Il caso Caffeina Media Srl
Il Garante Privacy nel giugno scorso, a seguito di un accertamento svolto nei confronti della società Caffeina Media Srl che gestisce un sito web dotato di tecnologie di tracciamento Google, ha dichiarato l’illegittimità dell’utilizzo di Google Analytics, in quanto i gestori dei siti web che ne usufruiscono, anche in modalità c.d. “anonimizzata”, raccolgono mediante cookie informazioni sulle interazioni degli utenti con i predetti siti per poi trasferirli verso gli USA.
Tra i molteplici dati raccolti tramite Google Analytics vi sono l’indirizzo IP del dispositivo dell’utente e le informazioni qualificanti relative al browser, al sistema operativo, alla risoluzione dello schermo, alla lingua selezionata, nonché data e ora della visita al sito web. Tali informazioni sono risultate oggetto di trasferimento a prescindere dalla modalità di implementazione dello strumento tecnologico Google Analytics scelta dal gestore del sito web.
Il Garante italiano ha così ribadito che l’indirizzo IP costituisce un dato personale anche in caso di parziale troncamento o offuscamento mediante le modalità fornite dal servizio Google Analytics stesso, considerata la capacità di Google di arricchirlo con altri dati di cui è in possesso e dunque, di risalire comunque al dato originale completo (v. Gruppo ex art. 29, WP 136 – Parere n. 4/2007 sul concetto di dati personali, del 20 giugno 2007 e considerando n. 30 del Regolamento).
Illegittimità del trasferimento dei dati verso gli USA
Il trasferimento dei dati verso gli Stati Uniti è stato ritenuto illegittimo in quanto viola l’art. 46 del GDPR che, al comma 1, prevede che il Titolare del trattamento, in assenza di una decisione di adeguatezza, possa trasferire i dati solo verso paesi che forniscano garanzie adeguate alla tutela dei dati che acquisiscono.
Come noto, la sentenza Schrems II della Corte di Giustizia dell’UE nel luglio 2020 ha dichiarato invalido il c.d. Privacy Shield, ritenendolo non idoneo a garantire la protezione dei dati personali dei cittadini europei dai penetranti poteri di sorveglianza delle Autorità di intelligence USA.
Pertanto, Il trasferimento verso gli Stati Uniti sarebbe possibile solo in presenza di adeguate garanzie.
Tuttavia, a causa della possibilità delle Autorità governative e delle agenzie di intelligence statunitensi di accedere ai dati personali trasferiti senza le dovute garanzie, il Garante ha ritenuto illegittimo il trasferimento dei dati verso tale paese.
A ciò il Garante ha aggiunto che, alla luce delle indicazioni fornite dall’EDPB (European Data Protection Board – Raccomandazione n. 1/2020 del 18 giugno 2021), le misure che integrano gli strumenti di trasferimento adottate da Google non garantiscono, allo stato, un livello adeguato di protezione dei dati personali degli utenti.
Utilizzo di Google Analytics
In occasione dell’accertamento svolto dal Garante, è stato altresì specificato che anche i meccanismi di cifratura dei dati trasferiti non sono ritenuti sufficienti ad evitare i rischi di un accesso ai dati da parte delle Autorità pubbliche degli Stati Uniti.
Le tecniche di cifratura adottate, infatti, prevedono che la disponibilità della chiave di cifratura sia in capo a Google LLC, che la detiene in virtù della necessità di disporre dei dati in chiaro per effettuare elaborazioni e fornire servizi. Le Autorità statunitensi possono tuttavia farsi consentire l’accesso non solo ai dati personali importati da Google LLC, ma anche alle eventuali chiavi crittografiche necessarie per rendere intelligibili tali dati.
Alla luce di quanto emerso, l’Autorità garante ha dunque ritenuto che il sito web che utilizzi Google Analytics (GA), e, in generale, qualsiasi servizio che implichi un trasferimento di dati verso gli Stati Uniti, violi la normativa sulla protezione dei dati poiché li trasferisce a un Paese privo di un adeguato livello di protezione, prescritto dal Regolamento agli articoli 44 – 46.
Google Analytics 4
Una più recente versione della tecnologia Google Analytics ha mitigato solo parzialmente le criticità riscontrate in merito alla raccolta e all’utilizzo degli indirizzi IP quale misura di identificazione dell’utente navigatore, rinunciando completamente alla loro conservazione anche in forma anonimizzata o pseudo-anonimizzata.
Vale la pena però ricordare che i dati sono comunque raccolti in fase di navigazione e solo successivamente eliminati, una volta che il riconoscimento dell’utente sia stato effettuato anche attraverso il medesimo e grazie ai dettagli di arricchimento contestualmente raccolti.
Pertanto, nonostante il dato oggetto di maggior contestazione non sia più conservato e trasferito illecitamente con la tecnologia Google Analytics 4, restano comunque inalterati i criteri di funzionamento tesi al riconoscimento e alla profilazione dell’utente navigatore, già oggetto di obiezioni da parte dell’Autorità Garante.
Oltre a ciò, sfruttando il nuovo meccanismo è stata indirettamente dimostrata la tesi del Garante, che già riconosceva nell’indirizzo IP anonimizzato, ma arricchito da ulteriori dettagli sull’utente navigante, un metodo di identificazione comunque efficace.
In assenza di un nuovo accordo con gli Stati Uniti, sostitutivo del Privacy Shield, e di una risposta adeguata, tecnica o procedurale, da parte di Google LLC, l’unico modo per evitare di essere oggetto di accertamenti e di sanzioni da parte del Garante Privacy è la rimozione della predetta tecnologia di tracciamento dal sito web.
Il progetto Data Privacy Framework
A tal proposito si rileva che la Commissione europea il 13 dicembre 2022 ha pubblicato un progetto, denominato Data Privacy Framework compiendo così il primo passo per l’adozione di una decisione di adeguatezza sul quadro UE-USA sulla privacy dei dati, da adottare il prossimo anno.
Tuttavia, la Commissione per le Libertà Civili, la Giustizia e gli Affari interni del Parlamento Europeo (Commissione LIBE) il 14 febbraio 2023 ha espresso parere negativo in merito all’estensione agli Stati Uniti della decisione di adeguatezza basata sulla proposta di Data Privacy Framework. La censura riguarda la non equivalenza effettiva con il livello di protezione dei dati garantito dall’UE.
Sarà pertanto necessario attendere ancora, non solo il voto del Parlamento Europeo, ma che la Corte di Giustizia UE si esprima in via definitiva, astenendosi, nel frattempo, dall’utilizzo di Google Analytics finché non verrà garantita un’effettiva tutela ai dati transitanti verso gli USA.