A conclusione di un’istruttoria avviata nel corso del 2020 sulla base di un reclamo, il Garante ha dichiarato che il sito web che utilizza lo strumento Google Analytics (GA) viola il Regolamento Europeo in materia di protezione dei dati personali (GDPR).
L’Autorità ha analizzato l’opzione “IP-Anonymization” la quale comporta l’invio a Google Analytics dell’indirizzo IP dell’utente troncato. Il troncamento dell’IP, tuttavia, non impedisce a Google LLC di re-identificare l’utente. L’anonimizzazione non è mai effettiva in quanto, come specificato dal Garante, “fintanto che la chiave di cifratura rimanga nella disponibilità dell’importatore, le misure adottate non possono ritenersi adeguate”.
Richiamando il principio di accountability, il Garante ha pertanto dichiarato il trattamento illecito per violazione dei principi generali del GDPR (art.5) e delle disposizioni in materia di trasferimenti (artt.44 e ss). La violazione di tali norme rientra nella fattispecie di cui all’art.83 par.5 del GDPR e comporta sanzioni amministrative pecuniarie fino a 20.000.000,00 €, o per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.
L’orizzonte è quello dei 90 giorni che il Garante ha concesso per effettuare le opportune verifiche. Ma la questione non può risolversi in alcun modo “in casa”. Si tratta di un problema politico, che deve giocarsi tra Bruxelles e Washington.
Non potendo ricorrere alle deroghe per il trasferimento di cui all’art.49 GDPR, AD OGGI il primo step per adeguarsi al GDPR (e per evitare sanzioni e provvedimenti da parte dell’Autorità) è quello di dismettere lo strumento di Google Analytics. Anche l’alternativa proposta da Google stessa, ovvero “Analytics 4” presenta le stesse criticità. Ne deriva che, per quanto il provider si impegni a implementare misure di sicurezza, la principale criticità relativa al trasferimento verso i server ubicati negli Stati Uniti permane. Il contesto è quello dell’ormai famosa decisione della Corte di Giustizia dell’Unione Europea che ha di fatto annullato il Privacy Shield che garantiva l’export verso gli Stati Uniti d’America.
Le alternative con server ubicati nello Spazio Economico Europeo (SEE) non mancano. Le organizzazioni private, previo (consigliato) confronto con il proprio gestore del sito web, possono far affidamento sul software open source alla base di WAI (Matomo), oppure valutare le (tante) altre soluzioni disponibili sul mercato.
In ogni caso, affidare il trattamento dei dati personali degli utenti ad un fornitore terzo (qualunque esso sia), comporta la necessità di effettuare una valutazione in ottica privacy by design e privacy by default.
Fra le attività da compiere per evitare di ricorrere in reclami, segnalazioni e potenziali sanzioni, è fondamentale verificare che il provider fornisca “garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato” (art.28 par.1 GDPR).
Per compiere questa valutazione, il Titolare del Trattamento (l’azienda o il professionista) è tenuto a verificare:
- La presenza di un “contratto o altro atto giuridico” conforme all’art.28 par.2 GDPR;
- L’ubicazione dei server dove il responsabile e gli eventuali sub responsabili tratteranno i dati;
- La presenza di una decisone di adeguatezza del paese terzo o di misure di salvaguardia ai sensi dell’art.46 e ss., qualora i server siano ubicati al di fuori dello Spazio Economico Europeo (SEE);
- L’adozione di misure di sicurezza e di misure di sicurezza supplementari, qualora i server siano ubicati al di fuori dello Spazio Economico Europeo (SEE);
- Le modalità di gestione dei dati ed i termini di conservazione degli stessi;
- La presenza di certificazioni, standard di qualità e sicurezza, policy e procedure, codici di condotta e altri documenti che dimostrino la conformità del fornitore;
- In generale, la conformità al GDPR del fornitore (la presenza di istruzioni funzionali al trattamento, la formazione, la tenuta del registro delle attività di trattamento, la realizzazione di DPIA, la nomina di un DPO, le informazioni fornite agli interessati, la gestione dei diritti, la gestione di eventuali data breaches, ecc.)
Oltre a questo aspetto segnaliamo che nei prossimi giorni (ammesso che non l’abbiate già ricevuta nei giorni scorsi) potreste ricevere una mail da un certo “Federico Leva” (in qualità di Interessato) che chiede la rimozione dei propri dati personali dai database del Vostro sito web. Sappiate che, nel caso, dovrete attivarvi. Non si tratta di un indirizzo automatizzato e non è una richiesta illegittima: la mail che sta inviando Federico Leva è una diretta conseguenza della comunicazione del Garante Privacy.
Federico Leva (attivista, sviluppatore e consulente ICT) ad un’intervista ha dichiarato “Non è un mistero che non sia un fan di Google Analytics- ha detto. Sono stato sorpreso positivamente dal provvedimento del garante che ha detto di concedere 90 giorni di tempo alle persone per svegliarsi e poi si vedrà cosa fare. Molte persone non sanno che Google Analytics è in contrasto con il GDPR e per questo ho avuto questa idea: ho pensato banalmente di informare le persone di questo provvedimento. Per questo ho inviato la famosa mail: così le persone possono sapere che potranno esercitare i loro diritti. La richiesta di rimozione mi è sembrata abbastanza pacifica”
Suddetta “Operazione di informazione” non sembra essere l’unica e potrebbe avere un seguito non trascurabile. E’ bene ribadire che si tratta di richieste legittime in virtù della decisione del Garante Privacy. Ai Titolari del Trattamento proprietari dei siti web conviene rispondere entro il termine di 30 giorni dalla ricezione della mail in quanto il mancato riscontro alle richieste avanzate potrebbe dare il via ad un esposto al Garante della Privacy che, conseguentemente, potrebbe comportare inutili grattacapi.
Il nostro consiglio è di verificare la presenza dei riferimenti, segnalati dall’Interessato, all’interno della cronologia del sito: qualora fossero presenti, provvedere alla loro rimozione comunicando a Google Analytics la richiesta di cancellazione e, successivamente, fornire riscontro all’Interessato che ha esercitato i propri diritti (rispondendo, nel caso di specie ed a titolo esemplificativo, alla mail domande@leva.li).
Qualora, al contrario, non si riuscisse a trovare i riferimenti segnalati dall’Interessato, si consiglia di rispondere alla richiesta avanzata da quest’ultimo chiedendogli di fornire i riferimenti precisi dei dati da rimuovere in quanto quelli indicati nella mail non risultano essere presenti nei log del sito