I provvedimenti di alcuni garanti europei sostengono la non conformità dei servizi di Google Analytics

Aggiornamento 27 giugno 2022: In seguito alla pubblicazione dell'articolo vi sono stati altri provvedimenti di Garanti europei che sostengono la non conformità dei servizi di Google Analytics.

• Provvedimento Garante francese del 10 febbraio 2022;
• Provvedimento Garante italiano del 9 giugno 2022;
• Comunicazione del Garante italiano del 25 giugno 2022.

Il Garante italiano ha anche chiarito che "l’indirizzo IP costituisce un dato personale e anche nel caso fosse troncato non diverrebbe un dato anonimo, considerata la capacità di Google di arricchirlo con altri dati di cui è in possesso".

Il quadro generale

Con la decisione del 22 dicembre 2021, l’Autorità Garante per la protezione dei dati personali austriaca ha deciso che l’utilizzo del servizio Google Analytics, fornito da Google LLC, non è conforme alla normativa europea.

Il 13 gennaio l’organizzazione no-profit NOYB, co-fondata dal legale e attivista Maximilian Schrems, pubblica il provvedimento dell’Autorità per la protezione dei dati personali austriaca, emesso il 22 dicembre 2021 (non è ancora ufficialmente pubblico). Si tratta della prima decisione di un Garante europeo in risposta alle 101 denunce di NOYB in tema di protezione dei dati personali, intentate contro 30 aziende europee, in riferimento al trasferimento di dati personali dall’Europa verso società aventi sede negli Usa (in particolare Google e Facebook).

Tali ricorsi erano la conseguenza dell’importante sentenza della Corte di Giustizia europea che, nel 2020, ha invalidato il Privacy Shield, in base al quale avvenivano i trasferimenti di dati personali verso aziende con sede negli Usa, ritenendo che le leggi in materia di sorveglianza digitale degli Stati Uniti violano l’essenza dei diritti fondamentali dei cittadini europei. Nonostante la pronuncia della suprema corte, però, numerosissime aziende europee continuano tutt’ora a utilizzare i servizi delle aziende americane.

Leggi anche >> La Corte europea invalida l’accordo Privacy Shield sul trasferimento dei dati europei e declassa gli Usa

In tale quadro NOYD intenta 101 azioni contro aziende europee (e Google LLC) che continuano a utilizzare i servizi delle aziende tecnologiche americane. La decisione del Garante austriaco è, appunto, la conclusione di uno di questi ricorsi.

La normativa USA

Il problema che ha portato a invalidare il Privacy Shield risiede nel fatto che il quadro normativo americano consente alle agenzie di quel paese di imporre alle aziende di condividere i loro dati (Google ha evaso circa 201mila richieste nel solo 2019). Le leggi in questione, cioè il FISA 702 e l’ordine EO 12.333, si applicano solo a determinate categorie di aziende, cioè i "fornitori di servizi di comunicazione elettronica" (vedi 50 U.S. Code § 1881), e permettono la raccolta di informazioni di non americani situati al di fuori del territorio Usa (mentre gli americani sono protetti da perquisizioni e sequestri irragionevoli dal quarto emendamento). Ovviamente Google LLC è un “fornitore di servizi di comunicazione elettronica”, quindi soggetto alle norme in materia di sorveglianza elettronica.

Inoltre, la sorveglianza delle agenzie americane si realizza anche nel transito dei dati (upstream), quindi non solo richiedendo alle aziende i dati presenti su server, ma anche accedendo direttamente o indirettamente ai dati nella fase di trasferimento verso i server negli Usa. In tale prospettiva può essere utile assicurarsi che i dati siano cifrati (quindi misure di sicurezza ai sensi dell’art. 32 GDPR), fermo restando che le agenzie Usa sono in grado comunque di violare alcune forme di crittografia.
Le norme americane non prevedono effettivi rimedi legali contro la sorveglianza delle agenzie americane, addirittura nemmeno gli americani in certi casi hanno possibilità di ricorso perché il governo può mantenere la segretezza della sorveglianza verso i cittadini. Inoltre sono prive di un “principio di proporzionalità” che garantisca che la raccolta e l’uso dei dati avvenga solo quando “necessario”.

In tale situazione, il trasferimento di dati negli Usa è stato ritenuto pericoloso per i dati personali degli europei, e quindi può essere operato solo in casi in cui le aziende, oltre ad aver una base giuridica, garantiscano particolari misure di protezione.

Il caso giuridico

In risposta al ricorso di NOYB dell’agosto 2020, il Garante austriaco ha ritenuto che un operatore di un sito web (anonimo nel provvedimento pubblicato da NOYB) violasse l’articolo 44 del GDPR, in quanto utilizzando il servizio Google Analytics consentiva il trasferimento di dati personali negli Usa in assenza di una adeguata protezione, come richiesta dal Capo V del regolamento europeo.

Google ha risposto alle accuse con un documento dell’aprile del 2021, precisando che l’utilizzo di Google Analytics, e quindi il trasferimento dei dati personali verso gli Usa, avviene in base a clausole contrattuali standard ai sensi dell’articolo 46, paragrafo 2, del GDPR. Secondo Google ciò è conforme a quanto sostenuto dalla Corte europea e in linea con le Raccomandazioni (1/2020) dell’EDPB. In particolare il Comitato dei Garanti europei ha ritenuto che il trasferimento potesse essere basato sulle clausole contrattuali standard, purché, però fossero adottate misure supplementari, così garantendo un adeguato livello di protezione.

La decisione del Garante austriaco

Innanzitutto l’Autorità austriaca ha affrontato la questione se i dati trasferiti a Google negli Usa costituissero dati personali (ai sensi dell’art. 4, par. 1, GDPR). Nello specifico la difesa si è concentrata sulla considerazione che i dati erano anonimizzati (secondo la procedura consigliata anche dai Garanti europei), e quindi Google avrebbe avuto l’accesso a soli dati aggregati, inutilizzabili per l’identificazione degli utenti. In realtà si è riscontrato che la procedura di anonimizzazione non era corretta per un errore tecnico, e quindi i dati erano non anonimizzati. Inoltre, ha osservato il Garante, anche in presenza di anonimizzazione, comunque Google è in grado di abbinare l’account Google dell’utente che visita il sito (nel caso specifico era loggato nei servizi Google), grazie ai cookie (identificativi online univoci) che vengono depositati sul suo dispositivo, in tal modo rendendo personale il dato identificativo (cookie). Infine, ha osservato che comunque gli identificativi online univoci sono da considerarsi dati personali, in quanto abbinandoli con altri dati (indirizzo IP, informazioni del browser, sistema operativo, risoluzione dello schermo, selezione lingua, data e ora, ecc...) permettono la ricostruzione dell’impronta del browser (fingerprint) che consente una sufficiente identificazione dell’utente. Infatti Google consente all'utente di attivare e disattivare gli annunci personalizzati dal suo account, e ciò dimostra che Google LLC possiede tutti i mezzi per identificare l'interessato.

La conclusione è che si tratta di dati personali, i quali sono stati trasferiti negli Usa, per cui si configura un trasferimento di dati personali al di fuori del territorio dell’Unione. Il trasferimento è basato sulle clausole contrattuali standard, alle quali Google ha aggiunto ulteriori misure al fine di raggiungere un livello adeguato di sicurezza. Nel caso specifico le misure aggiuntive sono costituite dalla cifratura dei dati. In realtà, come osserva il Garante austriaco, tale misura non modifica la situazione in quanto Google (quale responsabile del trattamento), per poter operare il trattamento per conto del titolare (il gestore del sito in Austria), deve poter accedere ai dati, e quindi è in possesso della chiavi di decifrazione. Per cui le autorità americane possono imporre, in base alle norme giuridiche, a Google di condividere i dati in chiaro.

In conclusione il Garante austriaco (qui il comunicato di NOYB) ha ritenuto che nel caso specifico non fosse garantito un livello di protezione adeguato, come richiesto dalle norme europee, e che quindi il trasferimento dei dati personali fosse in violazione dell’art. 44 del GDPR. Il Garante ha concluso che la violazione è imputabile al gestore del sito (europeo), ma che i requisiti di cui al Capo V del GDPR non sono applicabili a Google nel caso specifico, così respingendo il ricorso contro Google in relazione al trasferimento dei dati (ma riservandosi una decisione separata con riferimenti agli obblighi quali responsabile del trattamento).

Il Garante non ha, però, imposto sanzioni o misure correttive, in quanto il titolare (il gestore del sito) si è fuso con altra azienda di Monaco, per cui sul punto (eventuale blocco del trattamento, sanzioni pecuniarie...) dovrebbe esprimersi il Garante tedesco.

Conclusioni

Se nel 2020 la Corte di giustizia dell’Unione europea ha deciso che i fornitori di servizi digitali americani non sono conformi alle norme europee, e quindi l’utilizzo di tali servizi da parte di aziende europee viola il regolamento europeo in materia di protezione dati personali, con questa decisione del Garante austriaco si applicano per la prima volta i dettami della Corte. In realtà una decisione simile si è avuta poco tempo prima, quando il Garante europeo (EDPS), che ha giurisdizione sulle istituzioni europee, ha sancito che il Parlamento europeo viola le norme utilizzando proprio i servizi di Google Analytics.

La situazione è ormai chiara, l’utilizzo dei servizi digitali delle aziende americane non è pienamente conforme, allo stato, alle norme europee, in quanto nessuna azienda americana si può sottrarre alle richieste delle agenzie americane di ottenere dati dei cittadini europei. E se questo è vero per Google Analytics, tra l’altro uno dei servizi più usati al mondo, vale anche per tutte le altre aziende americane. I giganti tecnologici americani, dopo la sentenza della Corte di giustizia dell’Unione europea, hanno cercato di correre ai ripari, inserendo ulteriori misure che però non spostano il problema. La cifratura dei dati non impedisce alle aziende americane di accedere ai dati in chiaro (perché per elaborarli, per conto delle aziende europee, devono necessariamente avere le chiavi per decifrarli). Infatti il Consiglio di Stato francese ha ritenuto AWS S.a.r.l. (società con sede in Europa ma controllata da Amazon) conforme solo perché le chiavi per decifrare i dati sono detenute da una terza parte e Amazon non può accedere ai dati in chiaro.

Una soluzione che si è avanzata è di avere delle sedi anche in Europa. In realtà molte aziende americane già hanno filiali in Europa (Google con Google Ireland Ltd dall’aprile 2021 fornisce i servizi di Analytics in Europa), e in certi casi sostengono di non trasferire i dati negli Usa ma di elaborarli solo nei server europei. Ma anche questa scelta non appare risolutiva, in quanto le aziende americane sono soggette alle norme americane indipendentemente da dove sono i server, quindi sono obbligate a fornire i dati alle autorità americane anche se questi sono su territorio europeo. L’unica effettiva soluzione sarebbe quella di avere una azienda separata che non consente l’accesso ai (o il controllo dei) dati alla società madre americana. In tal caso però occorrerebbe analizzare il livello di “controllo “ dei dati ai sensi della normativa Usa, in quanto gli Usa sono un paese di common law (basato su precedenti giudiziari) e quindi su casistiche ex post. In sostanza un giudice potrebbe ritenere comunque sussistente il “controllo” da parte della casa madre rispetto alla filiale europea, e quindi obbligare l’azienda a dare l’accesso ai dati alle agenzie americane.

In tale prospettiva è interessante notare che di recente Google ha annunciato l’istituzione di un datacenter in Germania in partnership col fornitore locale T-System. Ulteriori iniziative stanno partendo nell’ambito dei progetti europei di cloud sovrano.

Ovviamente la soluzione definitiva sarebbe che il legislatore Usa prenda atto della situazione e modifichi la normativa, concedendo agli europei garanzie equivalenti a quelle degli americani. Ma sono anni che se ne discute e di passi in avanti non se ne sono mai fatti, anzi in certi casi le possibilità di accesso ai dati da parte delle agenzie americane sono addirittura aumentate.

Un ultimo appunto riguarda la questione dell’“anonimizzazione” del servizio Analytics. Se è vero che nel caso specifico non era correttamente attivata, l’anonimizzazione consentirebbe di utilizzare solo dati aggregati che non sono considerati dati personali. Il Garante austriaco non si è espresso sulla conformità di tale procedura, ma rivedendo le valutazioni sui cookie probabilmente la conclusione non sarebbe differente.

Sorge l’obbligo di ulteriori due considerazioni. È fondamentale tenere presente che questo non è solo un problema delle aziende americane (che alla fine sono americane e quindi soggette alle leggi americane), ma soprattutto un problema per le aziende europee. Cioè, il titolare del trattamento (nel caso specifico una azienda europea) è obbligato, per legge, a selezionare accuratamente il responsabile del trattamento, e quindi ne risponde se ne sceglie uno che non è conforme alle norme europee (come è accaduto nel caso in questione). Quindi sta prima di tutto agli europei conformarsi alle leggi (infatti le richieste contro Google sono state respinte).

La seconda osservazione riguarda la procedura che ha portato alla decisione. Max Schrems aveva inizialmente intentato una azione dinanzi al Garante irlandese, che non ha mai intrapreso azioni effettive per la tutela dei diritti degli europei. Da ciò la decisione di costituire NOYB (che si regge grazie a un crowdfunding) per poter continuare la sua battaglia. È piuttosto evidente che un cittadino qualunque non avrebbe mai potuto portare avanti tutto ciò. Questo a dimostrare che, nonostante il GDPR, l’effettiva tutela della protezione dei dati personali è ancor lungi dell’essere effettiva in Europa. Del resto anche il Parlamento europeo utilizzava Google Analytics.

Immagine anteprima: Edho Pratama edhoradic, CC0, via Wikimedia Commons