Secondo il Garante danese neanche l'ultima versione di Google Analytics tutela privacy e dati personali degli utenti

La notizia è che anche la Danish Data Protection Agency si è espressa sull’uso dello strumento di analytics di casa Google e la possibilità che lo stesso risulti rispettoso del regolamento europeo sulla protezione dei dati personali, dopo che nei mesi scorsi lo avevano già fatto l’authority austriaca, quella francese e soprattutto quella italiana. Le FAQ pubblicate dal Garante danese su Google Analytics 4 riescono davvero, però, a spazzare il campo da ogni possibile dubbio riguardo a un suo uso a norma?

Dopo che il Garante Privacy italiano aveva formalmente ammonito tre siti che utilizzavano Google Analytics e dato loro novanta giorni di tempo per adeguarsi alle previsioni del GDPR tra gli addetti ai lavori si era insinuata, infatti, la speranza che una soluzione potesse venire automaticamente – o quasi – dalla versione più aggiornata dello strumento Google per le analytics, la quarta appunto.

L’authority danese conferma che lo strumento Google per le Analytics non rispetta il GDPR (non di default)

L’impianto teorico della pronuncia dell’Agenzia danese per la privacy ricalca quello utilizzato dalle altre authority europee, inclusa quella italiana.

Volendo semplificare, il dato o i dati raccolti da Google Analytics sono aggregati in “ cluster ” e tanto basta perché si configuri un trattamento dei dati personali da far rientrare sotto la copertura del GDPR. Essendo i server di Google Analytics localizzati negli Stati Uniti è impossibile impedire il trasferimento all’estero dei dati degli utenti; inoltre, mancando ancora un accordo tra Stati Uniti ed Europa sul trasferimento oltreoceano dei dati personali dei cittadini – dopo l’abolizione del Privacy Shield per effetto della sentenza Scherms II – i primi non possono essere considerati paesi in grado di assicurare agli utenti un livello di protezione adeguato agli standard europei.

Volendo sintetizzare, la pronuncia del Garante danese su Google Analytics 4 conferma che anche nella sua versione più aggiornata lo strumento di Google per le analytics non risulta “di default” a norma di GDPR e per questo il suo utilizzo è illecito se gestori dei siti web e titolari dei siti web non adottino ulteriori precauzioni per la privacy degli utenti.

Cosa dicono le FAQ del Garante danese su Google Analytics 4

Quali sono, però, i nodi cruciali delle FAQ del Garante danese su Google Analytics 4?

Perché i dati raccolti da Google Analytics devono essere considerati dati personali

Una delle prime domande a cui l’Agenzia danese prova a rispondere è perché è impossibile utilizzare Google Analytics senza raccogliere dati personali. È vero che nelle versioni più aggiornate dello strumento, come la quarta appunto, Google permette ai gestori dei siti di personalizzare le impostazioni e scegliere che tipo di dati raccogliere, minimizzando eventualmente la raccolta di dati non essenziali.

È altrettanto vero, però, che lo strumento associa a ogni utente un cosiddetto “unique identifier” che tiene conto di data e ora in cui ha visitato il sito in questione, da che dispositivo e utilizzando quali browser e sistema operativo, dove si trovava quando lo ha fatto e numerosi altri dati di navigazione. Tale unique identifier permette sempre, in altre parole, di individuare il singolo utente, anche quando non si riesca a identificarlo e associarlo a una persona fisica e tanto basta perché debba essere considerato come un dato personale.

Anche la pseudonimizzazione, la tecnica utilizzata fin qui da Google per rendere i dati raccolti non specificatamente attribuibili a singoli utenti non basta, come ribadisce il Garante danese: anche se pseudonimizzato, infatti, soprattutto un dato come l’indirizzo IP, se è incrociato con gli altri abbondanti dati di navigazione a disposizione del servizio, può riuscire a individuare il singolo utente.

Servirebbe, piuttosto, anonimizzare del tutto alcuni dati di navigazione ma da Mountain View sono poco chiari su come e se sia possibile, anche nelle versioni più aggiornate di Google Analytics. La cifratura e il fatto che i dati raccolti possano essere criptati prima del trasferimento all’estero non presentano meno vulnerabilità.

Tocca a gestori e titolari del trattamento svolgere apposite analisi del rischio

Quanto detto fin qua non tiene conto che per i gestori dei siti un dato eccessivamente “ripulito” potrebbe di fatto essere un dato poco utile e di scarso valore.

L’invito, neanche troppo implicito nella pronuncia del Garante danese su Google Analytics 4, a chi gestisce un sito o è titolare del trattamento dei dati personali è così di svolgere di volta in volta un’apposita analisi del rischio. Ci si potrebbe convincere, dopo aver adottato alcune precauzioni e aggiustamenti ad hoc, di aver trovato una configurazione di Google Analytics capace di non raccogliere dati personali: il consiglio dell’authority danese è in questo caso di documentare ogni passaggio in modo da poter dimostrare di aver fatto un uso dello strumento rispettoso del GDPR in caso di controlli o se citati in giudizio.

Come le altre autorità del campo, del resto, la Data Danish Data Protection Agency non può bannare o rendere illecito l’uso di un determinato strumento: ha semmai un potere di indirizzo e può giocare di “moral suasion” prospettando sanzioni e penalizzazioni per esempio. È quello che ha fatto il Garante Privacy italiano: dopo la pronuncia di giugno 2022, l’uso di Google Analytics sarebbe crollato del 90%¹, almeno sui siti delle pubbliche amministrazioni italiane.

Non basta chiedere agli utenti il consenso esplicito a usare Google Analytics

Almeno un consiglio pratico sembra arrivare per gestori dei siti e titolari del trattamento dalle FAQ del Garante danese su Google Analytics 4. Questo consiste nel non pensare che basti semplicemente chiedere il consenso esplicito agli utenti che navigano sul sito (tramite banner o pop-up, ecc.) per continuare a utilizzare Google Analytics indisturbatamente, dopo averli informati del rischio che i loro dati personali possano essere trasferiti all’estero.

È vero, infatti, che il regolamento europeo prevede delle «deroghe in specifiche situazioni»² alle sue previsioni: il trasferimento dei dati su server localizzati all’estero, però, non è certo una “specifica situazione” quanto una prassi comune quando si utilizzano servizi e piattaforme digitali non europei.

Potrebbe arrivare presto un nuovo framework per il trasferimento oltreoceano dei dati

Tra le evidenze che gestori dei siti e titolari del trattamento dovrebbero tenere in considerazione c’è, ancora, che la “disclosure” dei dati personali degli utenti ad autorità e altri soggetti pubblici nell’ordinamento americano non è solo un rischio ma una possibilità concreta.

Vi è in America un gran numero di soggetti pubblici che per diverse ragioni, di pubblica sicurezza e non solo, può chiedere alle big tech di aver accesso ai dati conservati nei server, indipendentemente dal fatto che si riferiscano o meno a utenti americani o stranieri. È per questa ragione che, come già si accennava, gli Stati Uniti non possono essere considerati un paese che garantisce livelli di protezione dei dati e della privacy dei cittadini adeguati agli standard europei.

Il Garante danese ha ribadito in questo senso che non basta che Google abbia assicurato che è da almeno quindici anni che non riceve richieste da parte delle autorità americane di accedere ai propri server³ per non considerare «problematica» la normativa locale, soprattutto in assenza di strumenti come il già citato Privacy Shield a raccordare due approcci diametralmente opposti al tema della sorveglianza digitale.

La buona notizia, molto attesa, è che potrebbe arrivare presto – già il 3 ottobre 2022 – un ordine esecutivo con cui l’amministrazione Biden prova a dare un nuovo framework normativo al trasferimento transatlantico dei dati. Il documento, già ribattezzato soprattutto dalla stampa “Privacy Shield II”, dovrà comunque essere ratificato dalla Commissione Europea prima di diventare operativo, non prima di marzo 2023.

La novità più grande rispetto alla precedente versione dell’accordo sembrerebbe essere, a leggere le bozze, l’introduzione degli aggettivi «necessarie» e «proporzionate»⁴ per la definizione, citando quasi esplicitamente il GDRP, delle attività di raccolta di dati personali dei cittadini a scopo di sorveglianza e pubblica sicurezza. Rimane però ancora da capire come agenzie diverse, di paesi diversi, interpreteranno il portato di questi stessi termini.