Con Provvedimento del 9 giugno 2022 [doc. web n.9782890], il Garante per la protezione dei dati personali ha affrontato la questione relativa alla illiceità dei trasferimenti effettuati dalle società che gestiscono siti web verso Google LLC con sede negli Stati Uniti, per il tramite dello strumento di Google Analytics.
Nell’ambito dell’istruttoria è stato accertato che la società, che gestisce il sito web, ha trasferito a Google LLC, con sede negli Stati Uniti, i dati personali dell’utente trattati per il tramite del suddetto sito internet. Questo trasferimento è avvenuto in assenza delle garanzie previste dal Capo V GDPR rubricato “Trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali.
Ciò in quanto la normativa statunitense non garantisce un livello di protezione adeguato e conforme alla disciplina di cui al Capo V GDPR e la società non ha adottato misure tecniche e organizzative adeguate per garantire ed essere in grado di dimostrare che il trattamento sia effettuato conformemente al GDPR, né ha reso l’informativa di cui all’art.13 par.1 lett.f) GDPR.
Vediamo nello specifico l’analisi condotta dal Garante.
Illiceità dei trasferimenti di dati personali verso gli Stati Uniti
Il Garante ha osservato che Google Analytics è uno strumento di web analytics fornito da Google ai gestori di siti internet che consente a questi ultimi di analizzare dettagliate statistiche sugli utenti nell’ottica di ottimizzare i servizi resi e di monitorare le proprie campagne di marketing raccogliendo mediante cookies trasmessi al browser degli utenti, varie informazioni in ordine alle modalità di interazione di questi ultimi con il sito web, tra cui anche l’indirizzo IP del dispositivo utilizzato dall’utente.
A questo proposito, il Garante ha affermato che “l’indirizzo IP costituisce un dato personale nella misura in cui consenta di identificare un dispositivo di comunicazione elettronica, rendendo pertanto indirettamente identificabile l’interessato in qualità di utente” in special modo quando l’IP sia associato ad altre informazioni relative al browser utilizzato, alla data e all’ora della navigazione (cfr. Gruppo ex art. 29, WP 136, Parere n. 4/2007; considerando 30 del Regolamento).
Insufficienza dell’IP-Anonymization
Nell’ambito del servizio Google Analytics, Google mette a disposizione dei gestori dei siti web un’opzione denominata “IP-Anonymization” che comporta l’invio a Google Analytics dell’indirizzo IP dell’utente previo oscuramento dell’ultimo ottetto. A questo proposito il Garante ha osservato che l’oscuramento dell’ultimo ottetto, non esclude la possibile identificazione, in quanto, qualora l’interessato abbia effettuato l’accesso al proprio profilo Google, si ha comunque la possibilità di associare l’indirizzo IP ad altre informazioni aggiuntive già in suo possesso, potendo in tal modo re-identificare l’utente. Ne consegue che ’“IP-Anonymization” si concreta in una pseudonimizzazione del dato relativo all’indirizzo di rete dell’utente, che non ne esclude l’identificazione.
La posizione della Corte di Giustizia dell’Unione Europea
In una recente pronuncia, la Corte di Giustizia dell’Unione Europea ha puntualizzato che, in base al principio di accountability, i titolari del trattamento, in qualità di esportatori devono caso per caso anche in collaborazione con l’importatore nel Paese terzo, effettuare un’analisi della legislazione del Paese terzo e delle sue prassi rilevanti per il trasferimento nonché dello strumento di trasferimento utilizzato al fine verificare se tale legislazione, tali prassi e tali strumenti siano conformi al disposto di cui all’art.46 RGPD a norma del quale “il titolare del trattamento o il responsabile del trattamento può trasferire dati personali verso un Paese terzo o un’organizzazione internazionale solo se ha fornito garanzie adeguate e a condizione che gli interessati dispongano di diritti azionabili e mezzi di ricorso effettivi” (par.1). Questa valutazione deve “essere basata su fattori oggettivi, indipendentemente dalla probabilità di accesso ai dati personali”, tra cui le finalità, la natura dei soggetti coinvolti, le categorie dei dati personali trasferiti, la circostanza che i dati siano conservati nel Paese Terzo o vi si acceda da remoto, gli eventuali trasferimenti successivi ecc.
In particolare per quanto riguarda la possibilità di accesso da parte delle Autorità statunitensi, la Corte di Giustizia analizzando la normativa di riferimento contenuta nel “Transparency report on United States national security requests for user information”, ne ha evidenziato l’inadeguatezza in considerazione del fatto che il suddetto documento colloca anche l’indirizzo IP tra le informazioni che possono essere oggetto di richiesta di accesso delle Autorità nazionali statunitensi, ai sensi del FISA 702, le cui disposizioni non garantiscono un livello di protezione sostanzialmente equivalente a quello previsto dall’Unione Europea.
Obblighi del titolare del trattamento
Alla luce di tale disamina, il Garante ha messo in evidenza gli obblighi incombenti sul titolare del trattamento in quanto esportatore dei dati,
- obbligo di adozione di misure supplementari, nel caso in cui la legislazione e le prassi del Paese terzo impediscano all’importatore di rispettare gli obblighi previsti dallo strumento di trasferimento prescelto, gli esportatori, in base al principio di accountability devono adottare misure supplementari di natura tecnica, contrattuale e organizzativa che garantiscano un livello di protezione dei dati personali sostanzialmente equivalente a quello previsto dal GDPR (cfr. Raccomandazione n. 1/2020). In particolare per quanto riguarda le misure di natura tecnica, è stato rilevato che i meccanismi di cifratura utilizzati da Google Analitics non risultano sufficienti, ai fini di sicurezza nazionale, ad evitare i rischi di un accesso ai dati trasferiti dall’Unione europea da parte delle Autorità pubbliche degli Stati Uniti, sia perché Google ha la disponibilità della chiave di cifratura, sia perché l’obbligo incombente su Google di consentire l’accesso ai dati, da parte delle Autorità statunitensi, riguarda anche le eventuali chiavi crittografiche necessarie per renderli intelligibili;
- obbligo di rendere edotti gli interessati anche in ordine all’intenzione di trasferire dati personali a un paese terzo, previsto dall’art.13, par. 1 lett f GDPR, a norma del quale il titolare del trattamento deve fornire all’interessato, nel momento in cui i dati personali sono ottenuti “l’intenzione del titolare del trattamento di trasferire dati personali a un paese terzo o a un’organizzazione internazionale e l’esistenza o l’assenza di una decisione di adeguatezza della Commissione o, nel caso dei trasferimenti di cui all’articolo 46 o 47, o all’articolo 49, paragrafo 1, secondo comma, il riferimento alle garanzie appropriate o opportune e i mezzi per ottenere una copia di tali garanzie o il luogo dove sono state rese disponibili”.
La decisione del Garante
Alla luce di queste osservazioni il Garante ha dichiarato l’illiceità del trasferimento dei dati personali effettuato dalla Società per violazione degli artt.5, par. 1, lett. a) e par. 2, dell’art.13, par. 1, lett. f), dell’art.24, e degli artt.44 e 46 GDPR ed ha ammonito la società.
La posizione delle Autorità Garanti straniere
Ad analoghe conclusioni sono pervenute anche le Autorità Garanti di altri Paesi dell’Unione europea.
In particolare l’Autorità Garante francese CNIL (Commission nationale de l’informatique et des libertés) ha ritenuto sussistente un concreto rischio per gli utenti francesi di siti web che utilizzano Google Analitics in quanto non è stato dimostrato in che modo le misure supplementari, contrattuali, organizzative e tecniche per la gestione dei trasferimenti di dati relativamente al servizio di Google Analytics impediscano o riducano di fatto le possibilità di accesso delle autorità statunitensi sulla base del quadro giuridico statunitense. Infatti, a parere della Commission, le clausole contrattuali standard stipulate tra Google e la società francese, al fine di rendere legittimo il trasferimento dei dati, non possono costituire un mezzo sufficiente per garantire la protezione effettiva dei dati personali trasferiti, in quanto Google deve essere qualificato come un “fornitore di servizi di comunicazione elettronica” e, in quanto tale, è soggetto alla sorveglianza da parte dei servizi di intelligence USA ai sensi del “FISA 702”.
Quanto all’anonimizzazione dell’IP, il CNIL ha rilevato che si tratta di una misura opzionale e non applicabile a tutti i trasferimenti né è stato chiarito se questa venga applicata prima del trasferimento o se l’intero indirizzo IP venga trasmesso negli USA e abbreviato solo dopo il trasferimento, consentendo “un potenziale accesso all’intero indirizzo IP prima che sia abbreviato.
Tra l’altro, il CNIL ha anche analizzato la questione dal punto di vista del consenso, affermando che: “il consenso degli utenti alla memorizzazione dei cookie durante la loro visita al sito non può essere ritenuto equivalento al loro “aver espressamente acconsentito alla proposta di trasferimento, dopo essendo stato informato dei possibili rischi di tali trasferimenti per l’interessato a causa del assenza di una decisione di adeguatezza e di adeguate garanzie” ai sensi dell’art 49.1.a del Regolamento.”
Anche l’autorità austriaca Datenschutzbehörde (Dsb) con pronuncia del 14 gennaio 2022 ha rilevato l’illiceità dei trasferimenti effettuati da un sito austriaco che utilizza Google Analytics, verso gli USA di dati degli utenti, quali indirizzi IP e ID univoci memorizzati nei cookie. Il Garante austriaco ha altresì ritenuto come aggravante che i trasferimenti dei dati sono continuativi e massiva.
Conclusioni
Alla luce di tutte le problematiche, illustrate risulta interessante notare come le diverse autorità europee per la protezione dei dati giungano tutte alla medesima conclusione circa l’illiceità dei trasferimenti dei dati verso Paesi terzi attraverso l’uso di Google Analytics.
Indubbiamente la portata delle decisioni delle Autorità garanti non può considerarsi limitata né al singoli casi sui quali le Autorità si sono pronunciate, dal momento che il servizio di Google Analitics è utilizzato da molteplici soggetti pubblici e privati, né agli utilizzatori di Google Analytics in quanto esistono tanti altri servizi forniti da società americane che presuppongo il trasferimento transfrontaliero dei dati personali.
A ben riflettere, non è stato dichiarato illecito tout court il trasferimento dei dati verso Paesi terzi. Infatti il GDPR stabilisce le condizioni alle quali il trasferimento di dati personali al di fuori dell’Europa possa considerarsi legittimo. Ne consegue la necessità di un accertamento caso per caso, sia del programma utilizzato che delle eventuali versioni aggiornate, al fine di comprendere se ed in quali termini il trasferimento possa considerarsi lecito o non.
In questo contesto è importante interrogarsi su quale debba essere il modus operandi delle aziende o dagli enti pubblici. Allo stato attuale il modo migliore di procedere potrebbe essere quello di verificare la sussistenza di soluzioni legittime offerte da Google o valutare soluzioni diverse, tecniche o contrattuali per la compliance.
In ogni caso ci si auspica l’intervento di un accordo giuridicamente vincolante tra Europa e Stati Uniti attraverso il quale venga adattata la protezione di base dei dati degli stranieri alla disciplina del GDPR in modo da consentire la naturale ripresa dell’esportazione di dati dall’Europa agli Stati Uniti.
In mancanza l’azione coordinata delle autorità europee potrebbe comportare il blocco dei dati, che non potranno essere più trasferiti in Paesi terzi e dovranno permanere nel territorio UE. Tale alternativa prospettata anche dal Dsb, tuttavia non costituirebbe una soluzione definitiva al problema, in quanto i dati resterebbero nella disponibilità di aziende statunitensi sottoposte alle leggi USA.
