“Google Analytics. Garante Privacy: disattivare nonostante IP anonimizzato”| di Deborah Bianchi

Google Analytics dev’essere disattivato anche se viene applicata l’opzione con IP anonimizzato (IPAnonymization). Questa la decisione del Garante Privacy italiano pronunciata il 9 giugno 2022 con il Provv. n. 224. L’Authority specifica: “l’indirizzo IP costituisce un dato personale e anche nel caso fosse troncato non diverrebbe un dato anonimo, considerata la capacità di Google di arricchirlo con altri dati di cui è in possesso”. Pertanto tutti i siti web che utilizzano tale servizio devono correre ai ripari sostituendolo con un’applicazione similare di fornitore rigorosamente europeo con server europei allocati in Europa. La nostra Autorità di controllo ha sposato l’orientamento degli omonimi austriaco, francese e dell’EDPS che già dalla fine del 2021 hanno ingaggiato una dura lotta contro il trasferimento dei dati dei cittadini europei in Paesi in cui i livelli di protezione privacy sono inferiori a quelli del vecchio continente. Il rischio da scongiurare è che le informazioni personali provenienti dall’Unione finiscano nelle mani dei governi stranieri che possono costringere i providers alla disclosure. Il Data Gate rivelato da Snowden insegna che gli scenari di spionaggio delle intelligence americane sui patrimoni informativi europei non sono più roba da film. Infatti esiste una normativa statunitense (articolo 702 del FISA Foreign Intelligence Surveillance Act del 1978 e Executive Order (EO) 12333) che consente al Governo di intimare ai fornitori delle piattaforme digitali (ad es. Google, Facebook o meglio Meta, ecc…) di aprire l’accesso ai flussi informativi transfrontalieri.   Google Analytics fuori legge anche per Austria, Francia e per l’EDPS Il trasferimento dei dati personali dall’Europa ai Paesi ExtraUE originariamente, almeno per gli Stati Uniti, avveniva sulla scorta di un patto “Safe Harbor” tra le Parti disciplinante tutti i requisiti che un’azienda americana doveva avere sotto il profilo data protection per poter commerciare con l’Europa. La Corte di Giustizia UE ha emesso una prima sentenza denominata Schrems 1 con cui ha annullato questo patto. Dunque è stato creato un nuovo patto “Privacy Shield” più aderente al GDPR ma la Corte di Giustizia UE (CGUE) ha emesso una seconda sentenza denominata Schrems 2 con cui ha annullato anche questo. Si è creata dunque una situazione di grande confusione perché i soggetti che lavorano con l’America non sanno più quali rimedi adottare per adeguarsi al regolamento UE sulla privacy. La Commissione europea ha stilato delle clausole contrattuali standard da adottarsi tra il Paese UE esportatore e il Paese extraUE importatore che però si stanno dimostrando di difficile applicazione pratica. Tant’è che il Comitato dei Garanti Privacy UE ha già sfornato le Linee Guida 4/2021 sull’adozione di codici di condotta per il trasferimento dati extra UE divenute definitive il 22.02.22. Sulla scorta della CGUE Schrems 2 sono stati emessi provvedimenti di divieto dell’utilizzo di Google Analytics in quanto implicante un trasferimento dati extra UE non conforme ai livelli di tutela stabiliti dal GDPR. Pensiamo all’EDPS (European Data Protection Supervisor) che ha 1 sanzionato nel gennaio 2022 il Parlamento UE sui trasferimenti elettronici di dati UE-USA a Google; al Garante Privacy Austriaco che sempre a gennaio 2022 ha ritenuto l’utilizzo di Google Analytics incompatibile con il GDPR; al Garante Privacy Francese che a febbraio 2022 ha doppiato il Collega austriaco dichiarando che esiste “un rischio per gli utenti francesi di siti web che utilizzano questo servizio e i cui dati vengono esportati”.   Il Garante austriaco emette un secondo provvedimento il 22.04.22 in cui ribadisce la precedente posizione specificandone ancor meglio le motivazioni per cui l’ip anonimizzato non costituisce una garanzia. Nel frattempo anche l’Autorità spagnola e quella lussemburghese si trovano a trattare casi simili però decidono di non pronunciarsi perché il titolare del trattamento denunciato aveva già disattivato i Google Analytics.   Ammonimento senza sanzioni pecuniarie. Questa la condanna del Garante. Il caso esaminato dal Garante: il sito web di una testata giornalistica di gossip viene segnalato al Garante Privacy in quanto avrebbe trasferito oltreoceano i dati del reclamante. Dall’istruttoria avviata dall’Autorità è risultato in effetti che tale sito utilizza i Google Analytics (nel prosieguo anche GA). Nel provvedimento si spiega molto bene quali siano le informazioni che i GA riescono a fornire al gestore del sito reperendole dalla navigazione dell’utente: “[il gestore] raccoglie, mediante cookies [GA] trasmessi al browser degli utenti […]: identificatori online unici che consentono l’identificazione del browser o del dispositivo dell’utente che visita il sito web;[…] indirizzo IP del dispositivo utilizzato dall’utente; informazioni relative al browser, al sistema operativo, alla risoluzione dello schermo, alla lingua selezionata, nonché a data e ora della visita al sito web. […] A questo si aggiunga che, qualora il visitatore del sito web faccia accesso al proprio account Google – circostanza verificatasi nell’ipotesi in esame – i dati sopra indicati possono essere associati ad altre informazioni presenti nel relativo account, quali l’indirizzo email (che costituisce l’user ID dell’account), il numero di telefono ed eventuali ulteriori dati personali tra cui il genere, la data di nascita o l’immagine del profilo”.   In definitiva, se il navigatore è anche titolare di un account Google, i dati evinti dall’IP arricchiti con quelli dell’account riescono a svelare l’identità (data di nascita e genere), il numero di telefono, l’e.mail e perfino la foto (ove caricata nell’account) dell’interessato. Pertanto la testata telematica sottoposta all’istruttoria del Garante, più o meno inconsapevolmente, trasferiva in America tutte queste informazioni sui cittadini europei. Peraltro tale testata non aveva neppure attivato l’opzione con l’IP anonimizzato.Comunque anche se avesse attivato l’“IPAnonymization” – come abbiamo detto sopra – ciò non sarebbe valso a proteggere i patrimoni informativi europei.   Pertanto il Garante conclude che la società titolare della testata e ovviamente titolare del trattamento ha compiuto una violazione del GDPR e per questo le infligge un ammonimento. Non vengono fortunatamente applicate le sanzioni pecuniarie perché i dati trattati non sono dati appartenenti a categorie particolari né dati di salute o giudiziari o biometrici o genetici. A tal riguardo, risulta di forte interesse seguire il ragionamento che il Garante ha condotto per stabilire che in questi caso si è trattato di una violazione minore e quindi senza applicazione delle sanzioni pecuniarie: “con riferimento agli elementi da prendere in considerazione al fine di valutare se infliggere una sanzione amministrativa pecuniaria (art. 83, par. 2, del Regolamento), si rileva in primis che, in relazione alla natura e alla gravità della violazione, le operazioni di trattamento oggetto di contestazione non hanno avuto ad oggetto categorie particolari di dati personali.   Con riguardo all’elemento soggettivo del trasgressore, occorre considerare che [la società titolare della testata telematica] – stante l’asimmetria di potere contrattuale derivante dalla primaria 2 posizione di mercato assunta da Google nel settore dei servizi di web analytics – ha erroneamente assunto come idonee, sulla base delle informazioni rese da Google, le misure supplementari adottate da quest’ultima senza esercitare alcun potere decisionale in merito alle stesse.   Relativamente alle misure adottate dalla Società per attenuare il danno subito dagli interessati, si prende altresì atto delle iniziative intraprese dal titolare del trattamento, a seguito della notifica ex art. 166, comma 5 del Codice, concernenti: l’aggiornamento del testo delle informative presenti sul sito internet della Società; l’adesione all’opzione di “IP-Anonymization” messa a disposizione da Google; il miglioramento infrastrutturale in termini di sicurezza; l’aggiornamento del content management system utilizzato per la creazione e la gestione del sito; l’analisi di fattibilità dell’implementazione di uno strumento alternativo di web analytics che “non si affiderà più esclusivamente a tracciamenti tramite cookie e che (…) non conserverà più gli indirizzi IP degli interessati” (v. verbale del 25 marzo 2022 e nota integrativa del 4 aprile 2022, pag. 2).   Da ultimo, ai fini delle valutazioni dell’Autorità, rilevano anche l’assenza di precedenti violazioni e l’attività di leale collaborazione con il Garante nel corso del procedimento. La natura e la gravità della violazione, il carattere colposo della stessa, nonché gli ulteriori elementi sopra richiamati inducono pertanto a qualificare la fattispecie in esame come “violazione minore” (v. art. 83, par. 2, e cons. 148 del Regolamento)”. Consulta tutti i pareri dell'avv. Deborah Bianchi nella sezione Sportello Diritti Digitali.

Iscriviti alla Newsletter