Garante Privacy: sanzioni per SRL che trasferiscono dati USA con i cookie analitici
A seguito di una complessa istruttoria avviata anche in Italia e frutto della collaborazione delle diverse autorità garanti europee, il Garante della Privacy è giunto a concludere che il sito web che impiega il servizio Google Analytics senza adeguate garanzie, effettua un trasferimento di dati personali fuori dall’UE verso uno Stato, gli USA, che non possiede un adeguato livello di protezione e per questo viola il GDPR.
L’istruttoria è stata aperta dal Garante a seguito di numerosi reclami e segnalazioni pervenuti all’Autorità da parte di alcuni utenti.
In particolare, è stata condotta un’istruttoria nei confronti di una SRL che utilizzava il servizio Google Analytics nella sua versione gratuita.
La società ha dichiarato di non disporre del dettaglio dei dati raccolti, né di poter precisamente descriverne le tipologie e di aver “scelto di avvalersi di [Google Analytics] anche perché Google afferma di trattare soltanto dati pseudonimi e su base cookie”; trattasi nel dettaglio di: “(i) cookie, (ii) dati relativi al dispositivo/browser (iii) indirizzo IP e (iv) attività sul sito”.
In queste informazioni rientra anche l’indirizzo IP del dispositivo dell’utente e altri dati relativi al browser, al sistema operativo, alla risoluzione dello schermo, alla lingua selezionata, nonché data e ora della visita al sito web.
Si tratta di informazioni che, per il tramite della tecnologia fornita, vengono trasferite negli Stati Uniti, dove ha sede la capogruppo dell’azienda fornitrice del servizio, un Paese che secondo la Corte di Giustizia dell’Unione Europea [si veda in tal senso, la sentenza C-311/18, del 16 luglio 2020, cosiddetta Schermes II] non possiede un adeguato livello di protezione dei dati. La sentenza della Corte europea, infatti, lo si ricorda ha invalidato il Privacy Shield, ossia l’accordo tra USA ed Europa su cui si basava il trasferimento di dati personali, non ritenendolo efficace per la protezione delle informazioni di cittadini europei trasferite negli Stati Uniti a causa dell’ingerenza in siffatti dati da parte del governo statunitense.
E’ una situazione questa che, in verità, si verifica nella stragrande maggioranza dei casi; i gestori dei siti web che utilizzano Google analytics raccolgono, impiegando i cookie, informazioni sul comportamento di navigazione che gli utenti hanno su tali siti web e quindi, acquisiscono informazioni sul numero di pagine visitate, il tempo di navigazione su ciascuna pagina, l’interazione dell’utente con i servizi offerti. Informazioni queste che possono essere trasferite automaticamente alla sede di Google negli USA per il tramite dei cookie forniti dalla stessa. Infatti, secondo i termini dell’accordo concluso con la fornitrice del servizio, sebbene come controparte contrattuale appaia la controllata con sede in Irlanda, quest’ultima si riserva il diritto di farsi supportare nelle attività di trattamento da altre società del proprio gruppo e, tra le società, viene indicata la capogruppo con sede negli USA che agirebbe in qualità di sub-responsabile del trattamento.
Nel dichiarare l’illiceità del trattamento, il Garante ha ricordato che l’indirizzo IP è un dato personale e anche nel caso in cui viene reciso (secondo la tecnica IP anonymization ossia il mascheramento dell’ultima parte dell’indirizzo IP) non diverrebbe un dato anonimo, in quanto Google, mixandolo con altri dati in suo possesso, sarebbe comunque in grado di identificare l’utente in questione.
Il Garante ha ricordato in particolare che il trasferimento di dati personali verso gli USA è illecito, salvo che i titolari del trattamento, esportatori dei dati, non rispettino le previsioni di cui al Capo V del Regolamento n. 679/2016 e non adottino, insieme agli importatori dei dati, appropriate garanzie supplementari opportunamente indicate dal Comitato europeo per la protezione dei dati nella Raccomandazione n. 1/2020 del 18 giugno 2021 e questo perché le Autorità governative e le agenzie di intelligence statunitensi, secondo l’ordinamento giuridico degli Stati Uniti possono accedere ai dati personali trasferiti verso gli USA per ragioni di sicurezza nazionale senza le dovute garanzie; l’Autorità ha rilevato che le misure che integrano gli strumenti di trasferimento adottate da Google non garantiscono, allo stato, un livello adeguato di protezione dei dati personali degli utenti.
Nel caso di specie, il trasferimento dei dati verso la capogruppo in America era supportato dalle Clausole contrattuali standard che corrispondono allo schema tipo adottato il 5 febbraio 2010 dalla Commissione europea con decisione n. 2010/87/UE; tali clausole sono state integrate dalle misure supplementari adottate, rispetto alle quali la Srl non aveva però “alcuna possibilità di verificare l’implementazione a livello tecnico (..), ovvero di impartire specifiche istruzioni sull’effettiva implementazione delle [stesse]” .
Chiudendo l’istruttoria, il Garante ha adottato una serie di provvedimenti con cui ha ammonito una SRL [provvedimento n. 224 del 9 giugno 2022] che gestisce un sito web e che faceva uso del servizio di Google Analytics, imponendo alla stessa di adeguarsi al Regolamento europeo entro novanta giorni.
Il Garante ha richiamato quindi l’attenzione di tutti i gestori italiani di siti web, pubblici e privati, sull’illiceità dei trasferimenti effettuati verso gli Stati Uniti attraverso GA, anche in considerazione delle numerose segnalazioni e quesiti che il Garante sta ricevendo.
L’autorità esorta tutti i titolari del trattamento a verificare la conformità delle modalità di utilizzo di cookie e altri strumenti di tracciamento utilizzati sui propri siti web, con particolare attenzione a Google Analytics e ad altri servizi simili, con la normativa in materia di protezione dei dati personali.
Secondo le Raccomandazioni del Comitato europeo, il titolare del trattamento, nella specie il gestore del sito, è tenuto a valutare, in concreto, ossia sulla base delle circostanze del trasferimento, se lo strumento indicato dal suo fornitore esportatore, tra quelli individuati dall’art. 46 del Regolamento, sia realmente efficace.
Un esame, come precisato dal Comitato europeo per la protezione dei dati (v. Raccomandazione n. 1/2020, cit., pag. 4), che deve “concentrarsi innanzitutto sulla legislazione del paese terzo [e sulle prassi applicabili] rilevant[i] per il trasferimento [nonché] sullo strumento di trasferimento [individuato] ai sensi dell’articolo 46 del GDPR” al fine di verificare che la predetta legislazione e le suddette prassi non impediscano, di fatto, il rispetto, da parte dell’importatore, degli obblighi previsti dallo strumento utilizzato.
Nello specifico, l’analisi di cui sopra “comporta l’esigenza di determinare se il trasferimento in questione rientri o meno nell’ambito di applicazione della [succitata normativa]”. Essa deve “essere basata su fattori oggettivi, indipendentemente dalla probabilità di accesso ai dati personali” (v. Parere congiunto 2/2021 dell’EDPB e del GEPD sulla decisione di esecuzione della Commissione europea relativa alle clausole contrattuali tipo per il trasferimento di dati personali verso paesi terzi, adottato il 14 gennaio 2021).
Nel caso in cui dall’analisi condotta emerga che la legislazione e le prassi del paese terzo impediscano all’importatore di rispettare gli obblighi previsti dallo strumento di trasferimento individuato, come osservato nel caso di specie, gli esportatori devono adottare misure supplementari di natura tecnica e organizzativa che assicurino un livello di protezione dei dati personali sostanzialmente equivalente a quello previsto dal Regolamento n. 679, considerando che le misure contrattuali e organizzative, di per sé, non possono ridurre o impedire le possibilità di accesso ai dati oggetto di trasferimento da parte delle Autorità statunitensi se non supportate da adeguate misure tecniche come la cifratura dei dati in transito ed at rest, purchè la chiave di cifratura non resti in mano all’importatore/fornitore del servizio.
Allo scadere del termine di 90 giorni assegnato alla società destinataria del provvedimento, il Garante procederà, anche sulla base di specifiche attività ispettive, a verificare se l’azienda ha adottato le misure adeguate per la conformità al Regolamento Ue dei trasferimenti di dati effettuati dai titolari.