Google Analytics comporta un trasferimento illecito di dati personali secondo il Garante

Il Garante privacy ritiene che l’uso di Google Analytics comporta un trasferimento illecito di dati personali negli Stati Uniti in violazione dei principi di cui alla sentenza Schrems II.

Con il provvedimento n. 224 del 9 giugno 2022, l’autorità Garante per la protezione dei dati personali ha ritenuto che il trasferimento di dati personali verso gli Stati Uniti effettuato da un sito web italiano attraverso l’uso di Google Analytics viola il GDPR.

Allineandosi alle posizioni già espresse dalle autorità di controllo privacy in Austria e in Francia,  il Garante ha preso una posizione chiara circa la conformità del trasferimento di dati verso gli Stati Uniti effettuato attraverso Google Analytics, ordinando al fornitore del sito web di sospenderne l’utilizzo se non si conformerà alle richieste del Garante.

La decisione segue un reclamo presentato da un individuo rappresentato da NOYB, l’associazione che fa capo all’attivista privacy Max Schrems, sia contro il fornitore del sito web (nel suo ruolo di esportatore di dati) che contro Google LLC (nel suo ruolo di importatore di dati), sostenendo che entrambe le parti hanno violato gli articoli 44 e seguenti del GDPR, alla luce della sentenza Schrems II (Decisione CJEU C-311/18) trasferendo i propri dati personali a Google LLC negli Stati Uniti d’America.

I fatti contestati

Il punto principale contestato nel ricorso è che Google LLC si qualifica come un “fornitore di servizi di comunicazione elettronica” ai sensi del 50 U.S. Code § 1881(b)(4), il che assoggetta la società alla sorveglianza dei servizi di intelligence degli Stati Uniti, che possono pertanto ordinare a Google di fornire accesso ai dati dei cittadini europei (che navigano sul sito web).

A seguito di una approfondita indagine e dell’analisi delle memorie difensive prodotte dalla società, il Garante nel suo provvedimento ha rilevato che:

  • si è configurato un trattamento dei dati personali attraverso Google Analytics a causa della possibilità di individuare l’utente tramite i dati raccolti da Google, quali
    • identificatori online unici che consentono sia l’identificazione del browser o del dispositivo dell’utente che visita il sito web, sia del gestore stesso del sito (attraverso l’ID account Google);
    • indirizzo, nome del sito web e dati di navigazione;
    • indirizzo IP del dispositivo utilizzato dall’utente;
    • informazioni relative al browser, al sistema operativo, alla risoluzione dello schermo, alla lingua selezionata, nonché a data e ora della visita al sito web;
  • la società utilizzava la versione gratuita di Google Analytics, e non aveva implementato la funzionalità di IP-Anonymization;
  • Google LLC si qualifica come importatore dei dati e il trasferimento dei dati veniva posto in essere per il tramite delle Clausole contrattuali standard (versione 2010);
  • la società si avvaleva di un servizio automatico online per la redazione e gestione dell’informativa privacy e dell’informativa cookie disponibili sul sito;
  • la società aveva ritenuto ha ritenuto le misure adottate rispetto Google Analytics “pertinenti ed efficaci in relazione alla natura dei dati e al contesto in cui gli stessi sono stati raccolti” nonché al livello di rischio del trasferimento.

I punti chiave del provvedimento del Garante privacy su Google Analytics

Il Provvedimento offre spunti interessanti rispetto all’approccio del Garante in relazione al trasferimento dei dati personali al di fuori dello Spazio economico europeo tramite Google Analytics, ma gli stessi principi sono applicabili anche a qualsiasi altro trasferimento. In particolare, l’autorità nei rilievi che hanno condotto alla decisione, sottolinea che:

  • qualora l’indirizzo IP consenta di identificare un dispositivo di comunicazione elettronica, esso costituisce un dato personale, e la possibilità di identificazione dell’utente risulta aumentata nel caso di Google Analytics perché se il visitatore del sito web accede al proprio account Google – circostanza verificatasi nell’ipotesi in esame – i dati sopra indicati possono essere associati ad altre informazioni presenti nel relativo account, quali l’indirizzo email, il numero di telefono ed eventuali ulteriori dati personali tra cui il genere, la data di nascita o l’immagine del profilo.
  • le vecchie Clausole Contrattuali Standard sono insufficienti, in particolare per i trasferimenti di dati verso gli Stati Uniti, mentre le nuove SCC non sono state affrontate in questo caso, poiché la decisione si riferisce a eventi precedenti alla loro adozione;
  • le misure supplementari adottate da Google per rendere il trasferimento dei dati conforme al GDPR sono state ritenute insufficienti, in quanto,
    • qualsiasi misura supplementare può essere considerata efficace solo se affronta le carenze specifiche individuate nella valutazione della situazione nel paese terzo, vale a dire le possibilità di accesso e di sorveglianza dei servizi segreti statunitensi;
    • la crittografia (sia in transit che at rest) non è una misura adeguata se il destinatario possiede la chiave di decryption, in quanto può essere obbligato a rivelarla alle autorità straniere insieme ai dati;
    • la funzione di “IP-Anonymization” consiste di fatto in una pseudonimizzazione del dato relativo all’indirizzo di rete dell’utente, in quanto il troncamento dell’ultimo ottetto non impedisce a Google LLC di re-identificare l’utente medesimo, tenuto conto delle informazioni complessivamente detenute dalla stessa relative agli utenti del web; e
    • le misure contrattuali e organizzative da sole non sono generalmente in grado di vincolare le autorità del paese terzo, ma devono essere integrate con altre misure.

Oltretutto il Garante ha censurato l’informativa sul trattamento dei dati personali prodotta con il servizio online automatico utilizzato dalla società in quanto non definiva chiaramente gli elementi di cui all’art. 13, par. 1, lett. f) del GDPR concernenti il trasferimento.

La decisione del Garante sul trasferimento illecito tramite Google Analytics

L’Autorità ha dichiarato il trattamento effettuato dalla società tramite Google Analytics illecito, tuttavia ha tenuto conto di alcuni elementi per determinare la sanzione applicabile, quali:

  • l’asimmetria di potere contrattuale derivante dalla primaria posizione di mercato assunta da Google nel settore dei servizi di web analytics;
  • le iniziative intraprese dal titolare del trattamento per rimediare; e
  • l’assenza di trattamento di dati particolari ed il carattere colposo della condotta.

Pertanto il Garante ha optato per un ammonimento e intimato alla Società di implementare entro 90 giorni le misure adeguate per mettere in sicurezza il trasferimento, o in alternativa sospenderlo.

Potenziali impatti per gli operatori di siti web italiani

La decisione del Garante non impatta solo il sito web contestato, ma potenzialmente tutti i siti web che utilizzano Google Analytics ed altre tecnologie simili che prevedono trasferimenti al di fuori dello Spazio esconomico europeo in paesi non considerati adeguati.

L’Autorità tramite un comunicato stampa ha specificamente richiamato all’attenzione di tutti i gestori italiani di siti web, pubblici e privati, l’illiceità dei trasferimenti effettuati verso gli Stati Uniti attraverso Google Analytics, anche in considerazione delle numerose segnalazioni e quesiti ricevuti sul tema, invitando tutti i titolari del trattamento a verificare la conformità delle modalità di utilizzo di cookie e altri strumenti di tracciamento utilizzati sui propri siti web.

Attualmente sul mercato sono già disponibili alcune alternative europee a Google Analytics. Ma il passaggio da Analytics ad altre tecnologie oltre ad essere operativamente oneroso, non è l’unica questione rilevante.

Quali indicazioni derivano dalla decisione del Garante

E’ difficile pensare che improvvisamente tutti i siti Internet europei possano cessare di utilizzare Google Analytics. Tuttavia, è anche difficile da giustificare come dopo quasi due anni dalla sentenza Schrems II, diverse imprese non abbiano ancora adottato soluzioni per mappare i  trasferimenti dei dati e per svolgere le valutazioni d’impatto del trasferimento, come richiesto dall’EDPB e sottolineato dal Garante alla luce della sentenza Schrems II.

Si ha l’impressione che l’implementazione delle nuove clausole contrattuali standard sia sufficiente a garantire il trasferimento dei dati, ma non è così.

Allo stesso modo però, riteniamo che il Garante – come in precedenza l’autorità privacy austriaca e francese – abbiano ignorato l’esigenza di analizzare il rischio concreto di accesso da parte delle autorità straniere ai dati e del possibile danno che da tale accesso potrebbe derivare per gli individui.

Questa analisi del rischio concreto è espressamente prevista dalle nuove Clausole Contrattuali Standard, ma può emergere solo a seguito di una dettagliata valutazione del trasferimento come quella che può essere svolta con il tool di legal tech “Transfer” e la relativa metodologia sviluppata da DLA Piper. Transfer consente, tra gli altri, di

  • tenere traccia dei trasferimenti di dati;
  • analizzare dettagliatamente i rischi derivanti dalla normativa dei paesi importatori;
  • valutare l’adeguatezza delle misure adottate;
  • ponderare il rischio concreto

con il supporto di algoritmo che in maniera semplice e veloce consente di fornire un punteggio di conformità in grado di tutelare l’azienda in caso di contestazione.

Oltre 150 clienti di DLA Piper si sono già affidati a Transfer e per saperne di più potete cliccare qui per prenotare una demo.