Con provvedimento del 9 giugno 2022, il Garante privacy ha stabilito che il gestore del sito web di un noto magazine online operasse in violazione della normativa sulla protezione dei dati a causa dell’impiego del servizio di Google Analytics (GA) e del conseguente trasferimento dei dati degli utenti negli Stati Uniti senza le garanzie previste dal Regolamento Ue 2016/679.

Si tratta di un provvedimento adottato in seguito ad uno dei 101 reclami presentati dagli attivisti della ong austriaca Noyb alle autorità privacy europee sul delicato tema del trasferimento dei dati all’estero derivante dall’impiego di Google Analytics e di altri analoghi servizi molto diffusi.

Senza pretese di analizzare in questa sede in modo approfondito il tema del trasferimento dei dati verso Paesi extra UE (per cui rinvio a una scheda di sintesi presente sul sito del Garante privacy), si ritiene possa essere utile indicare i punti essenziali per comprendere la questione di cui si discute.

Google Analytics

Google Analytics è, come noto, uno strumento di web analytics fornito da Google ai gestori di siti internet per analizzare dettagliate statistiche sugli utenti nell’ottica di ottimizzare i servizi resi e di monitorare le proprie campagne di marketing.

L’impiego di Google Analytics su un sito web comporta la raccolta, mediante cookie, di informazioni sulle interazioni degli utenti con il sito, le singole pagine visitate e i servizi proposti.

Tra i molteplici dati raccolti, vi sono: l’indirizzo IP del dispositivo dell’utente, le informazioni relative al browser, al sistema operativo, alla risoluzione dello schermo, alla lingua selezionata, la data e ora della visita al sito web.

Qual è il problema relativo all’impiego di Google Analytics

L’impiego di Google Analytics comporta il trasferimento verso gli Stati Uniti dei dati personali dei visitatori dei siti in cui si utilizza il servizio di analisi.

Il trasferimento all’estero è lecito solo se avviene in presenza di una delle garanzie stabilite agli artt. 45 e seguenti del Regolamento UE 2016/679.

Per il trasferimento dei dati verso gli USA, lo strumento di garanzia utilizzato era costituito dalla decisione di adeguatezza e, precisamente, dalla decisione della Commissione UE n. 2016/1250 del 12 luglio 2016, sull’adeguatezza della protezione offerta dal regime dello scudo UE-USA per la privacy (c.d. Privacy Shield).

Tale decisione è stata però dichiarata invalida dalla Corte di Giustizia dell’Unione Europea, con la pronuncia C-311/18, del 16 luglio 2020 (c.d. Schrems II).

La Corte ha infatti constatato che il diritto interno degli Stati Uniti (in particolare l’Executive Order 12333 e l’art. 702 del Foreign Intelligence Surveillance Act – di seguito “FISA 702”) comporta deroghe alla normativa in materia di protezione di dati che eccedono le restrizioni ritenute necessarie in una società democratica.
Tutto ciò con particolare riferimento alle disposizioni che consentono alle Autorità pubbliche, nel quadro di determinati programmi di sicurezza nazionale, di accedere senza adeguate limitazioni ai dati personali oggetto di trasferimento, nonché alla mancata previsione di diritti, in capo ai soggetti interessati, azionabili in sede giudiziaria.

Venuto meno il Privacy Shield, è rimasto possibile ricorrere ad altro strumento di garanzia previsto dal Regolamento, ossia alle clausole contrattuali tipo.

Google adotta tali clausole, eppure il Garante non ha ritenuto sufficiente il ricorso a tale strumento. Per quale ragione?

La motivazione è indicata chiaramente dalla Corte di Giustizia che, con la pronuncia già richiamata, ha puntualizzato che, in base al principio di accountability, i titolari del trattamento, in qualità di esportatori, debbano verificare, caso per caso e, ove necessario, in collaborazione con l’importatore nel paese terzo, se la legge o la prassi di quest’ultimo incidano sull’efficacia delle garanzie adeguate contenute nelle predette clausole; ciò al fine di determinare se le garanzie previste dalle clausole contrattuali tipo possano essere rispettate nella pratica.

Rispetto a Google Analytics, il nostro Garante privacy, nel provvedimento di cui si discute, prende atto dell’adozione delle clausole contrattuali tipo ma rileva che le stesse non siano sufficienti, considerando la possibilità, per le Autorità governative e le agenzie di intelligence statunitensi, di accedere ai dati personali trasferiti senza le dovute garanzie.

Sul punto il Garante precisa infatti che le misure supplementari di natura tecnica adottate, che consistono nell’adozione di meccanismi di cifratura dei dati, non sono sufficienti ad evitare i rischi di un accesso, ai fini di sicurezza nazionale, ai dati trasferiti dall’Unione europea da parte delle Autorità pubbliche degli Stati Uniti, in quanto la chiave di cifratura rimane nella disponibilità di  Google LLC che la detiene, in qualità di importatore, in virtù della necessità di disporre dei dati in chiaro per effettuare elaborazioni e fornire servizi e la società ha l’obbligo di consentire l’accesso, da parte delle Autorità statunitensi, non solo con riferimento ai dati personali importati, ma anche in ordine alle eventuali chiavi crittografiche necessarie per renderli intelligibili.

L’esito dell’accertamento del Garante

Il Garante privacy ha ammonito il gestore del sito web che impiegava Google Analytics in assenza delle necessarie garanzie, ingiungendo allo stesso di conformarsi alla normativa privacy entro novanta giorni.

Il tempo indicato è stato ritenuto congruo per consentire al gestore di adottare misure adeguate per il trasferimento, pena la sospensione dei flussi di dati effettuati, per il tramite di GA, verso gli Stati Uniti.

L’impatto della decisione per tutti i titolari

La pronuncia e il tempo assegnato non ha rilievo solo per la società destinataria del provvedimento.

L’Autorità, infatti, nel comunicato stampa relativo al provvedimento adottato su Google Analytics, ha richiamato all’attenzione di tutti i gestori italiani di siti web, pubblici e privati, l’illiceità dei trasferimenti effettuati verso gli Stati Uniti attraverso GA e ha invitato tutti i titolari del trattamento a verificare la conformità delle modalità di utilizzo di cookie e altri strumenti di tracciamento utilizzati sui propri siti web, con particolare attenzione a Google Analytics e ad altri servizi analoghi, con la normativa in materia di protezione dei dati personali.

Ulteriori pronunce su Google Analytics

Il nostro Garante privacy non è l’unica Autorità di controllo a essersi pronunciata sull’impiego di Google Analytics.

La decisione della nostra Autorità è stata infatti preceduta da quella della CNIL del 10 febbraio 2022 e da quella del Garante austriaco del 22 dicembre 2021.