Proviamo a fare chiarezza sul caso Google analytics (GA) di cui si è molto parlato nelle ultime settimane. Intanto diciamo di che cosa si tratta: Google analytics è un servizio di analisi web gratuito che monitora gli accessi di un sito fornendo, ovviamente, delle statistiche e degli strumenti di analisi.

Il Garante della privacy a fine giugno ha ammonito un’azienda, Caffeina Media S.r.l., che gestisce un sito web, proprio perché utilizzava Google analytics e le ha ingiunto di conformarsi al GDPR entro 90 giorni.

Per capire le motivazioni dell’ammonizione leggiamo nella nota del Garante del 22/6:

Dall'indagine del Garante è emerso che i gestori dei siti web che utilizzano GA raccolgono, mediante cookie, informazioni sulle interazioni degli utenti con i predetti siti, le singole pagine visitate e i servizi proposti. Tra i molteplici dati raccolti, indirizzo IP del dispositivo dell’utente e informazioni relative al browser, al sistema operativo, alla risoluzione dello schermo, alla lingua selezionata, nonché data e ora della visita al sito web. Tali informazioni sono risultate oggetto di trasferimento verso gli Stati Uniti. Nel dichiarare l’illiceità del trattamento è stato ribadito che l’indirizzo IP costituisce un dato personale e anche nel caso fosse troncato non diverrebbe un dato anonimo, considerata la capacità di Google di arricchirlo con altri dati di cui è in possesso”.

Dunque si pone con chiarezza il tema dei dati e del loro utilizzo fuori dal territorio europeo senza il rispetto delle garanzie previste dal capo V del GDPR, che elenca le condizioni che rendono legittimo un trasferimento di dati in Paesi Extra Ue

Il Garante ha anche richiamato le indicazioni fornite dall’EDPB - Autorità europea per la privacy - (Raccomandazione n. 1/2020 del 18 giugno 2021), secondo cui “le misure che integrano gli strumenti di trasferimento adottate da Google non garantiscono, allo stato, un livello adeguato di protezione dei dati personali degli utenti”.

Nella stesso provvedimento il Garante ha ricordato a tutti i gestori italiani di siti web, pubblici e privati, l’illiceità dei trasferimenti effettuati verso gli Stati Uniti attraverso GA. Di fatto il pronunciamento del Garante mette in evidenza in termini generali la questione del trasferimento dei dati fuori dal territorio UE, quale che sia il sistema che lo effettui.

Giova infatti ricordare, come abbiamo più volte scritto, che la legislazione americana consente alle Autorità di accedere a tutti i dati che risiedono negli Usa e non garantisce mezzi di ricorso o specifiche garanzie in merito ai diritti degli interessati.

Mentre Google risponde con soluzioni tecniche, rilasciando una versione di GA che non tratta, ad esempio, l’indirizzo IP ( GA4) e MonitoraPA, osservatorio formato da un gruppo di attivisti per i diritti digitali, mette in discussione anche questa nuova versione, il tema sembra essere sostanzialmente giuridico, come sostiene in un articolo su Agenda Digitale del 25/6/22 Guido Scorza, del consiglio del Garante della Privacy, indicando come sia necessario un accordo.

É bene sottolineare infatti che, dopo l’invalidazione a seguito di una sentenza della Corte Europea di Giustizia (Schrems II) del Privacy Shield, ossia la decisione di adeguatezza sottoscritta tra la Commissione Europea e gli Usa che riconosceva i livelli di protezione offerti dal Paese terzo equivalenti a quelli europei, un accordo a oggi non c’è: sono in corso delle trattative tra Usa ed Europa per addivenire ad un accordo che dovrà tenere conto della serie di provvedimenti europei come il Data Act, il Digital Market Act e Digital Services Act, atti che modificheranno le regole del mercato digitale europeo.

È parimenti giusto segnalare che il tema non era sconosciuto prima del recente pronunciamento del Garante e che sono in uso anche sistemi diversi ed alternativi (https://ilmanifesto.it/il-manifesto-ha-scelto-matomo-al-posto-di-google-analytics) e dunque vi sono più soluzioni approcciabili, di cui si trovano descrizioni e caratteristiche tecniche sulle riviste specializzate (ad esempio qui): parimenti bisogna rilevare come alcuni considerino che, ad oggi, non vi siano aziende europee in grado di fornire tutte le funzionalità garantite da GA in materia di marketing.

Per quanto riguarda la PA vi è un servizio, messo a disposizione da AGID, che offre il totale controllo del dato (il Portale Web analytics Italia - WAI) e che utilizza di default l’anonimizzazione dell’indirizzo IP degli utenti.

Ma al di là delle soluzioni possibili, il tema sostanziale rimane la valutazione di liceità di trasferimento dei dati personali degli utenti europei e le soluzioni da approntassi in tempi rapidi, considerato che dalla sentenza Schrems II sono passati due anni.

In linea generale ciò che non va perso di vista è il valore dei dati, la loro protezione, la necessità di mantenere le tutele previste, aggiornando dove necessario le norme, e confermando anche nella stipula di futuri accordi la peculiarità positiva di un ambito europeo che, a partire dal GDPR, sta cercando di normare il mercato digitale europeo con norme di tutela.