HomeIco

Home

 InternalIco

Internal

 GlobalIco

Global

 ContattoIco

Contatto
it

Utilizziamo cookie tecnici per personalizzare il sito web e offrire all’utente un servizio di maggior valore. Chiudendo il banner e continuando con la navigazione verranno installati nel Suo dispositivo i cookie tecnici necessari ai fini della navigazione nel Sito. L’installazione dei cookie tecnici non richiede alcun consenso da parte Sua. Ulteriori informazioni sono contenute nella nostra Cookie Policy.
Temi Google Analytics: le regole del Garante sull’uso del tool e sul trasferimento extra UE

Google Analytics: le regole del Garante sull’uso del tool e sul trasferimento extra UE

PrintMailRate-it

Ultimo aggiornamento del 04.07.2022 | Tempo di lettura ca. 6 minuti


Il 9 giugno 2022 il Garante si è pronunciato contro l’uso degli analytics di Google da parte di un sito web di informazione a conclusione di una complessa istruttoria ed in coordinamento con le altre Autorità europee (Registro dei provvedimenti n. 224 del 9 giugno 2022, Provvedimento del 9 giugno 2022 [9782890] - Garante Privacy). 

Il provvedimento, in particolare, ha affermato che: 
  1. l’uso di Google Analytics comporterebbe un trattamento di dati personali anche quando viene adottata la tecnologia AnonimyzeIP, funzionalità che consente di oscurare l’ultimo ottetto dell’indirizzo IP dell’utente connesso. Nonostante Google ne pubblicizzi sempre la natura di vero e proprio processo di anonimizzazione (IP Anonymization - IP masking in Universal Analytics - Analytics Help di google.com) l’Autorità ha rilevato come in realtà si tratti di pseudonimizzazione: il troncamento dell’ultimo ottetto non impedisce a Google, infatti, di re-identificare  l’utente sfruttando tutte le altre informazioni detenute dalla piattaforma relative agli utenti web (associando l’IP ad altre informazioni aggiuntive contenute nell’account utente). 
  2. delineata la presenza di un trattamento di dati (con o senza lo strumento di “IP-Anonimyzation”) l’esame dell’Autorità si è concentrato sul trasferimento dei dati: l’utilizzo di Google Analytics, infatti, comporta il trasferimento di dati a Google Inc (fino a maggio 2021 titolare del trattamento, oggi responsabile di Google Ireland), e quindi in USA. 

L’Autorità ha ricordato che con l’invalidazione del Privacy Shield da parte della sentenza Schrems II, gli USA non sono più un Paese adeguato. 

Le clausole contrattuali standard rimangono un possibile fondamento per trasferire i dati. Non da solo, però. Le garanzie previste dalle clausole contrattuali devono essere valutate come adeguate con riferimento al Paese Terzo di destinazione prevedendo – se del caso – misure supplementari. In particolare, il rischio di ingerenza delle Autorità americane impone ai titolari del trattamento, in qualità di esportatori di verificare, caso per caso e, ove necessario, in collaborazione con l’importatore nel paese terzo, se la legge o la prassi di quest’ultimo incidano sull’efficacia delle garanzie adeguate contenute nelle predette clausole.

Nel caso di Google la possibilità di accesso delle Autorità statunitensi troverebbe conferma secondo il Garante nel “Transparency report on United States national security requests for user information” report ove sono inseriti i dati numerici inerenti alle richieste di accesso (che, come ivi espressamente riportato, possono riguardare anche “non-content metadata” quali gli indirizzi IP) ricevute da Google.

Ma il trasferimento potrebbe avvenire in un caso del genere? 

Solo a condizione che gli esportatori, ossia i soggetti che si avvalgono di Google Analytics così trasferendo dati extra UE, adottino misure supplementari che garantiscano un livello di protezione dei dati personali sostanzialmente equivalente a quello previsto dal Regolamento europeo 2016/679 (“GDPR”).

Misure però che nel caso di specie non paiono essere state tuttavia ritenute adeguate per Google Analytics da parte del Garante Privacy Italiano. 

Dal punto di vista tecnico, il meccanismo di cifratura dei dati prescelto durante il trasferimento fra sistemi (in transit) ed in fase di riposo (at rest) non pare adeguato nel caso di specie perché le chiavi di cifratura sono detenute da Google, in virtù della necessità di disporre dei dati in chiaro per effettuare elaborazioni e fornire servizi, che sarebbe tenuto a consegnarle all’Autorità in caso di richiesta. La cifratura in transito è adottata ove i dati siano trasferiti fra diversi sistemi, servizi o data center attraverso reti o infrastrutture non controllate dalla società (es.: reti geografiche). La cifratura at rest riguarda invece i dati dell’utente che sono memorizzati su unità disco o in unità di backup e si basa sulla cifratura dei dati mediante algoritmi standard (in genere tramite AES256) e sulla cifratura, a diversi livelli, a partire dalla cifratura a livello hardware, in base al tipo di applicazione e ai rischi specifici.

Fintanto che la chiave di cifratura rimanga nella disponibilità dell’importatore, quindi di Google, le misure adottate non possono ritenersi adeguate (v. Raccomandazione 1/2020, cit., par. 95).

L’inadeguatezza delle misure tecniche minerebbe irrimediabilmente le misure contrattuali intraprese, riguardanti ad esempio la previa verifica di ogni richiesta di accesso nonché la sua pronta comunicazione all’interessato o la pubblicazione  della policy di gestione delle richieste di accesso ai dati degli utenti oggetto di trasferimento da parte delle Autorità pubbliche statunitensi.

In virtù di quanto esposto, quali sono le prospettive per i titolari che utilizzano lo strumento di Google analytics?

Con riferimento al trattamento di dati implicato anche nella soluzione Anonimyze IP, appare opportuno valutare una qualificazione dei cookie di Google Analytics in termini di veri e propri cookie analitici non anonimizzati e, quindi, in quanto tali, non assimilabili ai cookie tecnici: una lettura in tal senso imporrebbe la richiesta di un consenso ad hoc ai fini dell’attivazione di questi strumenti di tracciamento, secondo la Linea Guida linee guida cookie 9 gennaio 2022 del Garante Privacy Italiano.

Con riferimento al trasferimento dei dati che ne consegue, questo va considerato illecito – in assenza di misure supplementari - perché gli Stati Uniti non sono considerati un Paese idoneo a garantire standard di garanzia adeguati. 

I titolari che cosa possono quindi fare?

Sarà necessario eseguire un Data Transfer Impact Assessment (“DTIA”) che documenti:
  • La finalità del trattamento;
  • La natura degli interessati coinvolti;
  • La natura dei dati trasferiti;
  • Il settore in cui avviene il trasferimento;
  • La circostanza che i dati siano conservati nel paese terzo o vi si acceda da remoto;
  • Il formato dei dati da trasferire e gli eventuali trasferimenti successivi;
  • Lo strumento adottato per il trasferimento secondo l’art. 46 GDPR;
  • La verifica della normativa locale e delle prassi adottate in concreto per stabilire la possibilità o meno, per le autorità pubbliche del paese, di tentare di accedere ai dati o di accedere ai dati attraverso l’importatore stesso o attraverso i fornitori di telecomunicazioni o i canali di comunicazione;

La DTIA nel caso di Google Analytics potrebbe avere un esito presumibilmente negativo: oggi Google non ha infatti misure ritenute adeguate dall’Autorità ed occorrerebbero garanzie supplementari difficilmente implementabili dal solo titolare del trattamento.

Quindi, il titolare che si avvale di Google Analytics potrà – a seguito della DTIA che dovrà essere in ogni caso svolta:
  • Aderire ad una soluzione a più basso rischio:
  1. Disinstallando i cookie analitici di Google senza adottare alternative;
  2. Disinstallando i cookie in esame in favore di uno strumento (realmente analitico anonimizzato) europeo, con abbattimento dei rischi sanzionatori per trasferimento extra UE (una nutrita lista di alternative europee a Google Analytics è stata stilata dallo CNIL, Cookies : solutions pour les outils de mesure d'audience | CNIL)

  • Aderire ad una soluzione a più alto rischio:
  1. Mantenendo attivati i cookie analitici di Google, valutando di sottoporli a consenso (non trattandosi più di cookie analitici anonimizzati) e provando a mitigare i rischi con possibili garanzie supplementari (ad es. adottando misure tecniche adeguate, come una proxy, o optando per altre versione di GA, come GA4 ove Google ne rassicuri l’adeguatezza).

In mancanza di soluzioni safe e compliant e nell’attesa che Google adotti al più presto misure adeguate fornendo anche rassicurazioni tecniche sui propri servizi, il titolare dovrebbe orientarsi su una delle soluzioni “a basso rischio” sopra indicate.

Allo scadere del termine di 90 giorni assegnato alla società destinataria del provvedimento, il Garante procederà, anche sulla base di specifiche attività ispettive, a verificare la conformità al Regolamento Ue dei trasferimenti di dati effettuati dai titolari.

Autori:
Nadia Martini - Partner
Flavia Terenzi - Senior Associate
Caterina Podda - Junior Associate

dalla newsletter
Legal Newsletter

contatti

Contact Person Picture

Nadia Martini

Avvocato

Partner

+39 02 6328 841

Invia richiesta

Profilo

i nostri servizi

​data protection
Skip Ribbon Commands
Skip to main content
Deutschland Weltweit Search Menu