Garante Privacy

Google Analytics, Scorza: “Ecco cosa devono sapere le aziende”

Senza un accordo giuridicamente vincolante non ci sarà alternativa a sospendere il trasferimento dei dati negli USA e, quindi, a interrompere l’uso del servizio Google Analytics. Non si può pensare che anni di malgoverno dell’innovazione e colonialismo digitale siano risolti a colpi di provvedimenti dei singoli Garanti

05 Lug 2022
Guido Scorza

Autorità Garante Privacy

Logo_Google_Analytics.svg

La recente decisione con la quale il Garante per la protezione dei dati personali ha ordinato a un editore, utilizzatore del servizio Google Analytics di sospenderne l’utilizzo – o meglio di sospendere il trasferimento dei dati personali negli Stati Uniti d’America sotteso al funzionamento del servizio – qualora entro tre mesi non riesca ad adottare misure giuridiche e/o organizzative e/o tecnologiche capaci di garantirne un funzionamento compatibile con il GDPR ha scatenato, come in parte comprensibile, reazioni diverse, contrastanti, estreme, talvolta ragionevoli e talvolta completamente irragionevoli.

Vale la pena, per questo, provare a ricondurre quanto accaduto nel suo alveo naturale.

Google Analytics, fine di un’epoca? Cosa accadrà, con la rivoluzione privacy

La portata del provvedimento

Cominciamo dall’oggetto principale di discussione e confronto.

È vero che la decisione ha, inesorabilmente, una portata che trascende il singolo caso sul quale l’Autorità si è pronunciata perché esistono certamente migliaia o decine di migliaia di soggetti pubblici e privati che utilizzano il servizio esattamente come lo utilizza l’editore destinatario del servizio.

WHITEPAPER
IT e HSE: costruire una strategia di gestione, monitoraggio e controllo predittivo. Come?
Big Data
Software

E l’autorità, infatti, con il comunicato stampa con il quale ha informato dell’adozione del provvedimento ha rappresentato che, trascorsi i tre mesi in questione, inizierà a fare ispezioni e verifiche per fare in modo, per quanto possibile, che tutti quanti si trovino in posizioni identiche, siano trattati allo stesso modo, così da evitare il crearsi di antipatiche asimmetrie.

Ed è egualmente vero che la portata del provvedimento trascende il perimetro degli utilizzatori di Google Analytics perché ci sono decine di altri servizi forniti da società americane che per funzionare presuppongo il trasferimento di dati personali dal vecchio al nuovo continente.

La sentenza Schrems II e il trasferimento dati negli Usa

Tuttavia, guai a dimenticare che la famosa decisione della Corte di Giustizia non ha vietato tutti i trasferimenti tra Europa e Stati Uniti ma più semplicemente annullato la decisione di adeguatezza adottata dalla Commissione europea a valle dell’accordo del cosiddetto Privacy Shield.

Ma trasferire dati personali negli USA – così come in altri Paesi in relazione ai quali, allo stato, non esiste una decisione di adeguatezza – non era vietato prima della Sentenza nota come Schrems II e non è vietato oggi a valle di tale Sentenza.

Le condizioni di legittimità del trasferimento previste dal Gdpr

Il GDPR, infatti, prevede una serie di altre condizioni di legittimità del trasferimento di dati personali al di fuori dell’Europa.

Non è vero, quindi che chiunque allo stato stia trasferendo dati dall’Europa agli Stati Uniti d’America stia violando le regole.

Un accertamento caso per caso è indispensabile per capire se e in che termini il trasferimento extra UE sia lecito o illecito.

La questione GA4

In tanti, poi, all’indomani della decisione hanno segnalato che Google ha, frattanto, rilasciato una versione aggiornata del servizio – GA4 – che sarebbe idonea a superare le criticità emerse nel corso dell’istruttoria all’origine del provvedimento oggetto di discussione a limitare il trasferimento e/o la conservazione di dati personali dall’Europa agli Stati Uniti.

Sul punto vale la pena di essere molto chiari.

Gli uffici del Garante non hanno avuto occasione di esaminare la versione 4 di Google Analytics semplicemente perché il titolare del trattamento oggetto del provvedimento non la utilizzava, né sin qui tale versione è venuta in rilievo in altri procedimenti analoghi.

Impossibile in queste condizioni, pertanto, dire se essa sia o meno in grado di risolvere il problema e consentire l’uso di Google Analytics in conformità alla disciplina europea sul trasferimento dei dati personali negli USA.

Quello che, tuttavia, si può certamente dire è che per rendere il servizio conforme alle regole europee non basta né che gli indirizzi IP degli utenti siano cancellati da Google un istante dopo la raccolta, né che non siano affatto raccolti se, al loro posto, sono comunque raccolti e trasferiti nella disponibilità della casa madre americana di Big G altri dati che consentano a quest’ultima e, dunque – agendo essa in qualità di responsabile del trattamento – almeno in astratto al titolare del trattamento di identificare o re-identificare un utente.

Alle aziende quindi che dire?

Che dire quindi alle aziende? Quanto detto a Caffeina Media: di guardarsi intorno, vedere con Google se ci sono soluzioni a norma o valutare soluzioni diverse, tecniche o contrattuali per la compliance; allo stesso tempo speriamo che tutto questo non serva perché arrivi nel frattempo un accordo giuridico vincolante tra Usa ed Europa sul trasferimento dati.

La necessità di un accordo giuridicamente vincolante

Quindi? Ora che succederà?

Il primo auspicio – semplicemente perché solo così il problema sarebbe risolto alla radice – è che nelle prossime settimane i Governi di Bruxelles e Washington facciano seguire all’accordo politico annunciato a marzo, un accordo giuridicamente vincolante che consentirebbe la naturale ripresa dell’esportazione di dati dall’Europa agli Stati Uniti.

Se questo non accadesse, prima di tirare su un muro tra i due continenti bisognerà verificare se ci sia un modo – che sia l’upgrade alla versione GA4 o altro – per continuare a usare il servizio di Analytics di Big G nel rispetto delle regole europee.

Se c’è bene così. Se non c’è, non ci sarà alternativa a sospendere il trasferimento dei dati negli USA e, quindi, a interrompere l’uso del servizio.

E, naturalmente, contestualmente dobbiamo e dovremo porci analoghe domande e procedere analoghe verifiche puntuali in relazione a ogni altro servizio che sottende un trasferimento di dati dall’Europa agli USA.

Sino ad allora, tuttavia, sbaglia allo stesso modo chi dice che tutti i trasferimenti di dati personali tra i due continenti sono da considerarsi incompatibili con il GDPR e chi sostiene che basterebbe eliminare o tagliare un IP per risolvere il problema.

Conclusioni

Insomma, la questione è complessa, una soluzione urgente – e deve essere trovata a livello politico alto – ma non disperata.

Affrontarla richiede buon senso, comprensione, condivisione degli obiettivi, consapevolezza del fatto che ci ritroviamo a gestire a valle e in maniera episodica una condizione di sostanziale colonialismo digitale prodottasi in lustri di malgoverno dell’innovazione da questa parte dell’oceano e, soprattutto, che non si può sperare di risolverla a colpi di provvedimenti di questa o quell’autorità di protezione dei dati personali europea.

INFOGRAFICA
I migliori data analytics tools a confronto: CHI VINCE?
Big Data
Datacenter
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Analisi
PA
Salute digitale
News
Fondi
Formazione
Ecologia
Digital Economy
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Incentivi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Incentivi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articolo 1 di 3