Il Garante per la protezione dei dati personali mette in discussione la conformità al GDPR di Google Analytics
Con ordinanza n. 224 del 2022, il Garante per la Protezione dei Dati Personali si è recentemente espresso in merito all’utilizzo di Google Analytics, il servizio di analisi web offerto da Google ai gestori di siti internet, che consente la generazione di dettagliate statistiche sugli utenti. Quella del Garante è solo l’ultima di una serie di decisioni legate all’impiego di Google Analytics prese dalle autorità di controllo europee, da ultime in Francia e Austria.
La decisione in parola arriva al termine di una complessa attività istruttoria avviata, su reclamo di un utente, nei confronti di una società italiana, Caffeina Media S.r.l., proprietaria della pagina web italiana Caffeina magazine, relativo al trasferimento dei dati personali dell’utente stesso verso gli Stati Uniti mediante l’utilizzo di Google Analytics.
La questione nasce dal differente livello di tutela accordato ai dati personali dalla legislazione europea e americana: gli Stati Uniti, infatti, a differenza del Vecchio Continente, in cui il trattamento dei dati è disciplinato e protetto dal GDPR, non offrono garanzie sufficienti ai diritti degli interessati europei. In particolare, le forze dell’ordine e i servizi di intelligence americani nonché le istituzioni governative possono accedere ai dati personali a prescindere dalla nazione alla quale appartengono gli interessati in forza della legge sulla sorveglianza in materia di intelligence esterna.
Dall’indagine è emerso come Caffeina Media S.r.l ma più in generale i gestori dei siti internet, che fruiscono del servizio Analytics, raccolgano, tramite cookie, molteplici informazioni riguardanti gli utenti che navigano sui siti in questione, tra cui, l’indirizzo IP del dispositivo da essi utilizzato, riconosciuto, sulla scorta degli elementi normativi (art. 4 GDPR e Considerando 26 GDPR) e delle risultanze tecniche, quale dato personale[1]. Tali dati, una volta raccolti, vengono trasferiti negli Stati Uniti nonostante il GDPR ponga un chiaro divieto al trasferimento di dati in Paesi che non garantiscono livelli di protezione pari o superiori a quelle europee, tra i quali appunto sono ricompresi gli Stati Uniti, come sancito con l’invalidazione del c.d. Privacy Shield da parte della sentenza Schrems II.
Per trasferire dunque i dati negli Stati Uniti, come Paese terzo che offre un livello di tutela inadeguato, il titolare può fare ricorso ad alcuni strumenti definiti dagli artt. 44-50 del GDPR: le clausole contrattuali standard e le misure supplementari di natura tecnico-giuridica. Tali misure supplementari sono da considerarsi integrative rispetto alle clausole contrattuali standard, per portare – ove insufficiente - il livello di protezione dei dati oggetto di trasferimento agli standard dell’UE.
Nel caso in esame, la società Caffeina Media S.r.l. si era limitata ad approvare i termini e condizioni d’utilizzo di Google Analytics, oltre ad aver concluso con Google le clausole contrattuali standard relative al trattamento dei dati personali. Le clausole offerte da Google, tuttavia, non possono da sole garantire un livello di protezione adeguato in caso di richiesta di accesso da parte di autorità straniere, in particolare se tale accesso è previsto dalle leggi locali, come negli Stati Uniti. Proprio per tali ragioni, Google ha messo in atto una serie di misure aggiuntive di protezione, tra le quali l’opzione di anonimizzazione, che tuttavia sono state ritenute inidonee a garantire un livello di protezione equivalente a quello previsto dal GDPR, in particolare contro le richieste di accesso ai dati da parte dei servizi segreti statunitensi.
È vero che Google ha messo a disposizione l’opzione “IP-Anonymization”, ma tale espediente, sottolinea il Garante, costituisce di fatto solo una pseudonimizzazione (e non un’anonimizzazione) posto che Google è in grado di identificare l’utente, recuperando l’identità della persona grazie a dati terzi.
Sussiste, inoltre, in capo a Google, la possibilità, qualora l’interessato abbia effettuato l’accesso tramite il proprio profilo Google, di associare l’indirizzo IP ad altre informazioni aggiuntive già in suo possesso, in modo da ricreare un profilo completo dell’utente, quale ad esempio e-mail, numero di telefono o eventuali ulteriori dati personali, tra cui il genere, la data di nascita o l’immagine del profilo. Il Garante Privacy ha altresì contestato la legittimità della privacy policy pubblicata sul sito di Caffeina Media S.r.l. perché ometteva di specificare che il trasferimento dei dati personali avvenisse in un Paese privo di idonee misure di protezione dei dati personali.
Il provvedimento non contiene sanzioni pecuniarie in ragione dell’asimmetria informativa tra Google e Caffeina Media S.r.l., che non ha consentito a quest’ultima di valutare l’inidoneità delle misure adottate unilateralmente da Google. Per tale ragione, il Garante si è limitato ad ammonire il gestore del sito web invitandolo entro 90 giorni a conformare le attività di trattamento alla previsione del GDPR, pena la sospensione dei flussi di dati verso gli Stati Uniti.
Il provvedimento non dichiara di per sé illecito l’uso di Google Analytics, ma certamente impone alle società che utilizzano questo servizio di considerare l’adozione delle misure supplementari necessarie a renderlo conforme alla disciplina in materia di tutela dei dati personali.
[1] Il Garante, riprendendo il Parere 4/2007 sul concetto di dati personali, emesso dal Gruppo di lavoro Articolo 29, ha ribadito che l’indirizzo IP è da considerarsi a tutti gli effetti un dato personale, ove questo permetta l’identificazione del dispositivo elettronico impiegato, consentendo così indirettamente l’individuazione dell’utente.