g-docweb-display Portlet

Google Analytics, Scorza: “Ecco cosa devono sapere le aziende”

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

Google Analytics, Scorza: “Ecco cosa devono sapere le aziende”
Intervento di Guido Scorza, Componente del Garante per la protezione dei dati personali
(AgendaDigitale, 5 luglio 2022)

La recente decisione con la quale il Garante per la protezione dei dati personali ha ordinato a un editore, utilizzatore del servizio Google Analytics di sospenderne l’utilizzo – o meglio di sospendere il trasferimento dei dati personali negli Stati Uniti d’America sotteso al funzionamento del servizio – qualora entro tre mesi non riesca ad adottare misure giuridiche e/o organizzative e/o tecnologiche capaci di garantirne un funzionamento compatibile con il GDPR ha scatenato, come in parte comprensibile, reazioni diverse, contrastanti, estreme, talvolta ragionevoli e talvolta completamente irragionevoli.

Vale la pena, per questo, provare a ricondurre quanto accaduto nel suo alveo naturale.

La portata del provvedimento

Cominciamo dall’oggetto principale di discussione e confronto.

È vero che la decisione ha, inesorabilmente, una portata che trascende il singolo caso sul quale l’Autorità si è pronunciata perché esistono certamente migliaia o decine di migliaia di soggetti pubblici e privati che utilizzano il servizio esattamente come lo utilizza l’editore destinatario del servizio.

E l’autorità, infatti, con il comunicato stampa con il quale ha informato dell’adozione del provvedimento ha rappresentato che, trascorsi i tre mesi in questione, inizierà a fare ispezioni e verifiche per fare in modo, per quanto possibile, che tutti quanti si trovino in posizioni identiche, siano trattati allo stesso modo, così da evitare il crearsi di antipatiche asimmetrie.

Ed è egualmente vero che la portata del provvedimento trascende il perimetro degli utilizzatori di Google Analytics perché ci sono decine di altri servizi forniti da società americane che per funzionare presuppongo il trasferimento di dati personali dal vecchio al nuovo continente.

La sentenza Schrems II e il trasferimento dati negli Usa

Tuttavia, guai a dimenticare che la famosa decisione della Corte di Giustizia non ha vietato tutti i trasferimenti tra Europa e Stati Uniti ma più semplicemente annullato la decisione di adeguatezza adottata dalla Commissione europea a valle dell’accordo del cosiddetto Privacy Shield.

Ma trasferire dati personali negli USA – così come in altri Paesi in relazione ai quali, allo stato, non esiste una decisione di adeguatezza – non era vietato prima della Sentenza nota come Schrems II e non è vietato oggi a valle di tale Sentenza.

Le condizioni di legittimità del trasferimento previste dal Gdpr

Il GDPR, infatti, prevede una serie di altre condizioni di legittimità del trasferimento di dati personali al di fuori dell’Europa.

Non è vero, quindi che chiunque allo stato stia trasferendo dati dall’Europa agli Stati Uniti d’America stia violando le regole.

Un accertamento caso per caso è indispensabile per capire se e in che termini il trasferimento extra UE sia lecito o illecito.

La questione GA4

In tanti, poi, all’indomani della decisione hanno segnalato che Google ha, frattanto, rilasciato una versione aggiornata del servizio – GA4 – che sarebbe idonea a superare le criticità emerse nel corso dell’istruttoria all’origine del provvedimento oggetto di discussione a limitare il trasferimento e/o la conservazione di dati personali dall’Europa agli Stati Uniti.

Sul punto vale la pena di essere molto chiari.

Gli uffici del Garante non hanno avuto occasione di esaminare la versione 4 di Google Analytics semplicemente perché il titolare del trattamento oggetto del provvedimento non la utilizzava, né sin qui tale versione è venuta in rilievo in altri procedimenti analoghi.

Impossibile in queste condizioni, pertanto, dire se essa sia o meno in grado di risolvere il problema e consentire l’uso di Google Analytics in conformità alla disciplina europea sul trasferimento dei dati personali negli USA.

Quello che, tuttavia, si può certamente dire è che per rendere il servizio conforme alle regole europee non basta né che gli indirizzi IP degli utenti siano cancellati da Google un istante dopo la raccolta, né che non siano affatto raccolti se, al loro posto, sono comunque raccolti e trasferiti nella disponibilità della casa madre americana di Big G altri dati che consentano a quest’ultima e, dunque – agendo essa in qualità di responsabile del trattamento – almeno in astratto al titolare del trattamento di identificare o re-identificare un utente.

Alle aziende quindi che dire?

Che dire quindi alle aziende? Quanto detto a Caffeina Media: di guardarsi intorno, vedere con Google se ci sono soluzioni a norma o valutare soluzioni diverse, tecniche o contrattuali per la compliance; allo stesso tempo speriamo che tutto questo non serva perché arrivi nel frattempo un accordo giuridico vincolante tra Usa ed Europa sul trasferimento dati.

La necessità di un accordo giuridicamente vincolante

Quindi? Ora che succederà?

Il primo auspicio – semplicemente perché solo così il problema sarebbe risolto alla radice – è che nelle prossime settimane i Governi di Bruxelles e Washington facciano seguire all’accordo politico annunciato a marzo, un accordo giuridicamente vincolante che consentirebbe la naturale ripresa dell’esportazione di dati dall’Europa agli Stati Uniti.

Se questo non accadesse, prima di tirare su un muro tra i due continenti bisognerà verificare se ci sia un modo – che sia l’upgrade alla versione GA4 o altro – per continuare a usare il servizio di Analytics di Big G nel rispetto delle regole europee.

Se c’è bene così. Se non c’è, non ci sarà alternativa a sospendere il trasferimento dei dati negli USA e, quindi, a interrompere l’uso del servizio.

E, naturalmente, contestualmente dobbiamo e dovremo porci analoghe domande e procedere analoghe verifiche puntuali in relazione a ogni altro servizio che sottende un trasferimento di dati dall’Europa agli USA.

Sino ad allora, tuttavia, sbaglia allo stesso modo chi dice che tutti i trasferimenti di dati personali tra i due continenti sono da considerarsi incompatibili con il GDPR e chi sostiene che basterebbe eliminare o tagliare un IP per risolvere il problema.

Conclusioni

Insomma, la questione è complessa, una soluzione urgente – e deve essere trovata a livello politico alto – ma non disperata.

Affrontarla richiede buon senso, comprensione, condivisione degli obiettivi, consapevolezza del fatto che ci ritroviamo a gestire a valle e in maniera episodica una condizione di sostanziale colonialismo digitale prodottasi in lustri di malgoverno dell’innovazione da questa parte dell’oceano e, soprattutto, che non si può sperare di risolverla a colpi di provvedimenti di questa o quell’autorità di protezione dei dati personali europea.