Il caso “Google Analytics”

Google Analytics (o anche “GA”) è senza alcun dubbio il servizio di web analytics più conosciuto e utilizzato al mondo.

Lanciato nei primi anni 2000 col nome di “Urchin on Demand” dalla Urchin Software Corporation –  società poi acquisita dal colosso di Mountain View, che ha provveduto al cambio nome – Google Analytics consente ai suoi utilizzatori di analizzare statistiche, anche molto dettagliate, sugli utenti visitatori del sito web sul quale viene installato.

Nel corso degli anni, soprattutto con l’avvento dell’e-Commerce, lo strumento è stato utilizzato sempre più al fine di raccogliere ed analizzare dati (anche personali) a fini di marketing.

Nelle statistiche di Google Analytics, infatti, confluiscono una serie importante di dati dei visitatori che (come l’indirizzo IP e altre informazioni del browser utilizzato, come ad esempio la lingua utilizzata, l’area geografica di provenienze) riescono a fornire indicazioni piuttosto “univoche” e particolare sul profilo dell’utente tracciato.

È infatti la profilazione il fine ultimo di tali analisi, e cioè la creazione di un “profilo utente” in grado di consentire a chi usa Google Analytics per il proprio business di ricostruire i gusti, le abitudini e le preferenze dell’utente ai fini della pubblicità personalizzata (anche detta “online adv”, advertising su internet).

Data la particolare “delicatezza” che caratterizza l’attività di analisi di GA – unitamente al fatto che l’utilizzo dello strumento inevitabilmente comporta il trasferimento dei dati trattati verso gli Stati Uniti – Google Analytics ha attirato su di sé gli occhi di alcune Autorità garanti europee, le quali si sono pronunciate in termini di inutilizzabilità alla luce della sua incompatibilità con la normativa dettata dal GDPR.

Ma vediamo bene il perché…

Sentenza “Schrems I”

L’avvocato e attivista austriaco Maximilian (Max) Schrems, fondatore di NOYB (None of your business) – organizzazione no profit che lotta da anni nel campo della protezione dei dati personali – ha sollevato la questione della pericolosità dei trasferimenti verso gli Stati Uniti quando nel 2013, in una causa intentata nei confronti di Facebook Ireland, ha affermato che la decisione di adeguatezza relativa ai trasferimenti UE-USA 2000/520 CE (nota come “Safe Harbor Privacy Principles”, o anche, più semplicemente “Safe Harbor”) non fosse in grado di garantire efficacemente i diritti dei cittadini europei.

Le leggi federali statunitensi, infatti, consentono alle agenzie governative un ampio margine di libertà di accesso ai dati conservati e trattati dalle aziende locali, libertà che si estende anche ai dati importati dall’Unione.

La causa, più in particolare, ha trovato le proprie origini nelle (allora) recenti dichiarazioni di Edward Snowden – informatico ed ex collaboratore della CIA – secondo le quali la NSA (l’Autorità statunitense per la sicurezza nazionale) aveva condotto per anni attività di sorveglianza di massa, dichiarazioni note ai più con il nome di “Datagate”.

All’esito del giudizio, il 6 ottobre 2015 la Corte di Giustizia dell’Unione Europea ha emesso una sentenza (cd. Schrems I) con la quale – accogliendo la tesi del ricorrente – ha stabilito l’invalidità del Safe Harbor.

Sentenza “Schrems II”

In seguito alla caduta del Safe Harbor, la Commissione Europea è corsa ai ripari, provvedendo a negoziare con il Governo USA un nuovo accordo (e relativa decisione di adeguatezza) in grado di giustificare e rendere ammissibili tali trasferimenti (la 2016/1250 UE), conosciuta anche col nome di “Privacy Shield”.

Con l’entrata in vigore del Regolamento UE 2016/679 (GDPR) si è posta nuovamente la questione della sicurezza dei trasferimenti di dati UE-USA. Artefice del caso, ancora una volta, Max Schrems il quale ha rimesso alla CGUE la decisione circa la compatibilità dei trasferimenti effettuati “sotto lo scudo” del Privacy Shield con la nuova normativa europea.

In particolare, il meccanismo di autocertificazione delle società USA presso la FTC previsto dal Privacy Shield non è stato considerato sufficiente a superare il controllo invasivo sui dati di cui dispongono le agenzie di sicurezza statunitensi.

Con la sentenza del 16 luglio 2020 (c.d. Schrems II) la Corte si è pertanto nuovamente pronunciata per l’invalidità anche del Privacy Shield: laccordo è apparso infatti inadeguato a garantire, lato importatore, il grado di protezione dei dati richiesto dal GDPR.

Decisioni delle Data Protection Authorities europee

Quando si tratta di tutela dei diritti, NOYB non va mai in vacanza. Nell’agosto 2020 l’organizzazione ha infatti presentato 101 reclami ai diversi Garanti europei contestando l’uso, da parte di moltissime società, di Google Analytics. A seguito di tali reclami, la DPA europee sono intervenute sul caso.

Con una decisione del 22 dicembre 2021, la DSB (Autorità garante austriaca) – in applicazione dei principi e di tutto quanto stabilito nella sentenza Schrems II – ha stabilito che Google Analytics viola il GDPR in quanto non rispetta gli stringenti requisiti richiesti per consentire e garantire un trasferimento sicuro di dati UE-USA.

Alla decisione della DSB è poi seguita, il 10 febbraio 2022, la decisione dell’Autorità francese CNIL che – al pari della omologa austriaca – ha stabilito che Google Analytics non è uno strumento sicuro.

Ma non solo: anche nel nostro paese l’uso di GA è stato considerato non adeguato alla normativa vigente.

Il “Caso Caffeina” e la decisione del Garante italiano

Con provvedimento n.224 del 9 giugno 2022 il Garante per la Protezione dei Dati Personali italiano ha censurato la società Caffeina Media S.r.l. per aver utilizzato Google Analytics (nella sua versione “GA3”) e, di conseguenza, per aver effettuato trasferimenti internazionali di dati personali verso gli Stati Uniti in violazione del GDPR.

Il dato peculiare del provvedimento è che, in esso, il Garante non ha previsto alcuna sanzione come corollario della censura.

La decisione si è dunque rivelata un vero e proprio monito, tanto per Caffeina quanto per tutte le altre società italiane utilizzatrici di GA3, con il quale l’Autorità ha voluto intimare di dismettere, nel termine di 90 giorni, l’utilizzo di Google Analytics.

Pur riferendosi specificamente a GA3, è lecito pensare che l’Autorità abbia, più in generale, espresso le proprie perplessità nei confronti di ogni versione di Google Analytics che non sia effettivamente e concretamente in grado di tutelare i dati così come richiesto dal GDPR.

Quel che è certo è una seconda eventuale pronuncia in materia del Garante non dovrebbe essere altrettanto “morbida”.

Società avvisata… mezza sanzionata!

_________________

Photo by Alex Dudar on Unsplash