Google Analytics: il Garante conferma il divieto all’utilizzo per trasferimento illecito di dati

Il Garante per la protezione dei dati personali ha pubblicato un provvedimento emesso nei confronti di un operatore di telefonia con il quale l’Autorità ha confermato che l’utilizzo di Google Analytics 360 comporta un illecito trasferimento dei dati personali verso gli Stati Uniti.

Il ragionamento seguito dall’Autorità parte dalla (ennesima) conferma che l’indirizzo IP costituisce un dato personale, nella misura in cui consenta di individuare un dispositivo di comunicazione elettronica, rendendo in tal modo indirettamente identificabile l’utente. Ciò contrariamente a quanto obiettato dall’operatore, che evidenziava come l’indirizzo IP non permetterebbe l’identificazione di un singolo utente, bensì di una moltitudine di utenti che hanno navigato in rete nell’ambito di una singola sessione di navigazione.

Fatta questa premessa, il Garante evidenzia come l’attivazione dell’“IP-Anonymization” – misura messa a disposizione da Google per minimizzare i rischi connessi al trattamento dei dati e puntualmente implementata dall’operatore – non impedisca a Google LLC di identificare comunque un utente. Tale identificazione può avvenire in modo diretto, se l’utente ha fatto accesso al proprio account Google, o in maniera indiretta, tramite l’indirizzo IP o per mezzo della re-identificazione effettuata sulla base dell’indirizzo IP pseudonimizzato (grazie all’“IP-Anonymization”) in combinazione con le altre informazioni in possesso di Google.

Pertanto, il trasferimento di dati personali operato dall’operatore verso Google LLC, per il tramite di Google Ireland, deve avvenire nel rispetto del GDPR e solo previa adozione di adeguate misure supplementari che impediscano l’accesso ai dati personali da parte delle Autorità statunitensi e di altri soggetti non autorizzati.

Nel caso di specie, il Garante ha ritenuto che l’“IP-Anonymization” e le ulteriori misure adottate da Fastweb e Google non fossero sufficienti a rendere lecito il trasferimento.

A nulla è valsa l’obiezione dell’operatore, secondo cui la possibilità di accesso ai dati da parte delle Autorità statunitensi rappresenterebbe “un evento probabilistico di realizzazione del tutto incerta e statisticamente trascurabile”, posto che i dati trattati da Google non possono considerarsi “utili e di interesse per la sorveglianza da parte dell’intelligence USA” in quanto l’“obiettivo di sorveglianza preposto dalla Sezione 702 (..) è limitato alle sole informazioni di intelligence straniera”. A queste osservazioni il Garante ha replicato che la valutazione sul trasferimento dei dati (c.d. “Transfer Impact Assessment”) deve basarsi su fattori oggettivi, indipendentemente dalla probabilità di accesso ai dati personali, e che l’indirizzo IP è ricompreso tra le informazioni d’interesse per le Autorità statunitensi ai sensi del FISA 702, unitamente ad altri metadata.

Infine, l’Autorità evidenzia come le misure di crittografia – in transit e at rest – implementate da Google appaiano insufficienti, in quanto la disponibilità della chiave di cifratura resta pur sempre in capo a Google LLC, che potrebbe essere tenuta a metterla a disposizione delle Autorità americane.  Tali circostanze non consentono di considerare lecito il trasferimento dei dati eseguito nell’utilizzo di Google Analytics, nonostante l’adozione da parte di Google di alcune importanti misure contrattuali e organizzative.

Pertanto, l’Autorità ha dichiarato l’illiceità del trattamento dei dati personali degli utenti del sito di Fastweb, posto in essere per il tramite di Google Analytics, ingiungendo alla società di adottare entro 90 giorni misure supplementari adeguate – che allo stato non sembrano essere disponibili sul mercato – o interrompendo il trasferimento verso Google LLC, vale a dire cessando l’utilizzo di Google Analytics 360.

Rispetto a questo provvedimento solleva ancora perplessità la posizione del Garante che non tiene conto del rischio effettivo di un accesso da parte delle autorità americane ai dati, prendendo una posizione che si discosta da quanto rappresentato dalla Commissione europea nelle nuove Clausole Contrattuali Standard. In tale contesto, diventa ancora più utile eseguire una valutazione del trasferimento con strumenti come la metodologia adottata da DLA Piper che è descritta nella presentazione disponibile QUI.

Su un simile argomento può essere interessante l’articolo: Google Analytics comporta un trasferimento illecito di dati personali secondo il Garante