FINITA LA TREGUA: IL GARANTE PROCEDE A CONTROLLARE A TAPPETO L’INVIO DI DATI PERSONALI NEGLI USA
Antonio Ciccia Messina
Stop alla tregua per i siti che, senza uno scudo privacy, mandano dati negli Usa, usando Google Analytics (versione n. 3) o simili: da settembre 2022, il Garante della privacy è pronto a passare al setaccio chi, tramite un servizio di analisi sul web, trasferisce dati verso gli Stati Uniti, con pericoli per la privacy delle persone. Questo il termine che il Garante si è dato (si fa riferimento al comunicato stampa del 23 giugno 2022), per procedere a una campagna di ispezioni a seguito del provvedimento n. 224 del 9 giugno 2022, con il quale ha stoppato Google Analytics 3 e invitato imprese e p.a. a verificare la propria situazione. In contemporanea, dal mondo delle imprese, da un lato, si lanciano allarmi a proposito delle sanzioni che possono fioccare a loro carico e, dall’altro lato, si cercano strumenti alternativi in grado di mantenere un servizio utile a conoscere la clientela e a sviluppare azioni di marketing.
In questo quadro è rimasto senza risposta l’invito che lo stesso Garante italiano ha rivolto ai politici Usa e del Vecchio Continente, teso a trovare una soluzione a monte: il problema, che tra l’altro riguarda anche le pubbliche amministrazioni e concerne anche altri servizi forniti da piattaforme Usa, non è di fatto risolvibile con il fai-da-te da parte degli operatori, sulle cui spalle, di fatto, pesa il dilemma se continuare a usare servizi di analisi della navigazione web e rischiare le sanzioni del Gdpr oppure dormire sonni tranquilli rinunciando, però, a un’opzione pressoché indispensabile nel mercato digitale.
Il nodo, peraltro, è rappresentato anche dal Gdpr, il quale, senza dare certezze e dettagli operativi, lascia alle imprese e alle pubbliche amministrazioni il compito pesantissimo di trovare vie d’uscita e rimedi pratici, assumendosi il rischio che non siano completamente a norma e, in questi casi, costringendo i Garanti ad applicare sanzioni draconiane.
Il caso. Google Analytics è uno strumento di analisi della navigazione degli utenti sul web, fornito da Google ai gestori di siti internet. Non è il solo, può anche essere disabilitato o neutralizzato, ma, comunque, è molto usato. Si ottengono statistiche sulla durata della sessione di navigazione sul sito, sulla posizione geografica di chi naviga sul web, su quanti e quali pagine del sito sono consultate. Si possono sfruttare al meglio queste analisi combinandole con servizi di pubblicità in rete e, quindi, analizzando chi, come, dove, quando legge gli annunci pubblicitari on-line.
Un sistema di analisi di questo tipo consente di affinare l’offerta di servizi (anche di una pubblica amministrazione) ed è ritenuto indispensabile per le campagne di marketing e, quindi, per il mercato che è sempre più digitale, anche per i beni di consumo.
Servizi di questo tipo pongono, ovviamente, grossi problemi di privacy: l’utente viene tracciato, perché si raccoglie l’indirizzo Ip, cioè quel numero che identifica il computer o altro dispositivo. L’indirizzo Ip consente di stabilire con buona approssimazione l’area geografica. Per capire di cosa si tratta, basta collegarsi dal proprio computer all’indirizzo https://www.ip-address.org/ per rendersi conto di cosa può sapere di noi chi conosce l’indirizzo Ip e del fatto che conoscendo questa informazione e abbinandola ad altri dati, registrati in rete, si possono ottenere molte informazioni sulla persona che naviga sul web.
Se, poi, queste informazioni sono mandate negli Usa, il problema privacy è enorme, perché gli Stati Uniti, come ha detto la Corte di giustizia Ue, non offrono garanzie idonee sul rispetto della privacy.
Gli interventi dei Garanti Ue. I servizi di analisi del traffico web, forniti da Google, hanno suscitato numerosi e clamorosi interventi di molti Garanti europei della privacy. Il Garante austriaco ha bocciato il servizio con un provvedimento del 21 dicembre 2021. Il Garante francese (Cnil) ha fatto lo stesso con un provvedimento del 10 febbraio 2022. Il Garante italiano ha ammonito una società italiana con un provvedimento del 9 giugno 2022.
Pertanto, la questione non è italiana, ma di tutta l’Unione europea.
Tutti i Garanti motivano le loro decisioni sottolineando che il sito web che utilizza il servizio Google Analytics, senza le garanzie previste dal regolamento Ue, viola la normativa sulla protezione dei dati, perché trasferisce negli Stati Uniti, paese privo di un adeguato livello di protezione, i dati degli utenti.
Nella vicenda italiana, il Garante per la privacy ha accertato che i gestori dei siti web che utilizzano il servizio di Google (per lo meno nella versione oggetto della pronuncia) raccolgono, mediante cookie, informazioni sulle interazioni degli utenti, sulle singole pagine visitate e sui servizi proposti. Tra i molteplici dati raccolti: indirizzo Ip del dispositivo dell’utente e informazioni relative al browser, al sistema operativo, alla risoluzione dello schermo, alla lingua selezionata, nonché data e ora della visita al sito web. Queste informazioni sono risultate oggetto di trasferimento verso gli Stati Uniti. E qui capita il guaio, per due motivi. Il primo motivo è che non ci si può fidare delle autorità americane: il Garante italiano ha ricordato che tutti i dati, comunque approdati in Usa, possono essere appresi dalle autorità governative e dalle agenzie di intelligence statunitensi, senza le dovute garanzie.
Il secondo motivo è Google stesso, che non ha tarato i servizi (o per lo meno quello oggetto della pronuncia del giugno 2022), implicanti un trasferimento di dati all’estero, agli standard tecnici idonei a garantire un livello adeguato di protezione dei dati degli utenti. Detto altrimenti, per fare analisi statistica bisogna neutralizzare la possibilità di identificare le persone, ma i dati raccolti da Google (lo si ripete, per lo meno con riferimento al caso oggetto della pronuncia del giugno 2022) non assicurano questo obiettivo. Al riguardo, il Garante italiano, nel dichiarare l’illiceità del trattamento, ha ribadito che l’indirizzo Ip costituisce un dato personale e che, anche nel caso fosse troncato, non diverrebbe un dato anonimo, considerata la capacità di Google di arricchirlo con altri dati di cui è in possesso.
Per questa ragione, neppure è sufficiente avere attivato la funzione “Ip-Anonymization”, pure segnalata da numerosi siti di autorità pubbliche italiane di primaria importanza, in quanto, come ha spiegato il Garante non impedisce a Google di re-identificare l’utente medesimo. Per completezza si aggiunge che a riguardo della versione “Google Analytics 4” la società Usa riferisce di non registrare né archiviare gli indirizzi Ip.
La tregua. Con un comunicato stampa del 23 giugno 2022, il Garante italiano ha richiamato all’attenzione di tutti i gestori italiani di siti web, pubblici e privati, l’illiceità dei trasferimenti effettuati verso gli Stati Uniti attraverso Google Analytics (per lo meno nella versione oggetto della pronuncia). Il Garante, pertanto, ha invitato tutti i titolari del trattamento a verificare la conformità delle modalità di utilizzo di cookie e altri strumenti di tracciamento utilizzati sui siti web, con particolare attenzione a Google Analytics e ad altri servizi analoghi, con la normativa in materia di protezione dei dati.
L’autorità italiana ha annunciato che, allo scadere del termine di 90 giorni assegnato alla società destinataria del provvedimento del 9 giugno 2022, sarebbe passata, anche sulla base di specifiche attività ispettive, a verificare la conformità al Regolamento Ue dei trasferimenti di dati effettuati dai titolari del trattamento (pubblici e privati). La tregua è trascorsa e i nodi non sono ancora stati sciolti.
La bagarre sulle sanzioni. Nel frattempo, si è scatenata la bagarre con massive richieste inviate via e-mail a imprese ed enti pubblici di cancellazione dei dati (tra cui ovviamente gli indirizzi Ip) raccolti tramite il servizio di Google, con conseguente concitazione sul da farsi nell’immediato. La questione non ha ancora avuto una soluzione generale e sono state denunciate anche possibili derive sanzionatorie, con una stima impressionante dei costi. Secondo una ricerca effettuata da Yourbiz, agenzia di Demand Generation, è di oltre 4 miliardi e mezzo di euro l’ammontare delle sanzioni che potranno arrivare alle aziende lombarde a causa della persistenza nell’utilizzo di Google Analytics 3 (versione oggetto della pronuncia del Garante). La cifra è ottenuta calcolando il 4% del fatturato (massimo della sanzione per le imprese) degli operatori economici lombardi. Si tratta di una stima calcolata a tavolino, la cui formulazione, per quanto approssimata e, perciò non probante, è, però, significativa dello stato di preoccupazione.
Possibili ammende per il passato: l’illecito resta anche a servizio spento
Platea larga per il rischio di sanzioni per il trasferimento extra Ue di dati con le versioni bocciate dei servizi di Analytics. Il problema riguarda non solo chi, non curante e sprezzante, continui a far uso del sistema di analisi fuori legge, ma anche chi nel frattempo ritenga di essersi messo a posto o abbia semplicemente interrotto il ricorso ai servizi di analisi delle visite alle proprie pagine web (preferendo rinunciare, così, alle utilità del servizio per la programmazione delle proprie attività e delle campagne di marketing). Il fatto di non dare più corso a un’attività illecita svolta in passato, in effetti, non comporta di per sé una sanatoria.
Quindi, se in sede di ispezione si scopre che un’impresa o una p.a. ha usato in passato Google Analytics (versione illegittima) o simili e, ora non lo fa più, non per questo può stare tranquilla: la sanzione è sempre possibile. Chi, in passato, ha usato il servizio di analisi statistiche illegittimo, in effetti, ha commesso una violazione, che, se oggetto di accertamento, rimane in astratto punibile, non avendo il ravvedimento operoso un’efficacia di estinzione dell’illecito amministrativo commesso.
Una condotta riparatoria può far diminuire l’importo della sanzione, ma non cancellarla a priori. Beninteso non si tratta di punizione retroattiva, perché si applica una norma sanzionatrice vigente al momento della commessa infrazione.
In ogni caso, il rischio è fortissimo, considerato l’enorme livello di diffusione della violazione sia ad opera delle imprese sia delle pubbliche amministrazioni. Tra l’altro le informative sui cookies, anche quelle che si trovano sui siti di alte amministrazioni centrali e di autorità pubbliche di primo piano, espongono ancora l’uso di quei servizi di Google Analytics, su cui è calata la scure del Gdpr.
In sostanza, bisogna interrompere il servizio espressamente bocciato dal Garante, ma questa scelta radicale, non mette al riparo al 100% da sanzioni. C’è, per il vero, una possibilità di evitare la sanzione in forma pecuniaria, ma è precaria ed è da valutarsi discrezionalmente caso per caso. Il Gdpr, infatti, prevede che, se la violazione è minore, al posto di una sanzione pecuniaria si possa pronunciare un ammonimento, che, però, è essa stessa una misura correttiva: non ci sono conseguenze sul portafoglio, ma solo perché si ottiene una specie di condono, accompagnato dalla registrazione del provvedimento, che costituisce un precedente valutabile negativamente in caso di successive recidive. Inoltre, la diffusione della notizia di essere stati ammoniti per violazione della privacy è certamente una macchia reputazionale.
Fonte: