Google Analytics e trasferimenti: i 90 giorni stanno per scadere. Le novità e come comportarsi

La decisione dello scorso 9 giugno, con la quale il Garante per la protezione dei dati personali dichiarava che il sito web dotato di Google Analytics non era conforme al GDPR e in violazione delle norme sul trasferimento extra SEE dei dati personali, ha rappresentato un turning point determinante per le organizzazioni, che, giocoforza, si sono trovate a valutare se dismettere lo strumento di analisi del traffico web o se ricorrere a strumenti alternativi adeguati al Regolamento UE in materia di protezione dei dati personali. 

Nel provvedimento, l’Autorità concedeva a Caffeina Media S.r.l. un termine di novanta giorni per comunicare le iniziative intraprese per adeguarsi, nonché per adottare misure giuridiche e/o organizzative e/o tecnologiche capaci di garantirne un funzionamento compatibile con il GDPR. Trascorsi i tre mesi in questione, il Garante ha dichiarato che “inizierà a fare ispezioni e verifiche per fare in modo, per quanto possibile, che tutti quanti si trovino in posizioni identiche, siano trattati allo stesso modo, così da evitare il crearsi di antipatiche asimmetrie”. 

Il fatidico termine è ormai in procinto di scadere, urge quindi che le organizzazioni prendano una decisione definitiva in merito all’uso dello strumento. Vediamo quindi come comportarsi per evitare di incorrere in sanzioni, più alcuni utili suggerimenti dalla CNIL (l’Autorità di controllo Francese per la protezione dei dati personali).

Il trattamento illecito

La svolta, rispetto ai trasferimenti effettuati verso gli Stati Uniti, è stata determinata dalla ormai nota sentenza “Schrems II”. Con la decisione della causa C-311/18 del 16 luglio 2020, infatti, la Corte di Giustizia dell’Unione Europea (“CGUE”) dichiarava nulli tutti i precedenti accordi fra Unione Europea e Stati Uniti - il “Safe Harbor” ed il “Privacy Shield” - per via dell’ingerenza delle Autorità pubbliche statunitensi sul trattamento dei dati personali importati. 

Nello specifico, la CGUE evidenziava come taluni programmi di sorveglianza statunitensi, svolti per fini di sicurezza nazionale, consentivano l’accesso da parte delle Autorità pubbliche ai dati personali trasferiti dall’Unione Europea, senza limitazioni e senza adeguate garanzie a tutela dei diritti dei soggetti interessati. Il trattamento illecito derivava quindi dall’incompatibilità fra le disposizioni sui trasferimenti di cui al Capo V del GDPR e norme dell’ordinamento statunitense come l’articolo 702 del Foreign Intelligence Surveillance Act (“FISA”) e l’Executive Order (“EO”) 12333. 

Per quanto riguarda lo specifico caso in esame, la possibilità di accesso ai dati importati da parte delle Autorità statunitensi, trova conferma nel “Transparency report on United States national security requests for user information” messo a disposizione da Google stessa sul proprio sito. In tale report, infatti, sono compresi i dati statistici inerenti alle richieste di accesso ricevute da Google, ai sensi del FISA 702, su istanza delle Autorità nazionali statunitensi (che, come espressamente riportato, possono riguardare sia dati sui contenuti, sia “non-content metadata”, quali, ad esempio, i campi "da" e "a" nell'intestazione di un'e-mail e gli indirizzi IP associati a un determinato account).

Il fermento post decisionale

La decisione ha scatenato, come in parte comprensibile, reazioni spesso opposte, contrastanti, più o meno ragionevoli. Alcuni hanno fatto notare come il provvedimento riguardasse Google Analytics (versione Universal “UA”) e non la versione più aggiornata del servizio, ovvero Google Analytics 4 (“GA4”). Sebbene il Garante effettivamente non si sia espresso in merito, Guido Scorza, componente del collegio dell’Autorità, ha spiegato in un’intervista  le ragioni per cui è legittimo dubitare che, all’atto pratico, esista una versione di Analytics conforme. Questo in quanto, come abbiamo visto, il problema è a monte e ben più ampio della questione relativa all’anonimizzazione degli indirizzi IP dopo la raccolta dei dati. Se è vero che Analytics 4 include nuovi controlli per la privacy, bisognerà operare una verifica di conformità ed attendere che le Autorità si esprimano in merito all’uso della nuova versione. 

Lo scenario peggiore si avvicina 

Lo scenario peggiore sta quindi per verificarsi. Come dovrebbe comportarsi un’organizzazione per essere conforme al GDPR e non rischiare di incorrere in sanzioni? Prima di rispondere a questo interrogativo, vediamo come si sono comportate molte realtà fino ad oggi.  

1. In questi mesi, molte organizzazioni, più o meno consapevolmente, hanno deciso di continuare ad utilizzare Google Analytics, nella speranza di un accordo a cappello UE - USA o di non incorrere in sanzioni
2. Le organizzazioni che hanno scelto di continuare ad utilizzare Analytics, spesso si sono limitate a modificarne i parametri di funzionamento, impostando l’anonimizzazione dell’IP
3. Altre organizzazioni hanno deciso di mantenere lo strumento ma passando alla versione Google Analytics 4
4. Alcune organizzazioni, invece, hanno scelto di passare direttamente a strumenti alternativi a Google Analytics / Google Analytics 4
5. Diverse organizzazioni, hanno optato per dismettere del tutto l’utilizzo dello strumento. Ciò è generalmente avvenuto nei casi in cui l’attività di gestione del sito web veniva interamente affidata al webmaster ma non vi era l’effettiva esigenza di analisi del traffico webù

Soffermandoci sul primo caso, possiamo ormai dire che, a meno che non venga finalizzato un accordo internazionale nei prossimi (pochi) giorni restanti, le organizzazioni che hanno fatto affidamento su tale accordo transatlantico effettuano trattamenti illegali e sono potenzialmente soggette alle sanzioni di cui all’articolo 83 paragrafo 5 del GDPR (sanzioni amministrative pecuniarie fino a 20 000 000 EUR, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell'esercizio precedente, se superiore), per violazione delle disposizioni sui trasferimenti di dati personali a un destinatario in un paese terzo.

Nel secondo caso l'utilizzo della “crittografia” dell'identificatore generato da Google Analytics, o la sua sostituzione con un identificatore generato dal gestore del sito, fornisce poche o nessuna garanzia aggiuntiva contro la possibile reidentificazione degli interessati, soprattutto a causa del trattamento persistente dell'indirizzo IP da parte di Google. Anche questa casistica espone i titolari alle sanzioni dell’art. 83 del GDPR.

Nel terzo caso, come anticipato, seppure il Garante non si sia ancora espresso sull’uso di Google Analytics 4, vi è un rischio intrinseco che resta difficile da fugare. Il discrimine sta nell’analisi delle condizioni legali e delle misure tecniche ed organizzative implementate affinché i dati non vengano trasferiti, in nessun modo e forma, verso gli Stati Uniti. Qualora, tuttavia, il titolare non riuscisse a risalire a tali misure a garanzia dei diritti e delle libertà delle persone fisiche interessate, sarebbe potenzialmente soggetto alle stesse sanzioni di cui sopra.

Il quarto caso rappresenta una soluzione valida ma non esente da criticità: molti degli strumenti alternativi ad Analytics comportano, a loro volta, trasferimenti extra SEE, per cui ne vanno attentamente valutati i termini e le condizioni di utilizzo. Inoltre, tali strumenti hanno spesso un costo più elevato e vanno configurati, possibilmente seguendo le raccomandazioni delle Autorità di controllo, ove presenti.

Un'altra strada: soluzione della CNIL

In questi mesi, nel fornire supporto alle organizzazioni nella scelta fra le soluzioni percorribili, l’Autorità di controllo più attiva è sicuramente stata la CNIL (Commission nationale de l'informatique et des libertés). Già a settembre dello scorso anno, l’Autorità francese aveva pubblicato un elenco di soluzioni di analisi del traffico conformi al GDPR, con una guida alla configurazione. Più di recente, il 20 luglio, l’Autorità ha pubblicato delle FAQ . Nelle FAQ la CNIL presenta una possibile soluzione:

“Esistono garanzie aggiuntive sufficienti per continuare a utilizzare il solo strumento di Google Analytics?

Nessuna delle garanzie aggiuntive presentate alla CNIL nel contesto della comunicazione formale impedirebbe o renderebbe inefficace l'accesso dei servizi di intelligence statunitensi ai dati personali degli utenti europei quando si utilizza il solo strumento di Google Analytics.

Tuttavia, una soluzione che preveda un server proxy per evitare qualsiasi contatto diretto tra il terminale dell'utente e i server dello strumento di misurazione potrebbe essere possibile. Tuttavia, è necessario garantire che il server soddisfi una serie di criteri per poter considerare questa misura aggiuntiva in linea con quanto previsto dall’EDPB nelle sue raccomandazioni del 18 giugno 2021”.

Sempre in data 20 luglio, facendo seguito alle FAQ, la CNIL ha pubblicato una guida su come rendere Analytics conforme al GDPR. In questa guida viene descritta, in modo più approfondito, la soluzione del server proxy (di cui sopra), per evitare il contatto diretto tra il terminale dell'utente ed i server dello strumento di analisi. La CNIL ribadisce che tale soluzione, per essere valida, necessita di un’analisi approfondita, in particolare considerando le raccomandazioni 01/2020 del 18 giugno 2021 dell’EDPB (Comitato Europeo per la Protezione dei Dati), relative alle misure che integrano gli strumenti di trasferimento al fine di garantire il rispetto del livello di protezione dei dati personali dell’UE.

Parola d’ordine: accountability

Concludendo, rispetto ai comportamenti tenuti fino ad ora, poche organizzazioni hanno operato una valutazione realmente consapevole e più ampia, che fosse effettivamente privacy compliant. A supporto di questa valutazione, in grado di tutelare effettivamente il titolare verso istanze di interessati o richieste dell’Autorità di controllo, dovrebbero contribuire:

• La corrispondenza con i consulenti ed i pareri legali che, in accountability, costituiscono uno strumento importante per dimostrare che il titolare del trattamento si è attivato ricercando soluzioni conformi ed in grado di garantire, al tempo stesso, la prosecuzione dell’attività di impresa;
• I pareri dei Responsabili della Protezione dei Dati, ove presenti;
• Le discussioni con gruppi di lavoro organizzati per discutere sul tema ed i conseguenti verbali / follow up;
• Il coinvolgimento dei tecnici informatici e web, con l’analisi delle possibili soluzioni IT percorribili in grado di garantire la conformità;
• L’analisi tecnica e legale delle possibili soluzioni alternative;
• La valutazione di rischi e criticità rispetto alle varie soluzioni percorribili.

La tua organizzazione sarebbe in grado di dimostrare la conformità in caso di ispezioni? Il nostro team di consulenti può supportarti nel raggiungimento della compliance privacy, anche rispetto agli strumenti di web analytics. Scrivici per un preventivo gratuito.