Google Analytics: trasferimento dati extra UE

Con Provvedimento del 9 giugno 2022 n. 224 il Garante per la Protezione dei Dati Personali ha affrontato il tema del trasferimento dati extra UE tramite l’utilizzo nei siti di Google Analytics.

Chi utilizzi Google Analytics per analizzare le statistiche sui visitatori del proprio sito ottiene informazioni utili ad ottimizzare i servizi resi e monitorare l’efficacia delle campagne di marketing. Oggetto del Provvedimento è il caso di un titolare, proprietario del sito, che opera in qualità di titolare del trattamento, mentre, fino ad aprile 2021, Google LLC ha rivestito il ruolo di responsabile ex Art. 28 GDPR, sulla base dei Google Analytics Terms of Services e dei Google Ads Data Processing Terms. Da maggio 2021 è subentrata quale controparte contrattuale dei Google Analytics Terms of Services, Google Ireland Ltd, che contrattualmente elenca tra i propri subresponsabili anche Google LLC.

Nel caso in esame i dati raccolti consistevano in identificazione del browser o del dispositivo dell’utente che visita il sito web attraverso l’ID account Google, oltre all’indirizzo IP del dispositivo. Quest’ultimo costituisce dato personale nella misura in cui consente di identificare un dispositivo di comunicazione rendendo pertanto indirettamente identificabile l’interessato in qualità di utente. Inoltre qualora l’utente acceda attraverso l’account Google, i dati possono essere associati ad informazioni dell’account, a cominciare dall’indirizzo mail, numero di telefono, data di nascita, immagine del profilo.

Dunque, l’utilizzo di Google Analytics, ha comportato trasferimento di dati personali dei visitatori del sito verso Google LLC negli Stati Uniti.

Google Analytics: trasferimento dati personali verso Google LLC negli Stati Uniti

A questo proposito è bene ricordare che il trasferimento di dati personali all’estero, cioè fuori UE, può avere luogo se il titolare del trattamento e il responsabile rispettano le condizioni atte ad assicurare che il livello di tutela delle persone fisiche, garantito dal Regolamento UE 2016/679-GDPR, non sia pregiudicato. Il trasferimento dati personali verso un Paese terzo o un’organizzazione internazionale è ammesso se la Commissione ha deciso che il Paese terzo, o l’organizzazione in questione, garantiscono un livello di protezione adeguato o, in mancanza di una valutazione di adeguatezza, se l’organizzazione ha offerto garanzie adeguate e a condizione che siano disponibili diritti azionabili degli interessati e mezzi di ricorso effettivi.

“In ordine all’inadeguatezza della normativa statunitense, la Corte di giustizia non si è limitata all’esame del quadro giuridico vigente all’epoca dell’adozione del Privacy Shield. Piuttosto, ha tenuto conto delle disposizioni normative inerenti ai programmi di sorveglianza (cfr., in particolare, FISA 702) vigenti al momento dell’emanazione della pronuncia, statuendo che le stesse non garantiscono un livello di protezione sostanzialmente equivalente a quello di cui all’articolo 52, paragrafo 1, della Carta dei diritti fondamentali dell’Unione Europea;

relativamente all’individuazione dei dati che possono essere oggetto di accesso da parte delle Autorità statunitensi ai sensi del FISA 702, nel White Paper del settembre 2020 sono contenute indicazioni di portata generale in ordine all’oggetto delle richieste di accesso che possono essere effettuate dalle agenzie di intelligence, tali da non escludere a priori che, oltre all’indirizzo e-mail e al numero di telefono degli utenti, esse possano riferirsi anche agli indirizzi IP. A conferma di ciò, si evidenzia altresì che nel “Transparency report on United States national security requests for user information” messo a disposizione da Google sul proprio sito, proprio l’indirizzo IP appare ricompreso tra le informazioni che possono essere oggetto di richiesta di accesso ai sensi del FISA 702 unitamente ad altri metadata (v. in particolare, la descrizione contenuta nella sezione denominata “non-content requests under FISA”);

da ultimo, rispetto alla valutazione di idoneità delle misure supplementari adottate nel caso di specie, la Società, -nel prendere in considerazione elementi diversi da quelli contemplati dall’EDPB quali: la “disponibilità economica”, “i costi di attuazione” delle misure tecniche e organizzative da implementare, “il tenore degli articoli e delle tematiche (…) di  taglio leggero e concentrato su ambiti di spettacolo” veicolati dal sito web, ha sostanzialmente basato la predetta valutazione sulla “probabilità che si verifichi il rischio di accesso ai dati da parte di terzi” e sulla “gravità della possibile insorgenza del [predetto] rischio. Al riguardo, di contro, si ribadisce che la Corte, nella succitata pronuncia, non ha fatto riferimento ad “alcun fattore soggettivo, come ad esempio, la probabilità di accesso” ai dati personali trasferiti (v. Parere congiunto 2/2021 dell’EDPB e del GEPD, cit., par. 87).”

Qualora la normativa vigente, come nel caso in esame, non consenta di assolvere ai vincoli GDPR, il proprietario del sito deve adottare misure supplementari atte a garantire un livello di protezione analogo a quanto previsto dal GDPR, sia di natura tecnica che contrattuale. Ma imporre vincoli contrattuali ad un soggetto come Google, data l’asimmetria contrattuale causata dalla sua posizione dominante del mercato, risulta piuttosto eufemistico e, d’altro canto, anche le misure tecniche si limitano a meccanismi controllati da Google, come ad esempio la funzione di IP-Anonymization.

La conclusione di illiceità del trattamento non lascia concrete alternative alla sospensione dei flussi di dati verso Google LLC negli Stati Uniti.

Esiste un’alternativa a Google Analytics per essere a norma con il GDPR?

L’utilizzo di Google Analytics, che coinvolge anche la PA, è già stato ritenuto illecito dall’EDPS, dall’Autorità di controllo austriaca e da quella francese: i fornitori USA che rientrano nel FISA 702 e EO 12.333, secondo le leggi sulla sicurezza nazionale USA, debbono mettere a disposizione delle agenzie di sicurezza americane tutti i dati trattati.

AgID, nelle proprie ‘Linee guida di design per i siti internet e i servizi digitali della PA’ suggerisce di sostituire Google Analytics con una versione opensource italiana: Web Analytics Italia, ma il Garante non si è ancora espresso e, di contro, non è nemmeno chiaro cosa succederà da qui in avanti a chi continua ad utilizzare Analytics di Google che intanto, ha lanciato il nuovo servizio Google Analytics 4 che, a quanto dichiarano, risolverà a monte il problema.

Ma che dire di tutti gli altri? Come Google Analytics viola il GDPR, lo stesso potrebbero fare strumenti di Amazon, Microsoft, Apple…

Intanto? È bene ricordare che l’EDPB ha specificato che è ancora possibile trasferire dati verso gli Stati Uniti sulla base delle deroghe previste dall’Art.49 del GDPR, purché siano soddisfatte le condizioni indicate al medesimo. In particolare, come previsto allo stesso, par.1 lett.a, il trasferimento dati extraUe è possibile quando “l’interessato abbia esplicitamente acconsentito al trasferimento proposto, dopo essere stato informato dei possibili rischi di siffatti trasferimenti per l’interessato, dovuti alla mancanza di una decisione di adeguatezza e di garanzie adeguate”, dunque in presenza di un consenso esplicito, specifico con riguardo al particolare trasferimento, e informato.