Trasferimento dati

Google Analytics: quali soluzioni per un trattamento dati conforme al GDPR

Il provvedimento del Garante privacy su Google Analytics ha agitato gli animi delle aziende, ora alla ricerca di soluzioni alternative. Commenti e critiche non sono mancati, ma in attesa di un nuovo accordo UE-USA, sembra che i titolari siano tenuti a valutare vie alternative per rendere i trattamenti conformi al GDPR

13 Lug 2022
Lorenzo Baudino Bessone

praticante avvocato, Studio Previti

Rossella Bucca

Studio Previti Associazione professionale

gdpr

Lo scorso 9 giugno il Garante privacy ha ammonito una società italiana per aver illegittimamente trasferito dati personali verso gli Stati Uniti in violazione delle disposizioni di cui al capo V del Regolamento Generale europeo in materia di protezione dei dati personali (“GDPR”) sul proprio sito www.caffeinamagazine.it.

Se c’è chi ritiene che la pronuncia rischi di rimanere una mera petizione di diritto, inidonea ad invertire la prassi delle centinaia di migliaia di enti ed organizzazioni che ogni giorno raccolgono ed elaborano dati statistici utilizzando il servizio offerto da Google Analytics, le aziende sono comunque chiamate a trovare soluzioni alternative conformi al Gdpr.

Google Analytics, Scorza: “Ecco cosa devono sapere le aziende”

Le conseguenze del provvedimento

Dal polverone sollevato dal provvedimento in esame, emerge una certezza: trattare dati personali con Google Analytics per fini statistici è illegittimo e il suo utilizzo in Europa (in base a quanto già sancito dall’autorità francese ed austriaca) potrebbe comportare l’applicazione di una sanzione amministrativa (che va fino a 20 milioni di euro o al 4% del fatturato annuo).

WHITEPAPER
PREDICTIVE ANALYSIS: perché la manutenzione degli impianti è cambiata. Per sempre.
Intelligenza Artificiale
IoT

Sotto questo profilo, la società italiana colpita dalla pronuncia del Garante privacy può ragionevolmente ritenersi “fortunata”, dal momento che ha ricevuto “solo” un’ammonizione da parte dell’autorità. Quale l’obbligo stabilito? Conformarsi entro il termine di 90 giorni alla predisposizione di misure di sicurezza adeguate a garantire un uso legittimo dei cookie di Google Analytics (allo scadere dei quali, il Garante Privacy procederà, anche sulla base di specifiche attività ispettive, a verificare la conformità al GDPR dei trasferimenti di dati effettuati dai titolari); è pertanto pronosticabile che, nell’ipotesi di un futuro intervento sanzionatorio, il polso del Garante Privacy possa essere più duro e portare all’applicazione tout court di una sanzione pecuniaria.

Appaiono, dunque, chiari i motivi della dilagante preoccupazione delle aziende italiane che fondano il proprio business nel mondo digitale e che si trovano oggi costrette a correre al riparo dallo scenario di possibili e futuribili sanzioni da parte del Garante Privacy.

Più sfumati, invece, sono i confini entro cui si muove il provvedimento del Garante Privacy; in altre parole: è solo Google Analytics ad essere illegale? O il provvedimento si estende ad ogni servizio digitale che comporta il trasferimento di dati verso gli Stati Uniti? E in caso di risposta affermativa a quest’ultima domanda, quali soluzioni GDPR compliant possono essere adottate?

Il provvedimento del Garante privacy aggiunge nuovi elementi al quadro già noto?

L’autorità è stata chiamata ad analizzare la conformità del trattamento relativa all’uso di Google Analytics e solo di questo servizio; pertanto, i principi emanati dal provvedimento in esame potranno, in via unicamente astratta, estendersi ad altri servizi offerti da società statunitensi che comportano il trasferimento di dati personali verso tali territori.

Ad ogni modo, il Garante Privacy (sulla scia di quanto ravvisato dalle sopra citate autorità garanti europee) ha rilevato un duplice piano di criticità:

  • da un lato, infatti, alla luce delle indicazioni fornite dall’EDPB (con la Raccomandazione n. 1/2020 del 18 giugno 2021), l’insieme delle misure di sicurezza adottate da Google per consentire il trasferimento dei dati non garantiscono, allo stato attuale, un livello adeguato di protezione dei dati personali degli utenti. Perché? Le informazioni relative all’indirizzo IP del dispositivo dell’utente (nonché quelle relative a: browser utilizzato, sistema operativo, risoluzione dello schermo, lingua selezionata, la data e l’ora della visita al sito web) sarebbero a tutti gli effetti informazioni pseudonimizzate, quindi facilmente riconducibili agli interessati attraverso la combinazione di queste con altri dati a disposizione di Google;
  • dall’altro, il colosso americano, in qualità di “fornitore di servizi di comunicazione elettronica”, ai sensi dell’art. 1881, par. 4, lett. b), Titolo 50 del U.S. Code (cd. “Foreign Intelligence Surveillance Ac” – FISA 702) è soggetto alla sorveglianza da parte delle agenzie di intelligence statunitensi, che possono, pertanto, raccogliere gli identificativi online, come gli indirizzi IP e gli “Unique Identification Number” per la raccolta delle informazioni e la sorveglianza degli individui; controllo che è ulteriormente rafforzato dal provvedimento federale cd. “Cloud Act” (“Clarifying Lawful Overseas Use of Data Act”), introdotto nel marzo del 2018, che permette a quest’ultime di acquisire dati informatici dagli operatori di servizi di cloud computing “regardless of whether such communications, records or other informations are located within or outside of USA”; dunque anche ove i server siano collocati in Europa.

Alla luce di tali rilievi, si può osservare come la prima delle criticità parrebbe correlata in via specifica al livello di protezione dei dati fornito da Google, mentre la seconda potrebbe ben estendersi a qualsiasi servizio offerto da una società avente sede negli Stati Uniti che è obbligata a fornire i propri dati all’autorità statunitense in virtù della sopra richiamata normativa federale sulla sicurezza.

Privacy, Google Analytics 4 è fumo negli occhi: ecco perché non risolve il problema

Quali passi seguire per rendere il trattamento GDPR compliant?

Le criticità appena rilevate parrebbero, a prima vista, insormontabili.

Lo stesso Garante Privacy ha suggerito ai titolari del trattamento di verificare attentamente la conformità delle modalità di utilizzo di cookie e altri strumenti di tracciamento utilizzati sui propri siti web, con particolare attenzione a Google Analytics e ad altri servizi analoghi, con la normativa in materia di protezione dei dati personali.

L’ABC del GDPR: una guida pratica alla portata di tutti

Tuttavia, in attuazione del principio di accountability, l’autorità ha rimesso tali valutazioni in capo al titolare del trattamento, il quale assume l’obbligo di analizzare il processo di trattamento dei dati per valutare il rischio sotteso allo stesso, aggiornando periodicamente il registro dei trattamenti e l’informativa resa agli interessati sul punto. Come prescritto dalla normativa privacy vigente, spetta proprio al titolare determinare autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali, in ossequio al predetto principio che comporta il dovere di verificare, caso per caso e in modo proattivo, se l’importatore sia in grado di assicurare il rispetto degli obblighi previsti dalla normativa.

I rimedi tecnici adottabili

Dal punto di vista dei rimedi tecnici adottabili, la prima delle soluzioni potrebbe risiedere nell’utilizzo da parte del titolare del trattamento di una crittografia con chiave privata, cioè non più detenuta da Google, ma dal titolare stesso: in questo modo il problema sarebbe risolto in principio, essendo i dati trasferiti già in forma anonima.

Avrebbe, pertanto, efficacia determinante il principio discendente dal Considerando 26 del GDPR, a mente del quale “ (…) I principi di protezione dei dati non dovrebbero pertanto applicarsi a informazioni anonime, vale a dire informazioni che non si riferiscono a una persona fisica identificata o identificabile o a dati personali resi sufficientemente anonimi da impedire o da non consentire più l’identificazione dell’interessato. Il presente regolamento non si applica pertanto al trattamento di tali informazioni anonime, anche per finalità statistiche o di ricerca”.

Una soluzione che parrebbe semplice, ma che in relazione ad alcune tipologie di servizi offerti (come nel caso dei trattamenti a fini statistici di Google Analytics) potrebbe risultare incompatibile con le finalità perseguite.

Soluzioni “cookieless

Ancora, il titolare del trattamento potrebbe preferire soluzioni “cookieless (ossia evitare l’utilizzo di cookie di terze parti): rimedi ai quali diverse aziende stanno volgendo con interesse lo sguardo, complice anche la dichiarazione della stessa Google di voler eliminare gradualmente i cookie di terze parti all’interno di “Chrome” entro il 2023, ma che parrebbe risolutivo solo in relazione al piazzamento dei cookie e non per altri trattamenti di dati che comportano il trasferimento verso gli Stati Uniti.

Un server “in house” per l’analisi dei dati

Una soluzione altrettanto drastica potrebbe essere quella, percorribile dalle società più strutturate, di costruire un proprio server per l’analisi dei datiin house” tramite l’acquisto di licenze più o meno performanti.

È evidente, peraltro, che i moniti dei singoli garanti europei non sono rivolti esclusivamente ai titolari del trattamento. Una lettura critica dei provvedimenti emessi già a partire dalla fine dello scorso anno mal celano l’intenzione di premere l’acceleratore sulla conclusione del nuovo accordo tra Unione Europea e Stati Uniti, stimolando, altresì, la riflessione critica sull’assoluta “dipendenza” del mercato digitale europeo dai fornitori americani. Quindi, seppure volti a lanciare un campanello d’allarme, tali provvedimenti possono contribuire a focalizzare l’attenzione sul tema sempre “caldo” della tutela dei dati personali e dei diritti fondamentali degli individui.

Conclusioni

Il provvedimento del Garante Privacy non deve essere letto, quindi, come un divieto categorico al trasferimento dei dati personali verso gli Stati Uniti. La lettura della recente pronuncia sul caso di Google Analytics deve necessariamente muovere su un doppio piano: l’uno politico, relativo alla declaratoria di incompatibilità dell’ordinamento statunitense con i principi del GDPR; l’altro prettamente giuridico, concernente l’insufficienza delle misure di protezione dei dati predisposte da Google nel trasferimento degli stessi negli USA.

Trasferimento dati su cloud Usa: quali soluzioni per le aziende italiane

I rimedi fin qui prospettati prendono attentamente in considerazione questa differenza sostanziale e dovranno ovviamente essere ponderati, caso per caso, dal titolare del trattamento in relazione alle circostanze specifiche del trasferimento di dati, con la consapevolezza che, in ottica di accountability, l’esportatore che intende trasferire i dati personali verso gli Stati Uniti (o in un altro Paese sprovvisto di decisione di adeguatezza da parte della Commissione UE) non potrà esimersi dal procedere ad una valutazione documentata dei rischi per la protezione delle libertà e dei diritti fondamentali degli individui e dall’adozione di misure tecniche supplementari che garantiscano un livello di protezione dei dati personali sostanzialmente equivalente a quello previsto dal GDPR.

WHITEPAPER
Quanto VALORIZZI i dati del tuo CLOUD? Ecco i benefici che potresti ottenere!
Amministrazione/Finanza/Controllo
Big Data
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Analisi
PA
Salute digitale
News
Fondi
Formazione
Ecologia
Digital Economy
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Incentivi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Incentivi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articolo 1 di 4