Il Garante, non avendo ritenuto idonee le misure adottate2, ha ritenuto di ammonire la società destinataria del provvedimento, ingiungendo al contempo alla stessa di sospendere l’utilizzo di Google Analytics e di conformare il trattamento al GDPR entro 90 giorni dalla data di comunicazione del provvedimento, adottando misure supplementari adeguate.
Di tale processo, invero, dovranno farsi carico tutti i gestori di siti internet che utilizzano Google Analytics, ora chiamati ad attivarsi per conformarsi alla prescrizioni contenute nel provvedimento in commento.
Come già rilevato dal Garante, però, i gestori non hanno una concreta possibilità di “contrattare” le misure di sicurezza da adottare, circostanza invero evidente qualora la controparte contrattuale sia un colosso come Google. L’unica opzione percorribile, pertanto, è quella di rivolgersi a fornitori di servizi analoghi a quelli di Google Analytics che trattino, però, i dati all’interno dell’UE.
Ariella Fonsi
1 Al riguardo, il Garante ha ribadito che l’indirizzo IP costituisce un dato personale nella misura in cui consenta di identificare un dispositivo di comunicazione elettronica, rendendo pertanto indirettamente identificabile l’interessato in qualità di utente (soprattutto ove sia associato ad altre informazioni relative al browser utilizzato, alla data e all’ora della navigazione).
2 Sul punto, il Garante specifica: “Le misure di natura tecnica consistono nell’adozione di meccanismi di cifratura dei dati, durante il trasferimento fra sistemi (in transit) e quando sono memorizzati nei sistemi (at rest).
La cifratura in transito è adottata ove i dati siano trasferiti fra diversi sistemi, servizi o data center attraverso reti o infrastrutture non controllate dalla Società (es.: reti geografiche).
La cifratura at rest riguarda invece i dati dell’utente che sono memorizzati su unità disco o in unità di backup e si basa sulla cifratura dei dati mediante algoritmi standard (in genere tramite AES256) e sulla cifratura, a diversi livelli, a partire dalla cifratura a livello hardware, in base al tipo di applicazione e ai rischi specifici. L’accesso ai data center di Google LLC è protetto da 6 livelli di misure di sicurezza fisica.
In merito, si evidenzia che, tenuto conto delle indicazioni rese dall’EDPB nella Raccomandazione n. 1/2020, le misure tecniche summenzionate non risultano adeguate.
In ordine ai meccanismi di cifratura dei dati sopra evidenziati, esse, infatti, non sono sufficienti ad evitare i rischi di un accesso, ai fini di sicurezza nazionale, ai dati trasferiti dall’Unione europea da parte delle Autorità pubbliche degli Stati Uniti, in quanto le tecniche di cifratura adottate prevedono che la disponibilità della chiave di cifratura sia in capo a Google LLC che la detiene, in qualità di importatore, in virtù della necessità di disporre dei dati in chiaro per effettuare elaborazioni e fornire servizi. Merita inoltre evidenziare che l’obbligo di consentire l’accesso, da parte delle Autorità statunitensi, ricade su Google LLC non solo con riferimento ai dati personali importati, ma anche in ordine alle eventuali chiavi crittografiche necessarie per renderli intelligibili (v. anche Raccomandazione 1/2020, cit., par. 81).
Da ciò ne consegue che, fintanto che la chiave di cifratura rimanga nella disponibilità dell’importatore, le misure adottate non possono ritenersi adeguate” (v. Raccomandazione 1/2020, cit., par. 95)” (par. 2.3 del provvedimento).
