Da inizio anno non si parla d’altro: l’Autorità austriaca per la protezione dei dati (DPA) e il suo “alter ego” francese (CNIL) hanno dichiarato illegittimo l’uso di Google Analytics, perché contrario al GDPR. Le due pronunce hanno ricevuto grande attenzione sia da parte di studiosi ed esperti sia dagli imprenditori.

Perché?

La spiegazione è semplice.

Sono questi ultimi i soggetti che, più di altri, subiranno gli effetti svantaggiosi delle pronunce rese dai due Garanti europei. Ma non è tutto. Ad oggi sono in totale 101 i reclami presentati  in diversi Paesi dell’UE contro aziende che utilizzano i servizi offerti da provider statunitensi in violazione del GDPR. I procedimenti avviati nei diversi Stati membri arriveranno presto a conclusione e ciascun Garante nazionale “dirà la propria” sull’uso di Analytics.

Perché accanirsi contro Google Analytics? 

Il Garante austriaco si è pronunciato per primo a seguito di un reclamo presentato da NOYB, la ONG austriaca fondata da Max Schrems.

Nello specifico, l’Autorità ha rilevato come il sito web netdoktor.at esportasse, tramite il servizio di Google Analytics, i dati degli utenti  negli Stati Uniti, e ha ritenuto che tale operazione fosse contraria al GDPR. L’operazione di trasferimento criticata aveva in particolare ad oggetto informazioni che consentivano l’identificazione del singolo utente (ad esempio, indirizzi IP e ID univoci) .

Per capire meglio le ragioni che hanno spinto il Garante a dichiarare illegittimo l’uso di Analytics, ti proponiamo questo esempio.

Una società italiana apre un sito web per pubblicizzare i prodotti e i servizi che offre sul mercato. Per misurare l’efficacia della sua “vetrina” digitale, la società utilizza il servizio di analisi del traffico offerto da Google, meglio noto come Google Analytics.

Tale funzionalità permette al gestore del sito di effettuare analisi a livello statistico e aggregato sulle informazioni raccolte, come il numero di accessi degli utenti, il numero di visualizzazioni per ciascun post, ecc.

Le informazioni raccolte da Google Analytics comprendono, tra le altre, gli indirizzi IP e gli identificatori univoci memorizzati nei cookie. Alcune di queste informazioni permettono di risalire facilmente all’identità dell’utente e sono quindi qualificabili come”dati personali” ai sensi dell’art. 4 del GDPR.

Attraverso l’utilizzo del servizio di Analytics questi dati vengono “passati” dalla società italiana a Google, che li processa per erogare il proprio servizio. Si realizza così un trasferimento di dati personali dallo Stato in cui è  stabilito il gestore del sito agli Stati Uniti, che deve però rispettare tutte le garanzie fissate dal GDPR.

Google Analytics e GDPR: i problemi di compliance

Tra le garanzie imposte dal Regolamento, l’articolo 46 GDPR consente al publishertitolare del trattamento – di trasferire dati personali verso un paese terzo o un’organizzazione internazionale “solo se ha fornito garanzie adeguate”.

Il Garante austriaco ha ritenuto che queste “garanzie adeguate” non fossero soddisfatte nel caso di utilizzo dei servizi di Google Analytics.

In quanto società avente sede a Mountain View in California, Google LLC è soggetta alla legislazione statunitense e in particolare al cd. FISA 702. Questa norma impone ai “fornitori di servizi di comunicazione elettronica” con sede negli USA di consentire alle Agenzie di intelligence l’accesso ai dati personali di “persone non statunitensi” per ragioni di sicurezza e contrasto al terrorismo.

Il fatto che le Big Tech siano tenute a comunicare, su richiesta delle Autorità, i dati personali degli utenti limita la riservatezza di tali informazioni. Questo rischio di disclosure non viene limitato nemmeno in caso di utilizzo di clausole contrattuali standard (SCC) con i provider americani.

Tutto ciò fa quindi venire meno il requisito del possesso di “adeguate garanzie” richiesto dal GDPR.

Non solo Google Analytics quindi. Tutti i servizi offerti dalle multinazionali statunitensi come Microsoft, Facebook, Amazon e Google, sono potenzialmente in contrasto con il GDPR.

Per questo stesso motivo, il 10 febbraio scorso anche l’Autorità garante francese (CNIL), ha pronunciato una decisione del tutto simile a quella resa dal suo “alter ego” austriaco.

Google Analytics e GDPR: cosa ne pensa il Garante italiano?

Arrivati fin qui potremmo chiederci: perché la questione dovrebbe interessare un imprenditore italiano? Non si tratta di un semplice fatto di cronaca?

Assolutamente no.

Sappiamo infatti che, al momento, sono all’attenzione del Garante Privacy italiano ben 11 casi simili a quelli già affrontati dalle altre Autorità europee. La circostanza è stata resa nota dalla stessa NOYB. L’ONG ha pubblicato sul proprio sito web l’elenco dettagliato delle società che hanno effettuato trasferimenti di dati a favore di provider statunitensi in violazione del GDPR.

La partita di Google Analytics sarà quindi presto giocata anche sul terreno di gioco italiano.

Cosa significherà questo per le imprese italiane?

Gli effetti delle decisioni prese dai Garanti europei (e quelle di prossima emanazione) potrebbero avere una portata dirompente nell’ecosistema di internet.

Questo per una serie di ragioni.

Anzitutto, perché molte aziende utilizzano abitualmente i servizi di Google per monitorare l’efficacia della propria “vetrina” sul web e analizzare i dati di traffico.

Inoltre, le decisioni assunte da ogni Autorità garante sono potenzialmenteapplicabili a tutti i casi di fornitura di servizi da parte di provider statunitensi.

I servizi offerti non solo da Google ma anche dalle altre Big Tech e utilizzati dalle imprese europee potrebbero comportare un trasferimento di dati extra-UE non conforme al GDPR.

Le sanzioni in questi casi sono molto pesanti: il GDPR prevede l’irrogazione di sanzioni amministrative fino a € 20.000 o fino al 4 % del fatturato mondiale annuo, se superiore.

Anche Meta nel mirino del Garante!

Le stesse conseguenze potrebbero colpire presto anche Meta, la parentcompany di Facebook, WhatsApp e Instagram.

Nonostante la società sia diventata famosa per i servizi di intrattenimento offerti agli utenti, essa offre una serie di deliverables anche per le imprese. Anzi, a ben vedere, il core business di Meta è costituito proprio dai servizi offerti ai partner commerciali. Pensiamo alle attività di advertising e real-time bidding oppure al marketing diretto.

Anche il quartier generale della società si trova in California, ed è soggetta, come Google LLC, alla legislazione statunitense e al controllo da parte delle Agenzie di Intelligence americane.

Ogni azienda che si avvale dei servizi offerti da Meta può effettuare, senza saperlo, trasferimenti di dati personali contrari dal GDPR.

Seguendo l’insegnamento del Garante austriaco, anche questo “passaggio” di informazioni è illecito, perché non offre le garanzie necessarie per garantire la riservatezza dei dati personali degli utenti.

Questa pronuncia ha rappresentato probabilmente la goccia che ha fatto traboccare il “vaso”  di Meta. Nell’ultima trimestrale inviata all’Autorità garante del mercato americana (SEC), la società ha dichiarato che in assenza di nuove regole che consentano il flusso dei dati tra Europa e Stati Uniti, probabilmente

«non saremo più in grado di offrire alcuni dei nostri prodotti e servizi più importanti, compresi Facebook e Instagram, in Europa, fatto che influirebbe materialmente e negativamente sulla nostra attività, sulla nostra condizione finanziaria e sui risultati delle nostre operazioni».

Cosa fare dunque per non violare il GDPR?

Le aziende italiane in questo momento si trovano in una posizione molto delicata.In attesa di conoscere quale sarà la posizione assunta dal Garante italiano (presumibilmente non troppo lontana da quella delle altre Autorità europee), cosa è possibile fare?

Vista l’importanza che questa questione avrà sulle relazioni imprenditoriali dei prossimi mesi, sarebbe meglio giocare d’anticipo.Ciò che potrebbe essere opportuno fare, già in questa fase, è cercare di ridurre al minimo i rischi di violazione delle disposizioni del GDPR.

Se anche tu sei un imprenditore che utilizza i servizi delle società statunitensi, svolgendo attività che comportano un trasferimento di dati personali in loro favore, ecco come potresti agire.

Per le attività di analisi dati e monitoraggio del traffico webpotresti rivolgerti a fornitori di servizi europei. Ecco alcuni esempi di provider specializzati in questo settore:

  • Statecounter
  • Plausible analytics
  • Splitbee
  • Friendly analytics
  • Smartlook
  • Hotjar
  • Etracker
  • Stormly

Qualora l’alternativa di cambiare fornitore non ti convincesse, potresti adottare ulteriori misure tecniche come la crittografia, l’anonimizzazione dei dati raccolti e la riduzione del numero di informazioni processate. Inoltre, sarebbe opportuno effettuare un’apposita valutazione dell’impatto che queste condotte hanno sulla protezione dei dati (c.d. DPIA).

In ogni caso, sarebbe preferibile rinunciare momentaneamente a usufruire di servizi offerti dalle società statunitensi – prime tra tutte le Big Tech – in attesa di conoscere la posizione del Garante italiano rispetto a queste delicate questioni.