Anche il Garante Privacy si è espresso: Google Analytics viola il GDPR. La decisione, che segue quella di altre Autorità europee, era attesa da tempo e, per certi aspetti, non sorprende gli addetti ai lavori. Ciò nonostante, questo provvedimento suscita alcune domande, a cui cerchiamo di rispondere.
Alla base della decisione: il trasferimento di dati personali verso gli USA
Si parte, ovviamente, con il chiedersi quali siano le ragioni alla base della decisione: perché Google Analytics viola il GDPR? Il punto da cui partire è che, utilizzando il popolare tool di analisi, si genera un trasferimento di dati personali verso gli Stati Uniti, dove Google ha la sua sede. Si tratta di dati di navigazione riferiti a chi vista il sito su cui è operativo Analytics. È vero che chi installa il tool di analisi sul proprio sito è interessato unicamente alla raccolta di dati aggregati per avere delle statistiche. C’è però da dire che i dati raccolti e trasmessi a Big G, poiché consentono l’identificabilità dell’utente, vanno considerati personali.
Il trasferimento di dati personali fuori dal territorio UE è consentito a condizione che gli interessati possano godere, nello stato di destinazione, delle stesse garanzie privacy riconosciute dal GDPR europeo. Per agevolare questa operazione, esistono degli accordi internazionali, sulla base dei quali si riconosce come “sicuro” il Paese di destinazione. L’accordo concluso con gli USA è caduto, poiché la Corte di Giustizia ha ritenuto non adeguate le garanzie offerte dalle leggi statunitensi. La ragione è semplice: la normativa americana consente ampi poteri di indagine e controllo all’Autorità pubblica, regole incompatibili con le garanzie poste dal GDPR
Le violazioni al GDPR
Ecco, quindi, il nodo: chi gestisce un sito Web è titolare del trattamento in relazione ai dati di navigazione degli utenti. Se si avvale di Google Analytics, effettua una raccolta di dati personali, affidandoli poi alla società statunitense, che li riceve oltreoceano in veste di responsabile del trattamento ai sensi del GDPR. Si attua cioè un trasferimento di dati personali extra UE. Poiché il Paese di destinazione non offre una adeguata tutela ai dati, siamo in assenza delle garanzie richieste dalla normativa privacy.
Né, aggiunge il Garante, si può ritenere che le misure implementate da Google siano sufficienti ad escludere i rischi a cui la legge USA espone i dati ricevuti dall’UE. Sottoporre i dati a cifratura, in particolare, non basta, visto che Google, disponendo delle chiavi, ha la possibilità di ricostruire i dati originari, risalendo quindi alle singole persone cui si riferiscono. Non solo: la normativa statunitense è così stringente che consente all’Autorità di chiedere anche le chiavi crittografiche, sì che lo strumento si rivela tutto sommato inutile.
Alla violazione delle disposizioni in materia di trasferimento dei dati personali si aggiungono quelle in punto accountability nonché per quanto riguarda gli obblighi informativi. In sintesi: il gestore del sito avrebbe dovuto adottare misure di sicurezza stringenti ed essere in grado di rendere conto del suo operato. Non solo: avrebbe dovuto informare in modo puntuale gli utenti del sito in ordine al trasferimento dei dati e ai rischi ad esso connessi.
Un’obiezione realistica: Davide contro Golia
Si potrebbe obiettare che chi possiede un sito Internet è un piccolo player, che ben difficilmente può pensare di sedersi ad un tavolo con Google per concordare le misure di sicurezza adeguate o per vincolare il colosso statunitense al rispetto di regole in linea con il GDPR. Il margine di autonomia di chi vuole usare un servizio di Internet, di fatto, è inesistente. Il gestore del sito, realisticamente, si trova davanti ad una serie di clausole imposte unilateralmente: o le accetta, o non usa il tool di analisi. Il Garante ha ben chiara questa situazione, eppure, GPDR alla mano, non può che rilevare come il ruolo rivestito dal gestore di un sito è quello di titolare del trattamento. Questo significa che su di esso gravano specifici obblighi di sicurezza: non rispettarli significa doverne rispondere.
Le sanzioni e le prospettive future
E qua si passa ad un’altra domanda: che cosa si rischia? È bene chiarire anzitutto che il provvedimento del Garante non ha valenza generale, si riferisce cioè al singolo gestore del sito-titolare. Trattandosi di una materia così rilevante, però, è evidente che non si potrà fare finta di nulla: tutti i titolari di un sito Internet che implementa Analytics, di fatto, sono potenzialmente esposti al rischio di subire un provvedimento analogo. Che, per inciso, si è limitato ad un ammonimento: al gestore, infatti, è stato imposto di sospendere l’utilizzo di Google Analytics, con un termine (90 giorni) per adeguarsi al dettato del GDPR. In questo caso, il Garante ha valorizzato l’aspetto delle “dimensioni” minime rispetto a Google: nessuna sanzione economica. Per ora, forse.
Ultima domanda: che fare? La situazione è sicuramente burrascosa ed incerta. L’incompatibilità tra Google Analytics e il GDPR sembra ormai un dato acquisito. Sullo sfondo, le Istituzioni assicurano in ordine al raggiungimento di un nuovo accordo USA-UE volto a salvaguardare i trasferimenti di dati. Accordo che, anticipa già qualcuno, potrebbe però finire sotto la scure della Corte di Giustizia, proprio come capitato in passato al suo predecessore. La sensazione ovviamente è che, nel frattempo, il mercato, che viaggia ad una velocità più che doppia rispetto al diritto, possa trovare il modo di adeguarsi e trovare un assestamento tale da evitare provvedimenti come quello emesso dal Garante.
Avv. Andrea MARTINIS
diritto civile (responsabilità civile, assicurazioni, recupero crediti), privacy, diritto penale