Con il provvedimento n. 243 del 7 luglio 2022 nei riguardi di un noto portale meteorologico – di poco successivo a quello che aveva colpito Caffeina Media s.r.l. – il Garante ha voluto evidenziare, ancora una volta, quali siano le conseguenze derivanti dall’utilizzo di Google Analytics.
L’argomento rimane sotto le luci della ribalta anche in virtù dell’intervento dello scorso 21 settembre da parte dell’Autorità di protezione dei dati personali danese (“Datatilsynet”), la quale, pur non essendosi pronunciata con un provvedimento di ingiunzione, ha ritenuto di dover esaminare in maniera approfondita Google Analytics, con particolare riferimento alle più evolute impostazioni e ai termini di fornitura dello strumento.
Nel corso dell’istruttoria avviata in seguito al reclamo presentato da un interessato nell’agosto 2020, il Garante ha riscontrato che il portale meteorologico raggiungibile tramite l’url: www.ilmeteo.it impiegava il servizio Google Analytics in assenza delle adeguate garanzie previste dagli articoli 44 e ss. del Regolamento UE 2016/679 ( “Regolamento” o “GDPR”) in materia di trasferimento dei dati personali. Con un iter logico-giuridico similare a quello tracciato nel provvedimento a carico di Caffeina Media s.r.l., l’Autorità ha rappresentato che le misure adottate da Google per consentire il trasferimento dei dati non garantiscono un livello adeguato di protezione dei dati personali degli utenti. Ad onore del vero, la società destinataria del provvedimento utilizzava la versione base di Google Analytics, quella che consente – mediante cookies trasmessi al browser dell’utente – di raccogliere “informazioni su come gli utenti del sito interagiscono con le singole pagine e con i servizi proposti”. Nonostante la società si sia difesa sostenendo di aver oscurato le ultime cifre dell’indirizzo IP, in modo da escludere la possibilità di identificazione dell’utente (c.d. IP-Anonymization)”, seguendo la procedura resa disponibile da Google a tal fine, l’Autorità ha evidenziato che la troncatura dell’indirizzo IP – che costituisce dato personale – non integra una misura di sicurezza adeguata. Riprendendo le indicazioni fornite dall’“European Data Protection Board” (“EDPB”), con la Raccomandazione n. 1/2020 del 18 giugno 2021 – il Garante ha asserito che l’indirizzo IP, così operando, non viene anonimizzato, perché Google avrebbe la capacità di combinarlo con altri dati in suo possesso, risalendo, così, all’identità dell’interessato. Basti pensare all’ipotesi in cui il visitatore del sito web faccia accesso al proprio account Google “e abbia selezionato alcune opzioni in tale account (ad esempio quella volta alla ricezione di pubblicità personalizzata)”. I dati raccolti potrebbero essere associati ad altre “informazioni presenti nel relativo account, quali l’indirizzo email (che costituisce l’user ID dello stesso), il numero di telefono ed eventuali ulteriori dati personali tra cui il genere, la data di nascita o l’immagine del profilo dell’utente”. Anche questa volta, l’Autorità non ha irrogato alcuna sanzione amministrativa pecuniaria, ma ha ammonito il titolare del trattamento, ingiungendogli di conformarsi al Capo V del Regolamento entro il termine di novanta giorni dalla notifica del provvedimento per il trattamento di dati personali degli utenti del sito www.ilmeteo.it, mediante l’adozione di misure supplementari adeguate, pena la sospensione dei flussi di dati verso gli Stati Uniti.
Il proliferarsi dei provvedimenti delle autorità di protezione dei dati personali – in Italia e in Europa – ha spinto le aziende a reperire soluzioni alternative all’utilizzo di Google Analytics: l’utilizzo di software e/o applicazioni di società con sede nel territorio dell’Unione; di strumenti “cookieless” che permettano di ottenere gli stessi vantaggi del trattamento dei dati personali. Stante il quadro attuale, Google non è rimasta a guardare ed ha implementato la “versione 4” di Google Analytics (“GA4”), presentata come “GDPR compliant”. Nondimeno, sono emerse immediatamente alcune perplessità. Di qui il documento dell’Autorità danese, che si è prefissata di fare il punto sul suo utilizzo, prendendo spunto dalle ultime indicazioni dell’Autorità Garante Francese (“Commission nationale de l'informatique et des libertés”, “CNIL”). Il Garante danese ha, difatti, subito precisato che, anche nel caso in cui venga implementato “GA4”, è necessario “adottare misure aggiuntive”.
Nonostante Google sostenga che, sulla base dell’ultima versione, alcuni dati personali non saranno oggetto di trattamento, è altrettanto vero che al visitatore viene assegnato un identificatore univoco che consente la raccolta di informazioni aggiuntive sulla sua interazione con il sito web, quali l’ora di visita, le informazioni sul browser o sul sistema operativo. Tutti elementi che, secondo l’Autorità danese, possono contribuire ad identificare l’interessato. Risulta, inoltre, che Google non raccoglierà l’indirizzo IP, o meglio, andrà ad oscurare le ultime cifre, mediante un processo di anonimizzazione, effettuato “non appena tecnicamente possibile” durante la navigazione. Pertanto, l’indirizzo IP non viene mai scritto su disco. Non è chiaro, tuttavia, se l’anonimizzazione avvenga prima del trasferimento delle informazioni negli USA. D’altra parte, dalla documentazione messa a disposizione da Google sulle proprie pagine informative, emerge che la raccolta dei dati tramite Google Analytics avviene tramite data center regionali. Questo significa che Google utilizza l'indirizzo IP del visitatore del sito web per determinare dove si trova il data center più vicino. In altre parole, i visitatori che accedono ad un sito web danese si connettono a un server europeo prima che le informazioni vengano inviate a Google negli Stati Uniti. In buona sostanza, però, può anche accadere che i visitatori che accedono ad un sito web danese da altri continenti, ad esempio dall’Asia, non saranno mai collegati ad un server europeo, ma direttamente ad un server negli Stati Uniti, ove questo fosse più vicino alla posizione del visitatore. Il problema, dunque, non verrebbe risolto. Google sostiene che il trattamento dei dati personali sarà limitato dall’implementazione di firewall che registrano il traffico in entrata, ma, in ogni caso, tali informazioni possono essere incrociate con altre che siano nella disponibilità di Google, determinando comunque l’identificazione dell’interessato. Di fronte alle problematicità emerse da un’analisi più approfondita del nuovo strumento, anche il Datatilsynet auspica la rapida pubblicazione del nuovo accordo tra USA ed UE. Secondo recentissime indiscrezioni, peraltro, il Presidente Joe Biden potrebbe firmare nei prossimi giorni un ordine esecutivo sui trasferimenti transatlantici di dati. Ciò darebbe una fortissima accelerazione nel percorso di adozione definitiva dell’accordo.
Newsletter
Iscriviti per ricevere i nostri aggiornamenti
