Trasferimento dati extra UE

Analytics: ecco i chiarimenti privacy di Google, che non convincono del tutto

Il Governo USA non può accedere ai dati personali trattati da Google Analytics: è quanto chiarisce la stessa Google in risposta alla decisione del Garante Privacy austriaco sul mancato rispetto della normativa europea in materia di trasferimento dati da parte del servizio. Ma rimangono ancora aspetti da chiarire sulla reale compliance di questo tipo di strumenti. Il punto

20 Gen 2022
C
Marina Rita Carbone

Consulente privacy

In risposta a quanto stabilito dall’Autorità Garante austriaca DSB, che ha recentemente affermato che il servizio Google Analytics non rispetta la normativa europea in materia di trasferimento dei dati, Google ha pubblicato un proprio comunicato, a firma del Google Analytics Product Management Director Russell Ketchum, mediante il quale rende note le modalità di funzionamento del suo servizio e le garanzie applicate per assicurare che il governo statunitense non possa accedere ai dati personali trattati.

Il Garante Privacy austriaco, lo ricordiamo, ha ritenuto che le misure tecnico-organizzative e contrattuali applicate da Google non siano in linea con quanto stabilito dalla ben nota sentenza Schrems II della Corte di Giustizia Europea.

Si tratta della prima pronuncia, emessa sulla scorta dei rilievi presentati dall’associazione NOYB (di cui è presidente lo stesso Schrems), che ha fatto diretta applicazione del divieto di trasferimento dei dati verso gli Stati Uniti in assenza di garanzie adeguate.

La risposta di Google, come riferito nel comunicato, ha lo scopo di fornire alcuni chiarimenti sulle modalità di funzionamento di Analytics e sulla compatibilità del servizio con le norme sul trattamento dei dati personali, essendo Google Analytics utilizzando quotidianamente da molteplici organizzazioni, anche nel settore pubblico e no profit per visualizzare i dati di traffico sui propri siti web, in maniera aggregata.

Le nuove clausole contrattuali standard della Commissione UE: ecco la privacy post Schrems II

Google Analytics e il trasferimento dei dati

In relazione al trasferimento dei dati personali, oggetto del provvedimento dell’Autorità austriaca, il comunicato afferma che “Prima che i dati vengano trasferiti a qualsiasi server negli Stati Uniti, vengono raccolti in server locali, dove gli indirizzi IP degli utenti vengono resi anonimi (quando la funzione è abilitata dai clienti)”.

WHITEPAPER
Clienti soddisfatti e fidelizzati? Ecco come fare un e-commerce di successo!
Big Data
Marketing

Inoltre, viene specificato che, allo scopo di garantire il soddisfacimento delle condizioni per il trasferimento dei dati all’estero espresse dal GDPR e ribadite dalla Corte di Giustizia, sono applicate una serie di misure di sicurezza, tra cui:

  1. l’utilizzo di accordi di trasferimento dei dati “come le clausole contrattuali standard dell’UE, che si sono affermate come un meccanismo valido per il trasferimento dei dati negli Stati Uniti, insieme a garanzie aggiuntive che mantengono i dati al sicuro: crittografia dei dati leader del settore, sicurezza fisica nei nostri data center e solide politiche per la gestione delle richieste governative di informazioni sugli utenti”;
  2. il mantenimento di standard di sicurezza indipendenti accettati a livello internazionale come ISO 27001, “che fornisce l’accreditamento indipendente dei nostri sistemi, applicazioni, persone, tecnologia, processi e data center”;
  3. l’offerta, ai proprietari dei siti Web, di “un’ampia gamma di controlli che possono utilizzare per mantenere i dati dei visitatori del loro sito Web al sicuro”;
  4. l’applicazione di misure tecniche “(come Application Layer Transport Security e crittografia HTTPS) per proteggerci dall’intercettazione in transito all’interno dell’infrastruttura di Google, tra data center e tra utenti e siti web, compresi i tentativi di sorveglianza da parte delle autorità governative di tutto il mondo”.

Proprio il punto in esame, a parere di NOYB e dell’autorità austriaca, non appare sufficiente a garantire il concreto ed effettivo rispetto della normativa europea, trattandosi di misure tecniche e organizzative più “formali” che sostanziali.

“Invece di adattare effettivamente i servizi per essere conformi al GDPR, le aziende statunitensi hanno cercato di aggiungere semplicemente del testo alle loro politiche sulla privacy e ignorare la Corte di giustizia”, ha affermato Max Schrems, “Molte aziende dell’UE hanno seguito l’esempio invece di passare alle opzioni legali”

Della stessa opinione l’autorità austriaca, che nella sua decisione ha affermato come “Per quanto riguarda le misure contrattuali e organizzative delineate, non è evidente fino a che punto [le misure] siano efficaci nel senso delle considerazioni di cui sopra. […] Per quanto riguarda le misure tecniche, non è nemmeno riconoscibile (…) in che misura [la misura] impedirebbe o limiterebbe effettivamente l’accesso da parte delle agenzie di intelligence statunitensi considerando la legge degli Stati Uniti“.

Il Parlamento UE non rispetta la privacy: sanzionato per illeciti su cookie e trasferimenti dati negli USA

Tracciamento e profilazione dati su Google Analytics

Poiché pensato allo scopo di restituire ai clienti un resoconto dei dati di utilizzo dei loro siti e app, al fine di migliorare il servizio reso all’utente finale, Google Analytics non effettua attività di profilazione o di tracciamento delle persone sul web.

Google Analytics aiuta i proprietari di app e siti Web a capire in che modo i loro utenti interagiscono con i loro siti e app (e solo con il loro sito o app)” si legge nel comunicato. “Ad esempio, può aiutarli a capire quali sezioni di un giornale online hanno più lettori o con quale frequenza i carrelli della spesa vengono abbandonati per un negozio online. Questo è ciò che li aiuta a migliorare l’esperienza per i loro clienti comprendendo meglio cosa funziona o cosa non funziona”.

A tal fine, le informazioni che Google tratta riguardano: il tipo di dispositivo o il browser utilizzato per l’accesso; il tempo medio trascorso sul sito o sulla app, la provenienza approssimativa dei visitatori. “Ai clienti di Google Analytics è vietato caricare informazioni che potrebbero essere utilizzate da Google per identificare una persona. Forniamo ai nostri clienti strumenti di eliminazione dei dati per aiutarli a rimuovere tempestivamente i dati dai nostri server se lo fanno inavvertitamente.

La titolarità dei dati

Il controllo e la titolarità dei dati, afferma Ketchum, restano in capo all’utente, che archivia ed elabora i dati esclusivamente secondo le proprie necessità.

Gli utenti del servizio possono, poi, separatamente, decidere di condividere i dati raccolti con Google al fine di perseguire scopi specifici e limitati, come supporto tecnico, benchmarking e supporto alle vendite. “Le organizzazioni devono intraprendere azioni esplicite per consentire a Google di utilizzare i propri dati di analisi per migliorare o creare nuovi prodotti e servizi. Tali impostazioni sono del tutto facoltative e richiedono un esplicito consenso”.

Per gli utilizzatori del servizio localizzati all’interno dello Spazio Economico Europeo, inoltre, Google consente l’attivazione di una serie di misure di sicurezza ulteriori:

  1. abilitare l’anonimizzazione IP (o mascheramento IP) sui propri siti Web, il che significa che gli indirizzi IP completi non vengono mai elaborati o registrati;
  2. disabilitare parzialmente o completamente la raccolta dei dati su determinate pagine;
  3. disabilitare la personalizzazione delle pubblicità;
  4. esportare i dati degli eventi associati ai singoli utenti, al fine di garantirne la portabilità;
  5. selezionare per quanto tempo i dati a livello di utente e di evento vengono archiviati da Analytics prima che venga pianificata l’eliminazione automatica dall’account Analytics e dai server di Google. “Alcuni dati chiave dell’utente (come età, sesso, interessi)” si legge nella policy di Google Analytics, “vengono eliminati per impostazione predefinita da Google Analytics dopo sei mesi di inattività per un dato utente per una proprietà Universal Analytics o dopo due mesi per una proprietà Google Analytics 4. Puoi scegliere per quanto tempo Analytics conserva i dati prima di eliminarli automaticamente. La quantità massima di tempo durante la quale Analytics conserverà i dati dei segnali di Google è di 26 mesi, indipendentemente dalle tue impostazioni. Per impostazione predefinita, i dati di accesso a Google scadono dopo 26 mesi. Tuttavia, se l’impostazione di conservazione dei dati di Analytics è impostata su un valore inferiore a 26 mesi, i dati di accesso a Google rispetteranno questo intervallo di tempo più breve”;
  6. eliminare i dati dai server di Analytics inviando una richiesta espressa per la rimozione degli stessi. Si rende possibile anche eliminare i dati di un singolo utente dal proprio account Analytics tramite funzionalità dedicate.

Agli utilizzatori del servizio, ritenuto il pieno titolare dei dati raccolti, spetta poi l’obbligo di informare adeguatamente i visitatori “sulle implementazioni e sulle funzionalità di Google Analytics che utilizzano e se questi dati possono essere collegati ad altri dati che hanno su di loro”, oltre all’obbligo di raccoglierne il consenso secondo le leggi vigenti.

Il trattamento dei dati particolari

Il comunicato si sofferma anche sulla possibilità che i dati raccolti con Google Analytics siano poi utilizzati dagli utenti per condurre le proprie campagne pubblicitarie, affermando, a tal riguardo, che “Se un’azienda utilizza anche le piattaforme pubblicitarie di Google, è rigorosamente tenuta a seguire le linee guida pubblicitarie di Google che impediscono l’uso di informazioni riservate per personalizzare gli annunci, come salute, razza, religione o orientamento sessuale. Non consentiamo mai che le informazioni sensibili vengano utilizzate per la pubblicità personalizzata. È semplicemente off limits”.

Conclusioni

La decisione emanata dall’autorità austriaca e i chiarimenti resi da Google mostrano come, a distanza di quasi due anni dalla sentenza Schrems II, siano stati ben pochi i passi in avanti fatti dalle grandi società del settore, a discapito degli utenti del servizio, che perdurano in uno stato di incertezza circa la reale compliance degli strumenti alle normative vigenti.

A lungo termine”, commenta NOYB, “sembrano esserci due opzioni: O gli Stati Uniti adattano le protezioni di base per gli stranieri per sostenere la loro industria tecnologica, o i fornitori statunitensi dovranno ospitare i dati stranieri fuori dagli Stati Uniti”.

WHITEPAPER
Certificazioni GDPR: tutti i vantaggi per le organizzazioni che vi aderiscono
Legal
Privacy
@RIPRODUZIONE RISERVATA

Articolo 1 di 3