Il Garante privacy italiano ha ritenuto che l’utilizzo di Google Analytics comporti trasferimenti illeciti di dati personali negli Stati Uniti, in violazione dei principi delineati nella sentenza Schrems II (Decisione CGUE C-311/18).
Con l’Ordinanza n. 224 del 9 giugno 2022, l’Autorità Garante per la Protezione dei Dati Personali italiana ha ritenuto che i trasferimenti di dati personali negli Stati Uniti da parte di un sito web italiano attraverso l’utilizzo di Google Analytics violano il GDPR.
In linea con le posizioni già espresse dalle autorità Austriaca e Francese, il Garante italiano ha preso una posizione netta sulla conformità dei trasferimenti di dati verso gli Stati Uniti effettuati tramite Google Analytics, ordinando al provider del sito web di sospenderne l’utilizzo se non rispetta le richieste del Garante entro 90 giorni.
La decisione fa seguito a una segnalazione presentata al Garante in Italia da un soggetto rappresentato da NOYB, l’associazione guidata dall’attivista per la privacy Max Schrems, nei confronti del provider del sito web (nel suo ruolo di esportatore di dati), adducendo che entrambe le parti avrebbero violato gli arti. 44 e ss. del GDPR, alla luce della Sentenza Schrems II trasferendo i propri dati personali a Google LLC negli Stati Uniti d’America.
I fatti contestati
La principale contestazione riguarda la qualificazione di Google LLC come “fornitore di servizi di comunicazione elettronica” ai sensi del 50 U.S. Code § 1881(b)(4), che sottopone la società alla sorveglianza dei servizi di intelligence statunitensi, che possono quindi ordinare a Google di fornire l’accesso ai dati dei cittadini europei che navigano nel sito web.
A seguito di approfondita istruttoria e di analisi delle memorie difensive prodotte dalla società, il Garante, nella propria ordinanza, ha ritenuto che:
- c’è stato un trattamento di dati personali tramite Google Analytics a causa della possibilità di identificare l’utente attraverso i dati raccolti da Google, quali:
- identificatori online univoci che consentono sia l’identificazione del browser o del dispositivo dell’utente che visita il sito web sia del gestore del sito stesso (tramite l’ID dell’account Google);
- indirizzo, nome del sito e dati di navigazione;
- indirizzo IP del dispositivo utilizzato dall’utente;
- informazioni sul browser, sistema operativo, risoluzione dello schermo, lingua selezionata e data e ora della visita al sito web;
- l’azienda utilizzava la versione gratuita di Google Analytics e non aveva implementato la funzione di anonimizzazione dell’IP;
- Google LLC si qualifica come importatore dei dati e il trasferimento dei dati è stato effettuato attraverso le Standard Contractual Clauses (versione 2010);
- la società utilizzava un servizio online automatizzato per redigere e gestire la privacy policy e la cookie policy disponibili sul sito;
- la società aveva ritenuto le misure adottate in merito a Google Analytics “rilevanti ed efficaci in relazione alla natura dei dati e al contesto in cui sono stati raccolti” nonché al livello di rischio del trasferimento.
I punti chiave della decisione del Garante su Google Analytics
La decisione offre spunti interessanti sull’approccio del Garante ai trasferimenti di dati personali al di fuori dello Spazio economico europeo tramite Google Analytics. Tuttavia, gli stessi principi si applicano anche a qualsiasi altro trasferimento. In particolare, l’Autorità sottolinea che:
- laddove l’indirizzo IP consenta di identificare un dispositivo di comunicazione elettronica, costituisce un dato personale. La possibilità di identificazione dell’utente è aumentata nel caso di Google Analytics perché se il visitatore del sito web accede al proprio account Google – circostanza che si è verificata nel caso di specie – i dati sopra menzionati possono essere associati ad altre informazioni nel relativo account, quali indirizzo email, numero di telefono ed eventuali dati personali aggiuntivi tra cui sesso, data di nascita o foto del profilo;
- le vecchie Standard Contractual Clauses sono insufficienti, in particolare per i trasferimenti di dati verso gli Stati Uniti, nel mentre le nuove SCC non sono state affrontate in questo caso, in quanto la decisione riguarda eventi precedenti la loro adozione;
- le misure integrative adottate da Google per rendere il trasferimento dei dati conforme al GDPR sono state ritenute insufficienti, in quanto eventuali misure aggiuntive possono ritenersi efficaci solo se affrontano le specifiche carenze individuate nella valutazione della situazione nel Paese terzo, ovvero la possibilità di accesso e sorveglianza dei servizi di intelligence statunitensi;
- eventuali misure aggiuntive possono essere considerate efficaci solo se affrontano le carenze specifiche individuate nella valutazione della situazione nel Paese terzo, ovvero le capacità di accesso e sorveglianza dei servizi di intelligence statunitensi;
- la crittografia (sia in transito che a riposo) non è una misura adeguata se il destinatario è in possesso della chiave di decrittazione, in quanto potrebbe essere obbligato a divulgarla ad autorità estere insieme ai dati;
- la funzione “Anonimizzazione IP” consistei in una pseudonimizzazione dei dati dell’indirizzo di rete dell’utente, in quanto il troncamento dell’ultimo ottetto non impedisce a Google LLC di identificare nuovamente quell’utente, tenendo conto delle informazioni complessive che detiene sugli utenti web; e
- le misure contrattuali e organizzative, di per sé, non sono generalmente in grado di vincolare le autorità di Paesi terzi, ma devono essere integrate con altre misure.
Tuttavia, il Garante ha censurato l’informativa privacy sul trattamento dei dati personali prodotta col il servizio telematico automatizzato utilizzato dall’azienda perché non ha chiaramente definito gli elementi di cui all’articolo 13, comma 1, lettera f), del GDPR in merito al trasferimento.
La decisione del Garante privacy sui trasferimenti illeciti tramite Google Analytics
Il Garante per la protezione dei dati personali italiano ha dichiarato illegittimo il trattamento effettuato dalla società tramite Google Analytics. Tuttavia, ha tenuto conto di alcuni aspetti nella determinazione della sanzione applicabile, quali:
- l’asimmetria del potere contrattuale derivante dalla posizione di mercato primario assunta da Google nell’ambito dei servizi di web analytics;
- le misure adottate dal titolare del trattamento per porre rimedio alla situazione;
- l’assenza di particolari categorie di dati personali e la condotta colposa assunta.
Pertanto, il Garante ha optato per una diffida e ha esortato la società a mettere in atto entro 90 giorni le misure idonee a mettere in sicurezza i trasferimenti o in alternativa sospenderli.
Potenziali impatti per gli operatori del web
La decisione in commento incide non solo sul sito web contestato ma potenzialmente su tutti i siti web che utilizzano Google Analytics e altre tecnologie simili che comportano trasferimenti al di fuori del SEE, verso Paesi ritenuti inappropriati.
Il Garante, attraverso un comunicato, ha richiamato all’attenzione di tutti gli operatori di siti web, pubblici e privati, l’illegittimità dei trasferimenti effettuati negli Stati Uniti tramite Google Analytics, anche per le numerose segnalazioni ricevute, invitando tutti i titolati del trattamento a verificare la conformità delle modalità di utilizzo dei cookie e degli altri strumenti di tracciamento sui propri siti web.
Se , da una parte, sembra difficile pensare che tutti i siti web europei improvvisamente smettano di utilizzare Google Analytics, dall’altra è anche difficile giustificare come, a distanza di quasi due anni dalla sentenza Schrems II, i titolari del trattamento spesso non ganno ancora adottato soluzioni che consentano di mappare i trasferimenti di dati e valutare l’impatto del trasferimento, come richiesto dall’EDPB e sottolineato dal Garante.
Per qualsiasi domanda relativa a questa decisione, si prega di contattare Daniela Fusco, Founder di eXcellentia.
