A conclusione di una complessa istruttoria avviata nel corso del 2020 sulla base di un reclamo, ed in coordinamento con altre Autorità privacy europee, il Garante ha dichiarato che il sito web che utilizza lo strumento Google Analytics (GA) viola il Regolamento europeo in materia di protezione dei dati personali (GDPR). Il caso oggetto della storica decisione prende le mosse da un reclamo rivolto nei confronti della società Caffeina Media S.r.l., accusata di trasferire dati a Google LLC, con sede negli Stati Uniti, per il tramite del sito web www.caffeinamagazine.it ed in assenza delle garanzie previste dal Capo V del GDPR (contenente norme in materia di “trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali”). 

Nell’ambito dell’attività istruttoria, l’Autorità ha rilevato che Caffeina Media S.r.l. utilizza GA nella sua versione gratuita per il perseguimento di finalità meramente statistiche ovvero volte ad ottenere informazioni aggregate sull’attività degli utenti all’interno del proprio sito web. La stessa società, infatti, negli scritti difensivi ha dichiarato di:

• aver aderito all’opzione c.d. “IP-Anonymization” prevista dallo strumento Google Analytics; 
• utilizzare lo strumento solo in forma aggregata e statistica, non vedendo mai il dato grezzo;
• non condividere informazioni aggiuntive con Google (la c.d. “data sharing option”).

Inoltre, Caffeina Media S.r.l. ha rappresentato di non aver i mezzi né le possibilità operative o tecniche per imporre ad un provider del calibro di Google modifiche sulle misure di sicurezza implementate. Allo stesso modo, dato lo scarso controllo a disposizione sullo strumento, risulta difficile, se non impossibile, determinare a livello tecnico se effettivamente i dati personali del reclamante (e degli utenti in generale) sono oggetto di trasferimento. Ciò premesso, le misure di sicurezza di Google sono comunque state oggetto di analisi da parte della società, la quale le ha ritenute “pertinenti ed efficaci in relazione alla natura dei dati e al contesto in cui gli stessi sono stati raccolti nonché al livello di rischio del trasferimento”, richiamando ancora una volta le modalità di utilizzo del servizio, con anonimizzazione dell’IP e “data sharing option” disattivata. 

Sull’anonimizzazione dell’IP

In merito all’anonimizzazione, l’Autorità ha analizzato l’opzione “IP-Anonymization”, la quale comporta l’invio a Google Analytics dell’indirizzo IP dell’utente troncato, in seguito all’oscuramento dell’ottetto meno significativo (ad esempio, gli indirizzi da 122.48.54.0 a 122.48.54.255 vengono sostituiti da 122.48.54.0). Il troncamento dell’IP, tuttavia, non impedisce a Google LLC di re-identificare l’utente, considerando tutte le informazioni complessivamente già in possesso del fornitore. In particolare, spiega il Garante, ciò accade qualora l’interessato navighi avendo effettuato l’accesso al proprio profilo Google: tale operazione, infatti, consente la possibile re-identificazione dell’utente nonostante l’attivazione dell’“IP-Anonymization”.

In ogni caso – e quindi anche qualora l’utente non abbia effettuato l’accesso al proprio profilo – l’Autorità specifica che “l’obbligo di consentire l’accesso, da parte delle Autorità statunitensi, ricade su Google LLC non solo con riferimento ai dati personali importati, ma anche in ordine alle eventuali chiavi crittografiche necessarie per renderli intelligibili”. Da ciò ne consegue che l’anonimizzazione non è mai effettiva: “fintanto che la chiave di cifratura rimanga nella disponibilità dell’importatore, le misure adottate non possono ritenersi adeguate”. 

Sul trasferimento dei dati 

Riguardo al trasferimento effettuato in violazione delle condizioni previste dal Capo V del GDPR, l’Autorità ha richiamato la pronuncia C-311/18, del 16 luglio 2020 (c.d. Schrems II), con cui la Corte di Giustizia dell’Unione Europea ha constatato che il diritto interno degli Stati Uniti (in particolare l’Executive Order 12333 e l’art. 702 del Foreign Intelligence Surveillance Act – di seguito “FISA 702”) comporta limitazioni e deroghe alla normativa in materia di protezione di dati applicabile che “eccedono le restrizioni ritenute necessarie in una società democratica”. 

Tutto ciò con particolare riferimento alle disposizioni che consentono alle Autorità pubbliche statunitensi, nel contesto di programmi di sicurezza nazionale, di accedere senza adeguate limitazioni ai dati personali oggetto di trasferimento; nonché alla mancata previsione di diritti azionabili in sede giudiziaria, in capo ai soggetti interessati. 

Occorre, peraltro, considerare, che la possibilità di accesso ai dati importati, da parte delle Autorità statunitensi, trova conferma nel “Transparency report on United States national security requests for user information” messo a disposizione da Google stessa sul proprio sito. 

Nel report sono compresi i dati statistici inerenti alle richieste di accesso ricevute da Google, ai sensi del FISA 702, su istanza delle Autorità nazionali statunitensi (che, come espressamente riportato, possono riguardare sia dati sui contenuti, sia “non-content metadata”, quali, ad esempio, i campi “da” e “a” nell’intestazione di un’e-mail e gli indirizzi IP associati a un determinato account). 

Sulle misure di sicurezza

In ordine alle misure supplementari di natura tecnica, ma anche contrattuale e organizzativa, il Garante richiama la Raccomandazione n. 1/2020, con la quale l’European Data Protection Board (EDPB) richiedeva, sulla base delle circostanze del trasferimento, che l’esportatore effettuasse una valutazione relativa a fattori oggettivi, quali: 

• la legislazione e le prassi applicabili nel paese terzo; 
• la “possibilità o meno, per le autorità pubbliche del paese terzo (…) di tentare di accedere ai dati” nonché la “capacità o meno, per le autorità pubbliche del paese terzo (…) di accedere ai dati attraverso l’importatore stesso o attraverso i fornitori di telecomunicazioni o i canali di comunicazione”;
• le finalità, la natura dei soggetti coinvolti, il settore in cui avviene il trasferimento, le categorie dei dati personali trasferiti, la circostanza che i dati siano conservati nel paese terzo o vi si acceda da remoto, il formato dei dati da trasferire e gli eventuali trasferimenti successivi.

Caffeina Media S.r.l. ha invece considerato quasi esclusivamente fattori soggettivi per valutare l’eventuale adozione di misure supplementari, quali la disponibilità economica della società; i costi di attuazione delle misure tecniche e organizzative da implementare; il tenore degli articoli e delle tematiche trattate sul sito web “di taglio leggero e concentrato su ambiti di spettacolo”; la possibilità che si verificasse davvero un accesso ai dati da parte di terzi. Il Garante precisa che, anche qualora le misure supplementari contrattuali e organizzative adottate fossero state idonee, l’impedimento derivante della carenza di misure tecniche (una anonimizzazione dell’IP effettiva) non sarebbe stato superabile, rendendo comunque il trattamento illecito.  

Le conseguenze

Richiamando il principio di accountability, il Garante ha pertanto dichiarato il trattamento illecito per violazione dei principi generali del GDPR (art. 5) e delle disposizioni in materia di trasferimenti (artt. 44 e ss.). La violazione di tali norme rientra nella fattispecie di cui all’art. 83 par. 5 del GDPR e comporta sanzioni amministrative pecuniarie fino a 20 000 000 EUR, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.

Nel commisurare l’ammontare delle sanzioni da comminare, che siano effettive, proporzionate e dissuasive, le Autorità di controllo considerano le circostanze di ogni singolo caso, nonché tutti gli elementi riportati al par. 2 dell’art. 83 e dettagliati nelle recenti Linee guida 04/2022 dell’EPDB sul calcolo delle sanzioni amministrative pecuniarie.

Nel caso in esame, l’Autorità ha considerato quindi diversi fattori, fra cui la natura e la gravità della violazione, il carattere colposo della stessa, l’assenza di precedenti violazioni, l’attività di “leale collaborazione” di Caffeina Media S.r.l. con il Garante, il miglioramento infrastrutturale in termini di sicurezza apportato dalla società, l’aggiornamento del content management system (CMS) utilizzato per la creazione e la gestione del sito www.caffeinamagazine.it, nonché l’analisi circa l’implementazione di uno strumento alternativo di web analytics che “non si affiderà più esclusivamente a tracciamenti tramite cookie e che (…) non conserverà più gli indirizzi IP degli interessati”. 

A conclusione del procedimento ispettivo, stante anche l’asimmetria di potere derivante dalla primaria posizione di mercato assunta da Google nel settore dei servizi di web analytics, ha pertanto deciso di qualificare l’accaduto come “violazione minore”, adottando il provvedimento correttivo dell’ammonizione e ordinando la sospensione dei flussi informativi verso Google LLC con sede negli Stati Uniti.

Si fa presente che le conseguenze derivanti dalla violazione avrebbero potuto essere molto più gravi per la società. Sicuramente ha inciso, nella definizione del provvedimento, il fatto che fosse la prima pronuncia dell’Autorità in materia, peraltro su un tema particolarmente complesso per via della posizione del provider e dei risvolti di natura tecnica, non sempre facili da presidiare. 

Ora, però, le organizzazioni titolari del trattamento non sono più giustificate e devono trovare una soluzione per adeguarsi, se vogliono continuare ad analizzare il traffico sui propri siti web. Peraltro, molte situazioni non conformi sono state e stanno venendo portate all’attenzione del Garante da un gruppo di attivisti e hacker “cittadine e cittadini attenti alla privacy ed alla tutela dei diritti cibernetici nel nostro Paese”. Si preannunciano quindi ampi controlli sul tema, svolti dal Garante con l’ausilio del Nucleo Speciale Tutela Privacy e Frodi Tecnologiche della Guardia di Finanza.  

Come comportarsi

Non potendo ricorrere alle deroghe per il trasferimento di cui all’art. 49 GDPR (in quanto il trasferimento non sarebbe occasionale, come chiarito dall’EPDB nelle Linee guida 2/2018), il primo step per adeguarsi è dismettere lo strumento Google Analytics. Come abbiamo visto, infatti, l’implementazione di misure di sicurezza di natura contrattuale e organizzative è la compensazione di una criticità che permane, ovvero l’incompleta anonimizzazione e l’accesso ai dati (compresa la chiave di cifratura) da parte delle Autorità statunitensi, previsto dalla FISA 702. 

Anche l’alternativa proposta da Google stessa, ovvero “Analytics 4”, presenta le stesse criticità: Google dichiara che con il passaggio ad Analytics 4 dal 2023 verranno implementati nuovi controlli per la privacy “come la misurazione senza cookie e la definizione di modelli comportamentali e delle conversioni” tuttavia, esaminando la guida “Privacy e dati nell’UE” (sezione assistenza all’uso di Analytics), si legge che “Google Analytics 4 raccoglie tutti i dati provenienti dai dispositivi che si trovano nell’UE (in base alla ricerca geografica dell’IP) attraverso domini e server nell’UE prima di inoltrare il traffico ai server di Analytics per l’elaborazione”. 

Ne deriva che, per quanto il provider si impegni a implementare misure di sicurezza, la principale criticità relativa al trasferimento verso i server ubicati negli Stati Uniti permane. Qualora l’organizzazione abbia la necessità di analizzare il traffico sui propri siti web, è pertanto tenuta a ricercare soluzioni altrove. 

Alternative 

Le alternative con server ubicati nello Spazio Economico Europeo (SEE) non mancano. Fra tutte, negli ultimi mesi, si è parlato parecchio del tool WAI (Web Analytics Italia), piattaforma nazionale di raccolta e analisi dei dati statistici relativi al traffico dei siti e servizi digitali della Pubblica Amministrazione italiana. Lo strumento, sviluppato da AGID (Agenzia per l’Italia digitale), consente di mantenere la proprietà dei dati ed il controllo totale sugli stessi, bypassando il problema del trasferimento. Per aderire a WAI è necessario essere una Pubblica Amministrazione e seguire le istruzioni presenti sul sito dedicato. Le organizzazioni private possono far affidamento sul software open source alla base di WAI (Matomo), oppure valutare le (tante) altre soluzioni disponibili sul mercato.  

Adempimenti

In ogni caso, affidare il trattamento dei dati personali degli utenti ad un fornitore terzo (qualunque esso sia), comporta la necessità di effettuare una valutazione preventiva nell’ottica di privacy by design ed una configurazione del trattamento nell’ottica di privacy by default. 

Fra le altre attività da compiere per evitare di incorrere in reclami, segnalazioni e potenziali sanzioni, fondamentale è verificare che il provider effettivamente fornisca “garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato” (art. 28 par. 1 GDPR). Per compiere questa valutazione, il titolare del trattamento dovrà verificare (a titolo esemplificativo e non esaustivo):

• La presenza di un “contratto o altro atto giuridico” conforme all’art. 28 par. 2 GDPR;
• L’ubicazione dei server dove il responsabile e gli eventuali sub responsabili tratteranno i dati;
• La presenza di una decisione di adeguatezza del paese terzo o di misure di salvaguardia ai sensi degli artt. 46 e ss., qualora i server siano ubicati al di fuori del SEE;
• L’adozione di misure di sicurezza e di misure di sicurezza supplementari, qualora i server siano ubicati al di fuori del SEE;
• Le modalità di gestione dei dati ed i termini di conservazione degli stessi;
• La presenza di certificazioni, standard di qualità e sicurezza, policy e procedure, codici di condotta e altri documenti che dimostrino la conformità del fornitore;
• In generale, la conformità al GDPR del fornitore (la presenza di istruzioni funzionali al trattamento; la formazione; la tenuta del registro delle attività di trattamento; la realizzazione di DPIA; la nomina di un DPO; le informazioni fornite agli interessati; la gestione dei diritti; la gestione di eventuali data breaches; etc.).

Questi adempimenti si applicano non solo per la scelta di un provider alternativo a Google per il servizio di Analytics del traffico web, ma, in generale, in tutti i casi in cui un trattamento debba essere affidato ad un terzo. In tale contesto ed in seguito alla Sentenza nella causa C-311/18 (Schrems II) le organizzazioni dovrebbero già aver compiuto una ricognizione di tutti i trasferimenti extra SEE effettuati – pensiamo agli altri cookies di Google o Facebook implementi sui siti web, o a tutti i vari servizi Cloud S.a.a.S., indispensabili per le organizzazioni ed ubicati extra SEE – ed aver provveduto ad effettuare un assessment sull’impatto privacy di tali trasferimenti (Data Transfer Impact Assessment – DTIA). Se così non fosse, la decisione del Garante rappresenta un turning point determinante per le organizzazioni che ancora non si sono adeguate. 

Ti invitiamo pertanto a contattarci per discutere con un nostro consulente, per il tempo di un caffè virtuale, analizzando quali azioni è prioritario intraprendere nella tua realtà.