Articoli

Il prossimo “Privacy Shield”: avvenimenti, criticità e possibilità aperte

Alla luce della novità di ieri, con il Garante italiano che ha – allineandosi ad altri “colleghi” europei – sanzionato l’uso di Google Analytics per il trasferimento di dati verso gli USA, ritenuto non conforme a GDPR, riteniamo molto interessante tornare sul tema degli accordi transatlantici USA-UE per (provare a) rendere lecita l’attività che coinvolge fornitori americani.

Gli avvenimenti principali: Max Schrems e la Corte di Giustizia UE

Il “Privacy Shield”, che permetteva il trasferimento di dati personali fra Unione europea e gli Stati Uniti, era un meccanismo approvato dall’Unione europea in seguito all’abolizione – sempre per mano della Corte di Giustizia UE – del suo predecessore, il “EU-USA Safe Harbour”.

Entrambi gli accordi definivano gli Stati Uniti come un Paese verso cui è possibile effettuare, secondo certe condizioni, un trasferimento dei dati di cittadini europei e/o persone comunque soggette alla normativa UE: ciò fino all’incontro-scontro con Max Schrems, giovane avvocato e attivista austriaco, che da anni sfida le politiche di trasferimento di dati verso gli USA attuate, in particolare, nell’ambito del social network “Facebook”.

Nel 2011, Max Schrems, dopo aver assistito a una lezione, in un’università della California, tenuta dal privacy lawyer di Facebook, si è reso conto che le politiche del social network non tutelavano la privacy degli utenti, e ha scaricato una copia da Facebook dei dati che lo riguardavano, in possesso della piattaforma. L’allora studente di legge ha trovato oltre 1.200 pagine di informazioni sul suo conto, contenenti anche tutti i messaggi scambiati sulla piattaforma, compresi quelli cancellati.

È iniziata così la battaglia legale, alla quale si sono aggiunte, in modo decisivo, nel 2013, le rilevazioni di Edward Snowden, ex tecnico della CIA, secondo cui anche il governo degli Stati Uniti poteva avere accesso ai dati di Facebook, e non solo i gestori del social.

La prima vittoria di Schrems è del 2015, quando la Commissione europea ha smantellato la struttura del Safe Harbour. Ma l’attivista ha proseguito ancora, e nel luglio 2020 la Corte di Giustizia dell’Unione europea ha emesso una nuova sentenza che ha abbattuto anche il Privacy Shield.

Max Schrems, nel frattempo, ha anche fondato una organizzazione no profit (“NOYB”, “None Of Your business”).

Cos’è rimasto in piedi dell’impianto legislativo per il trasferimento dei dati personali europei negli Stati Uniti?

La Corte di Giustizia, in relazione agli artt. 7 8 e 47 della carta di Nizza, in materia di protezione dei dati, su è espressa in merito alla normativa che imponeva a Facebook di mettere a disposizione delle agenzie di Intelligence americane i dati personali trasferiti, o quelli che Facebook raccoglieva dagli utenti.

In particolare, l’art 702 del FISA (“Foreign Intelligence Surveillance Act”) consente al Procuratore e al Direttore dell’Intelligence americana di autorizzare congiuntamente, previa approvazione della Corte ad hoc FISA, la sorveglianza di specifici utenti e dati mediante programmi di sorveglianza come PRISM e UPSTREAM. La Corte di Giustizia UE ha valutato anche la portata dell’Executive Order n. 12333, che consente alla NSA (“National Security Agency”) di accedere ai cavi sottomarini posti sotto l’atlantico (“dorsali di internet”) e di raggiungere i dati personali prima che essi arrivino negli Stati Uniti.

Il diritto degli Stati Uniti, secondo la sentenza della Corte di Giustizia, non prevede garanzie e limitazioni sui dati personali rispetto alle ingerenze autorizzate dalla sua normativa nazionale, e non assicura una tutela giurisdizionale effettiva degli interessati contro queste ingerenze. Restano tecnicamente validi, comunque, dopo la sentenza della Corte, tutti gli strumenti alternativi alla decisione della commissione europea, in particolare le Clausole Contrattuali Standard (in versione 2021) e le norme vincolanti di impresa (“Binding Corporate Rules”), seppure queste ultime siano utili solo a grandi (e poche) multinazionali.

Sono strumenti che non possono essere adottati solo formalmente: è necessario infatti che il Titolare del trattamento svolga sempre una valutazione caso per caso, in modo da assicurare mediante misure di sicurezza e misure supplementari che la normativa statunitense non interferisca con la protezione dei dati personali garantita dal GDPR. Se, alla fine di questa valutazione, il Titolare ritiene che non vi siano ancora adeguate garanzie, deve sospendere o porre fine al trattamento di dati personali verso gli USA.

È possibile allora ipotizzare un nuovo Privacy Shield?

Prendendo le mosse da ragionamenti di carattere storico, dato che già il primo Safe Harbour che esisteva fra Unione europea e Stati Uniti venne dichiarato invalido dalla CGUE e successivamente si arrivò a un altro compromesso, potenzialmente si potrebbe giungere a un altro accordo.

Il rischio concreto è che, per conflitto di normative interne, ora non si riescano mai a raggiungere gli standard di sicurezza previsti dall’unione europea: ciò seppure, rispetto al passato, si stanno comunque compiendo dei notevoli passi avanti, grazie ai meccanismi di cooperazione fra le Autorità Garanti europee e con l’interlocuzione tra Commissione UE e governo USA.

Ad esempio, è stato pubblicata una nuova versione delle Clausole Contrattuali Standard, che rivedono un meccanismo di trasferimento dei dati rimasto un po’ “abbandonato” negli anni, in quanto ancora riferito alla Direttiva del 1995 anche dopo l’avvento del GDPR; anche la pubblicazione da parte dell’EDPB delle Linee guida sul Trasferimento internazionale dei dati personali ha rappresentato, a parere degli esperti, una preziosa fonte di indicazioni e istruzioni, anche tecniche, per limitare i rischi e adeguare i trattamenti che comportano trasferimenti.

Rimane certa, per ora, la necessità di adottare un approccio concreto e non teorico nel trasferimento dei dati personali, valutando caso per caso con adempimenti come un attento data mapping e una valutazione relativa al trasferimento dei dati (c.d. “TIA”) quali potrebbero essere i rischi derivanti dal trasferimento di dati personali extra UE, valutando anche le misure alternative o le misure tecniche per rendere il trattamento il più possibile rispettoso dei diritti e delle libertà degli interessati.

_______________________________________________________

Immagine di copertina grazie a NASA on Unsplash

Statistiche d’uso del sito web: possibile acquisirle legalmente?

Il tema dei “cookie” (e altri identificatori online non meno problematici, come i pixel e i tags) è ormai alla ribalta della vita quotidiana di chiunque si occupi, anche saltuariamente, di data protection per conto di aziende “proprietarie” di siti web (i “titolari” del trattamento) o fornitori di servizi digital marketing (i “responsabili”).

Titolari e responsabili affrontano, giorno dopo giorno, sempre lo stesso dilemma: come acquisire informazioni valide, dirette e affidabili sull’utilizzo e le performance del sito web in conformità con la normativa privacy – ovvero, GDPR e Direttiva ePrivacy, in primo luogo?

Le sanzioni in materia sono già diverse, e tutte puntano contro il medesimo “colpevole”: Google Analytics (o anche “Universal Analytics”), come si è già avuto modo di approfondire in questo articolo di un paio di settimane fa.

Qui di seguito proviamo invece a guardare il tema dal punto di vista tecnico e operativo, cercando una soluzione – per quanto provvisoria – che salvi il salvabile. Il lettore perdonerà se alcuni temi giuridici non sono approfonditi o sono esposti in modo generale: la sintesi non è sempre amica della precisione, ma serve.

Dove sta il problema?

In un settore complesso come quello della data protection anche il nostro tema non poteva avere un problema unico: ne ha infatti due.

Un primo riguarda il “trasferimento internazionale” di dati personali: ogniqualvolta impiego un servizio offerto da un soggetto che direttamente o indirettamente ha sede legale o operativa in un territorio al di fuori dello Spazio Economico Europeo (quindi l’Unione Europea e gli stati di Norvegia, Lichtenstein e Islanda) sto tecnicamente “esportando” il dato e sarò sottoposto ai vincoli previsti dagli artt. 44 e seguenti GDPR (Capo V).

In particolare, sarò tenuto a rispettare dei vincoli per far sì che i dati, anche nel momento in cui si troveranno all’esterno del SEE, godano di un livello di tutela adeguato e conforme ai principi e dettami fissati dalla normativa europea. Senza entrare eccessivamente nel merito, questo concetto è andato in crisi grazie all’operato dell’austriaco Max Schrems (o a causa sua, secondo un altro punto di vista), avendo lui ingaggiato ormai molti anni or sono una battaglia contro Facebook, e avendola – a più riprese – vinta.

Il secondo problema riguarda la tracciabilità dell’utente dopo che sul suo device di navigazione sono stati installati i cookie rilasciati da Google Analytics.

Google dichiara che, troncando l’IP dell’utente (vedi tra poco per i dettagli) sia possibile rendere “anonimo” quel cookie-dato (non più personale quindi) e per questa ragione il cookie stesso sia installabile senza necessità di consenso. Tuttavia, e lo vedremo tra poco, non è così e il tema diviene quello del consenso.

Come se non bastasse, ciascun problema impatta sull’altro, e non è facile uscirne.

Perchè Google Analytics è un problema serio

Come abbiamo visto, per spostare oggi i dati all’estero è necessario svolgere un processo interno di valutazione e avere apposite salvaguardie, tra cui – non solo, ma anche – le Clausole Contrattuali Tipo pubblicate dalla Commissione UE.

Usando Google, in particolare, i dati sono salvati su uno qualunque dei server che il gigante di Mountain View ha nel mondo, tra cui quelli situati in U.S.A. e altri paesi “non adeguati”.

Di qui la prima complicazione, risolta (solo formalmente) da Google tramite stipula delle Clausole Contrattuali Tipo aggiornate: esse non sono però considerate ancora sufficienti da numerose Autorità garanti europee per salvaguardare l’utente dal monitoraggio di NSA e altre entità federali americane.

Fino a ieri, si sosteneva poi che il troncamento dell’IP del device dell’utente – funzionalità offerta da Google e attivabile da qualunque cliente – fosse sufficiente a rendere “anonimo” l’utente che naviga sul sito, e pertanto si potesse inserire il cookie “_ga” tra quelli “tecnici” con finalità statistiche.

Oggi non è più così: diverse analisi svolte sia da soggetti privati (NOYB in primis) che dalle Autorità garanti (in particolare, quelle belga e austriaca) hanno reso evidente come Google, anche a seguito del troncamento dell’IP utente, sia comunque in grado di effettuare una re-identificazione di chi sta navigando, attraverso altri dati e strumenti, così potendo poi riproporre advertising e altri meccanismi di marketing all’interno di altri siti o piattaforme.

Il dato (l’IP troncato), quindi, da anonimo diventa “pseudonimo” e per questo gli si applica, di nuovo, il GDPR: la conseguenza è che per qualunque sito web è necessario, se si impiega Google Analytics, richiedere il consenso libero, espresso e consapevole. In mancanza, il cookie non potrà essere installato e si perderà, così, tutto il flusso di dati statistici generati da quell’utente.

Riassumendo: Analytics manda dati in giro per il mondo – e soprattutto negli USA – e permette al suo fornitore (è gratis..) di reidentificare gli utenti e conoscerne gusti e abitudini di consumo, per targettizzare poi al meglio la pubblicità online.

Tutto questo ricade direttamente sull’utilizzatore dello strumento: il “titolare” del sito e del trattamento diviene, a questo punto, il soggetto esposto da una pratica svolta dal proprio fornitore diretto o indiretto – Google – che l’Autorità italiana, tra le altre, ha dichiarato più volte che non tollererà oltre (vedi Linee Guida in vigore dal 10 gennaio 2022).

E l’agenzia che per anni ha sviluppato Google Analytics e tutti i tool che ad esso si appoggiano potrebbe trovarsi da un lato come “fuori legge”, e dall’altro vedersi spegnere d’improvviso il flusso di dati, tutte le volte che l’utente clicca “Rifiuta tutti i cookie” nei banner aggiornati alle ultime linee guida.

Quindi se uso Google Analytics?

Se proprio non puoi fare a meno di Google Analytics (e vedremo tra poco che.. si può uscirne!) riguardo al tema del trasferimento di dati sarai costretto a fare (o far fare, al tuo cliente) un “TIA” ovvero Transfer Impact Assessment, in cui dare atto delle contromisure assunte per rendere meno semplice il tracciamento degli utenti quando i dati sono all’esterno del SEE.

Quanto invece al secondo aspetto, sarai forzato a mettere i tracciatori di Analytics nei cookie non tecnici, anche laddove tu proceda con l’IP troncato.

Questo causerà la necessità di acquisire il consenso dell’utente che accede al sito, nel rispetto delle linee guida – per l’Italia – fissate con il provvedimento di giugno 2021, valido ed applicabile dal 10 gennaio 2022. Quindi perderai tutti i dati di navigazione di chi clicca su “rifiuta tutti”, se hai ben configurato il banner.

Attenzione: i banner che provano a nascondere il “rifiuta tutti”, tramite dark patterns o semplicemente non esponendolo, non sono compliant alla normativa e passibili di sanzione anche più grave di quella di aver male classificato i cookie di analytics.

Allora, cosa faccio?

Semplice: usa un altro tool!

Nessuno ha prescritto di utilizzare Google Analytics, che è piattaforma certamente ben sviluppata e leader di mercato nell’ambito del digital advertising. Ma se non devi fare marketing con quei dati, rischi di perdere le statistiche del sito senza motivo, per la sola pigrizia di passare ad un altro tool.

Ce ne sono diversi, configurabili come “GDPR compliant“, tra cui:

  • Matomo (meglio se on premise, come suggerisce il garante francese CNIL);
  • Piwik PRO (già utilizzato da numerose grandi aziende);
  • Plausbile (progetto open source e giovane, ma molto interessante);

Sappi tra l’altro che potrai importare i dati storici di Google Analytics e continuare a fare statistica e orientare le tue scelte di marketing (o quelle del tuo cliente) adeguatamente e con attenzione, senza però violare frontalmente il GDPR.

Attenzione che questo, naturalmente, non basta: anche il cookie banner deve essere di qualità e ben impostato.

Senza citare l’ovvia necessità di compliance aziendale a monte (quindi, interna) che deve essere valida e concreta: registro dei trattamenti adeguato, nomine interne ed esterne ben costruite e complete, istruzioni agli operatori che trattano i dati, procedure in caso di richieste o data breach, ecc.

Ma dove finiremo? Un’idea la dà il nostro Alessandro, qui, parlando di FLoC ovvero del nuovo sistema ideato da Google, sostanzialmente già aggiornato e ripreso – dopo le compiute critiche di molti esperti del settore – con un nuovo nome: “Topics API“. Con questi, o con qualunque altro strumento dell’era post-cookie, speriamo che la situazione si chiarisce e renda a tutti – operatori del diritto e tecnici – la vita un po’ meno complicata.

____________________________________________

Photo by path digital on Unsplash