Il 23 giugno 2022 il Garante Privacy italiano ha pubblicato il testo di un provvedimento assunto nei confronti di un’azienda titolare di un noto sito Web. L’Autorità ha ammonito l’azienda ingiungendo alla stessa di conformarsi al Regolamento europeo (GDPR) entro il termine perentorio di 90 giorni.
Esaminando quanto pubblicato dal Garante ci si rende conto di come la decisione sia stata assunta in seguito a una lunga e complessa istruttoria che si è sviluppata anche in coordinamento con il lavoro svolto dalle altre Autorità privacy europee.
L’aspetto più rilevante che emerge in conclusione è l’illiceità dei trasferimenti effettuati verso gli Stati Uniti e in particolare attraverso Google Analytics, il servizio di web analytics gratuito fornito dall’azienda di Mountain View che permette di generare statistiche dettagliate sui visitatori di un sito Web. Il codice Google Analytics viene caricato via JavaScript dal browser ed è presente in tutte le pagine Web dei siti (oggi la stragrande maggioranza) che utilizzano la piattaforma per compilare statistiche in tempo reale.
Il Garante italiano, confermando le decisioni che erano arrivate da altre Autorità europee nei mesi scorsi, ha stabilito che l’utilizzo di Google Analytics vìola le disposizioni a tutela della privacy degli utenti. A risponderne non è Google, quindi, ma i soggetti che scelgono di utilizzare la sua soluzione di web analytics.
Senza giri di parole, gli Stati Uniti vengono definiti come un Paese privo di un adeguato livello di protezione per i dati degli utenti europei.
Allo stato attuale gli enti regolatori europei e statunitensi stanno lavorando su una nuova versione dell’accordo conosciuto come Privacy Shield o Scudo UE-USA per la privacy: precedentemente dichiarato non più valido, esso permetterebbe lo scambio di dati a carattere commerciale tra le due regioni.
Per adesso, però, non essendo più in essere tale protezione, tutti coloro che usano Google Analytics come altri strumenti che scambiano dati con aziende USA possono essere potenzialmente fuorilegge. E non sarebbe neppure utile, in punto di diritto, l’attivazione di server Google fisicamente posizionati entro i confini dell’Unione europea perché l’azienda fondata da Larry Page e Sergey Brin è una realtà che ha comunque sede principale Oltreoceano ed è quindi prona alle decisioni degli enti e, potenzialmente, delle agenzie (comprese quelle di intelligence) statunitensi.
Sulla graticola ci sono quindi, ancora una volta, gli editori e in generale i gestori di tutti i siti Web. E non si pensi che il problema sia limitato alle realtà di più grandi dimensioni: l’utilizzo di Google Analytics riguarda le aziende più strutturate e importanti in termini di fatturato come le piccole realtà, vera linfa vitale dell’Internet italiana, così come i siti Web degli appassionati e di chi pubblica in rete per semplice passione o per hobby. Come si legge all’articolo 83 del GDPR le sanzioni possono essere veramente pesanti.
Va detto che le Autorità Garanti per la protezione dei dati personali si stanno muovendo con i proverbiali piedi di piombo: finora sanzioni non se ne sono viste o al massimo sono state comminate in misura “simbolica”.
Certo è che il cerchio comincia a chiudersi e la stretta sul trasferimento dei dati oversea come verso qualunque altro Paese che non offre le garanzie previste a livello di GDPR si fa sempre più pressante.
Leggendo il provvedimento del Garante si scoprono poi altri aspetti di grande interesse per i gestori di siti Web:
1) Google Analytics fornisce un meccanismo di anonimizzazione o mascheramento degli indirizzi IP pubblici degli utenti che visitano il sito (ove il codice di Analytics è utilizzato).
Tale opzione, ricorda il garante, comporta l’invio a Google Analytics dell’indirizzo IP dell’utente previo oscuramento dell’ottetto meno significativo (in base a tale operazione, ad esempio, gli indirizzi da 122.48.54.0 a 122.48.54.255 sarebbero sostituiti da 122.48.54.0).
L’Autorità specifica però che l’utilizzo dell’opzione di mascheramento dell’IP fornita da Google non è sufficiente per conformarsi con le disposizioni del GDPR perché “il troncamento dell’ultimo ottetto non impedisce a Google LLC di re-identificare l’utente medesimo, tenuto conto delle informazioni complessivamente detenute dalla stessa relative agli utenti del Web. Sussiste, inoltre, in capo alla medesima Google LLC la possibilità −qualora l’interessato abbia effettuato l’accesso al proprio profilo Google− di associare l’indirizzo IP ad altre informazioni aggiuntive già in suo possesso (quali le informazioni contenute nell’account utente). Tale operazione, pertanto, nonostante l’attivazione dell’“IP-Anonymization”, consente comunque la possibile re-identificazione dell’utente“.
2) L’indirizzo IP dovrebbe essere sempre considerato come dato personale (addirittura il Garante nel 2016 concluse che lo stesso MAC address può essere valutato tale).
3) Il Garante tiene sempre e comunque in considerazione la gravità dei trattamenti illeciti effettuati. Un conto, ad esempio, è trasferire verso terzi (Google Analytics compreso) indirizzi IP e dati “generici”, un altro è trasferire informazioni da pagine che gestiscono dati clinici, relativi alla salute degli individui, all’orientamento politico, sessuale, religioso e in ogni caso dati particolarmente sensibili.
In una nota stampa, il Garante ha invitato tutti i gestori di siti Web, senza distinzioni, a verificare la conformità delle proprie pagine e dei trattamenti di dati effettuati con la normativa in materia di protezione dei dati personali.
Sulla base di quanto tutti gli amministratori di siti Web hanno tempo almeno fino al 7 settembre 2022 (scadenza dei 90 giorni concessi all’azienda oggetto del provvedimento) per mettersi in regola (21 settembre 2022 se si considera la data di pubblicazione della decisione).
Cosa fare? La discussione è aperta ed è veramente complessa anche perché va ad impattare direttamente con il business di ogni realtà editoriale.
In questa pagina viene consigliato l’uso della Google Consent Mode oppure il blocco preventivo di Google Analytics. Entrambi gli interventi hanno però, inevitabilmente, un forte impatto.
Alcuni suggeriscono l’utilizzo di uno schema di proxying che preveda l’anonimizzazione dei dati prima dell’invio a Google Analytics: potrebbe però essere una soluzione di difficile applicazione anche per il professionista e non solo per l'”utente normale”.
La soluzione più draconiana sarebbe quella di abbandonare Google Analytics con tutte le conseguenze del caso e, ad esempio, orientarsi su servizi di data analytics a pagamento con sede in Europa e server cloud europei (approccio SaaS, Software-as-a-Service). Già per le realtà editoriali medio-piccole si tratta però di fare investimenti economici spesso molto importanti quando un Google Analytics è disponibile a costo zero.
L’ulteriore alternativa potrebbe essere quella di predisporre un proprio servizio di web analytics orientando la scelta, ad esempio, su piattaforme open source. Anche in questo caso non è propriamente tutto rose e fiori perché per un sito che fa traffico ciò significa configurare almeno un server cloud o una macchina dedicata con una spesa mensile che può incidere significativamente sugli introiti dell’attività. Aumenteranno inoltre enormemente le responsabilità proprie in termini di protezione e responsabilità in materia di tutela dei dati.
Per non parlare del fatto che gli analytics di una soluzione on-premise avranno certamente uno scarso appeal sul piano più squisitamente commerciale rispetto a informazioni “certificate” da una realtà come Google.
A questo punto andrà visto se l’eventuale aggiornamento a Google Analytics 4 (GA4) e l’utilizzo di una serie di impostazioni di anonimizzazione riceverà l’approvazione delle Autorità garanti.
Secondo alcune interpretazioni, infatti, GA4 potrebbe non risolvere il problema e non essere una soluzione completamente “GDPR-compliant”. Da parte sua, invece, Google ha pubblicato la pagina Privacy e dati nell’UE in cui scrive, tra l’altro: “durante la raccolta dei dati, Google Analytics 4 non registra né archivia gli indirizzi IP. Analytics elimina eventuali indirizzi IP raccolti sugli utenti dell’UE prima di registrare questi dati tramite domini e server che si trovano nell’UE“.
La Pubblica Amministrazione italiana, recentemente investita dal “problema Google Analytics”, sta guardando anche a una soluzione come Web Analytics Italia di AgID ma i privati, d’ora in avanti, saranno costretti a misurarsi con una serie di adempimenti la cui portata in termini tecnici ed economici forse non è mai stata soppesata neppure dal legislatore europeo.
È inoltre vero che il provvedimento del Garante Privacy del 23 giugno 2022 ha valenza su un caso specifico ma è la stessa Autorità a esortare tutti i gestori di siti Web ad adeguarsi. Per approfondire, le FAQ del CNIL in materia di Google Analytics consentono di avere una visione ancora più completa dell’argomento, molto più di quanto non abbiamo provato a riassumere in questo nostro articolo.
Suggeriamo anche di consultare le FAQ sulla sentenza Schrems II e sui suoi effetti.