LA CNIL FRANCESE

Cookie di Google Analytics: dalle indicazioni francesi tanti divieti e alcune difficili soluzioni

Ci sono novità sulla faccenda dei cookie di Google Analytics: la CNIL francese, infatti, è tornata sull’uso di strumenti di tracciamento online con delle FAQ corpose e ricche di approfondimenti che propongono anche alcune soluzioni tecniche. E in Italia? Proviamo a fare il punto della situazione

13 Giu 2022
M
Andrea Michinelli

Avvocato, FIP (IAPP), LA ISO/IEC 27001:2013

Novità dalla Francia per la controversa vicenda dei cookie di Google Analytics: utilizzatori di questi cookie colpiti in vari Stati UE da provvedimenti sanzionatori, Analytics che sembrano destinati a sorte certa, violazioni senza se e senza ma del GDPR secondo le autorità di controllo.

Tanto più in quanto è necessaria l’omogeneità e la cooperazione tra le autorità stesse, come sottolinea la autorità francese CNIL in alcune recenti indicazioni, le Q&A più corpose e ricche di approfondimenti tra quelle finora pubblicate nell’Unione.

Si ventila anche una possibile soluzione tecnica per salvarne certi usi, nondimeno come vedremo si associano risvolti applicativi non banali che ne frustrano parecchio le possibilità.

Google Analytics non conforme al GDPR: conseguenze e possibili soluzioni

Come siamo arrivati fino a qui

Ricapitolando brevemente e rinviando ad altra sede per approfondimenti, possiamo affermare che vi è in corso una “rappresaglia”, fomentata anche dalla NOYB di Max Schrems che ha presentato reclami sul punto in tutta Europa. Le parti sono, da un lato, Google con i suoi diffusissimi cookie di Google Analytics, dominanti il mercato per l’utilizzo da parte di una larga maggioranza di siti web, oltre ai titolari utilizzatori degli stessi cookie, dall’altra le autorità di controllo dei vari Stati membri UE per la protezione dei dati personali, a tutela degli interessati europei.

WEBINAR
30 Giugno 2022 - 14:30
[WEBINAR] Data Governance Strategy: tu sei pronto?
CIO
IoT

Il primo provvedimento è stato quello dell’autorità austriaca, nel gennaio scorso, il cui succo era: i dati personali degli utenti, raccolti nei siti web che usano i cookie di terze parti di Google Analytics, vengono comunicati a Google. Ciò anche se si applica la mascheratura dell’IP utente o simili forme di cifratura, come richiesto peraltro dal nostro Garante nelle proprie linee guida sul tema per inquadrarli come “tecnici”, proprio perché Google potrebbe facilmente re-identificare gli interessati grazie alle proprie risorse.

E oltretutto Google è un soggetto di diritto USA, dunque extra-UE, che può subire potenziali accessi da parte delle autorità di intelligence e di difesa degli Stati Uniti. I dati personali raccolti da Google, pertanto, potrebbero essere letti e utilizzati da tali entità senza garantire un adeguato livello di protezione degli interessati. Come scolpito dalla arcinota sentenza “Schrems II” della Corte di Giustizia, affondando lo strumento Privacy Shield concordato proprio con gli USA. La violazione riposerebbe dunque nell’inadeguatezza della protezione dei dati in quel contesto.

Le precisazioni di giugno della CNIL

L’autorità francese, autrice di uno dei primi provvedimenti sanzionatori, vista le incertezze sul punto, ha pensato di pubblicare delle FAQ esplicative. Un documento di grande interesse per tutti gli Stati UE, vista la necessaria, imposta applicazione uniforme del GDPR in tutta Europa.

In queste FAQ, richiamando propri provvedimenti e l’armonia tra autorità europee sul punto, la CNIL riassume così lo stato di fatto:

  1. Google dichiara di utilizzare le SCC (clausole contrattuali standard della Commissione Europea) e misure supplementari (tecniche e organizzative) per proteggere i dati personali, tuttavia non sono ritenute sufficienti per scongiurare il rischio di accesso da parte delle autorità USA, perfezionando la violazione del GDPR;
  2. la situazione è uguale per tutti i titolari che fanno uso di Google Analytcs, la CNIL precisa che i titolari non dovranno attendere di essere personalmente colpiti da provvedimenti bensì sono da considerare tutti “in mora”, cioè dovranno adeguare i propri siti web, ad esempio cambiando fornitore, quanto prima;
  3. si puntualizza che Google stessa, a richiesta della CNIL, avesse dichiarato in passato che tutti i dati raccolti tramite Google Analytics son conservati negli Stati Uniti; in ogni caso, anche se fossero detenuti nella sola Unione, non muterebbe il rischio che autorità USA ne richiedano l’accesso tramite Google;
  4. circa l’uso del mascheramento dell’IP (con cui si “censurano” alcune cifre dell’IP utente contenuto nel cookie), si tratta di prassi non applicabile a tutti i cookie, inoltre non è stato accertato se l’operazione avvenga prima del trasferimento dei dati negli USA;
  5. il rischio di tracciamento e re-identificazione sussiste anche per altre ragioni: i dati nei cookie “oscurati” possono essere comunque combinati con altri e portare alla re-identificazione utente – si aggiunge che l’uso di altri servizi di Google a fini di marketing può solo che accrescere questo rischio, i dati potrebbero essere incrociati con altri e ricostruire la cronologia di navigazione dell’utente;
  6. ancora una volta, la CNIL sente di dover precisare come il mascheramento dell’IP sia una mera pseudonimizzazione (vi si applica il GDPR), da non confondere con l’anonimizzazione (non vi si applica il GDPR);
  7. il mezzo del consenso specifico richiesto agli interessati, ammesso dall’art. 49.1.a GDPR, è applicabile solo a trasferimenti occasionali.

Nel febbraio scorso la CNIL ha persino pubblicato una lettera di messa in mora dei titolari che vengono “scoperti” utilizzare i predetti Analytics, intimandone la messa in regola o la cessazione dell’uso entro un mese dalla notifica. A monito per tutti, notificati o meno che siano.

L’ipotetica ancora di salvezza: la crittografia o il proxy server?

Si può pensare che l’uso di robusti algoritmi di crittografia, applicati ai dati nei cookie, possa renderli sufficientemente “oscuri” alle autorità USA. La CNIL ne smentisce una concreta efficacia:

  1. è in genere la stessa Google ad applicare la crittografia, possedendone le chiavi di decifrazione, ben potendo ritornare ai dati in chiaro;
  2. le autorità USA potrebbero, per legge, obbligare Google a decrittare tali dati per avervi accesso;
  3. perciò per considerare sufficiente la crittografia come tutela, la si dovrebbe applicare a cura del titolare (o di un terzo fidato, soggetto alla normativa di un Paese “adeguato”), non già di Google, con chiavi non comunicate né a disposizione in alcun modo da parte di Google.

Al netto di ciò, la CNIL ammette che un mezzo di tutela più adeguato vi sarebbe: l’uso di un server proxy da parte del titolare. Il server fungerebbe da intermediario tra il terminale dell’utente dell’interessato e i server Google di analisi. L’uso del proxy dovrebbe sempre adeguarsi alle Raccomandazioni EDPB n. 1/2020 sui trasferimenti, in mezzo alle quali figura proprio la necessità di cifrare i dati prima della trasmissione al terzo extra-UE.

La CNIL si spinge a elencare le istruzioni per l’uso corretto di un proxy server, come queste:

  1. come già detto, non comunicare l’indirizzo IP utente ai server del terzo extra-UE; se un dato di ubicazione viene trasmesso, deve essere gestito dal proxy con un livello di dettaglio minimo, tale da non consentire una re-identificazione;
  2. sostituire l’ID utente da parte del proxy, in modalità automatizzata; si chiarisce che l’algoritmo di sostituzione dovrebbe garantire un livello sufficiente di c.d. “collisione” (cioè una probabilità sufficiente che due identificatori diversi diano un risultato identico dopo l’hashing) e avere una componente temporale variabile (aggiungere ai dati hashati un valore che cambia nel tempo, in modo che il risultato dell’hash non sia sempre lo stesso per lo stesso identificatore);
  3. cancellare, tra i dati comunicati, le informazioni sul sito “referral” esterno da cui proviene l’utente;
  4. cancellare eventuali parametri contenuti negli URL indicati nei cookie (UTM, parametri URL che consentono il routing interno del sito ecc.);
  5. rielaborare i dati che possono consentire la generazione di un’impronta digitale (come nel caso di browser fingerprinting), rimuovendo le configurazioni meno frequenti che, pertanto, possono portare alla re-identificazione;
  6. l’assenza di qualsiasi raccolta di identificatori “cross-site” o deterministici (ad es. ID univoco dell’utente);
  7. cancellare qualsiasi altro dato che possa portare alla re-identificazione dell’utente (tema decisamente aperto e accuratamente da valutare caso per caso);
  8. garantire che il proxy rispetti il GDPR, altresì contrattualmente parlando (si tratterà, peraltro, di un responsabile ex art. 28 GDPR), monitorando la collocazione e l’accesso dei dati utilizzati dal fornitore – se finissero in un Paese non adeguato, torneremmo al punto di partenza, ragion per cui pare arduo poter ipotizzare proxy di diritto USA.

Insomma, una lista piuttosto esigente che necessita di un certo lavoro e impegno, non certo alla portata di tutte le imprese. Relegando la strada della c.d. “proxyficazione”, pare, a ipotesi più teoriche che pratiche. Da questa infografica della CNIL possiamo maggiormente intuire la complessità della proxyficazione.

Trasferimento extra-UE: approccio risk-based o no?

Tutta la vicenda dei trasferimenti extra-UE ha posto un dubbio a tanti esperti: non si dovrebbe comunque adottare un approccio basato sul rischio, dunque che tenga conto di vari elementi come contesto, tipo di dati, possibili scenari, ecc. prima di poter dire che il trasferimento sia “sufficientemente” sicuro? Non scordiamo che l’approccio al rischio è uno dei pilastri della normativa europea, come indicato esplicitamente nel GDPR circa la valutazione dei trattamenti.

La CNIL replica recisamente a questa posizione, in linea con alcuni pregressi provvedimenti delle autorità: la valutazione del rischio è applicabile solo ove richiamata nel testo del GDPR, la parte V dedicata ai trasferimenti non ne fa menzione e dunque ne sarebbe estranea. Ergo: o il Paese estero offre un livello di protezione equivalente a quello UE, oppure non è adeguato. Basta che sia possibile l’accesso ai dati da parte dei terzi, senza garanzie adeguate, per configurare l’insufficiente protezione.

Questo indirizzo, così, non fa alcuna differenza ad es. tra dati sensibili, dati comuni, interessati vulnerabili, ecc. – si applica una metrica di valutazione rigida e uniforme. L’unico contrappeso potranno essere eventuali misure supplementari, tecnico-organizzative, che impediscano di fatto l’accesso ai dati. Abbiamo appena visto come, secondo la CNIL, ve ne sarebbero ben poche.

Alternative indicate dalla CNIL: si può fare anche senza Google

La CNIL chiude offrendo una mano ai titolari, dopo aver di fatto “amputato” un fornitore importante come Google dalla filiera del digitale di tante imprese online. Lo fa indicano tool di misurazione paragonabili a Google Analytics, però che sarebbero privi delle medesime criticità. Nell’elenco proposto si trovano diverse alternative, ad es. i cookie offerti da Matomo. Arrivando persino a pubblicare guide apposite per la corretta implementazione e configurazione, non sempre scontata e comunque da ponderare.

Proprio di Matomo, per esempio, ne è disponibile una specifica.

Si badi: la CNIL stessa offre tale elenco come esempio di soluzioni configurabili per una configurazione rispettosa del principio di minimizzazione. Non viene affrontato, in tali guide, il parallelo tema dei trasferimenti extra-UE che resta da valutare caso per caso. Così come non si accenna a efficacia, facilità d’uso o implementazione, rispetto ai prodotti di Google.

Cookie “buoni” a scopo metrico: configurarli per ottenere statistiche aggregate

Per concludere, riportiamo la utile lista dei dati e parametri che la CNIL, nell’uso di strumenti di misurazione analitica web, considera strettamente necessari per il rispetto del principio di minimizzazione. Si veda ad es. la specifica sugli ambiti temporali di aggregazione: un concreto parametro di orientamento per capire come applicare, granularmente, uno sfuggente principio generale.

Questi dati e parametri sono:

  1. la misurazione dell’audience, pagina per pagina;
  2. l’elenco delle pagine da cui è partito il link per arrivare alla pagina corrente (c.d. “referral”), interne o esterne al sito, per pagina e aggregato su base giornaliera;
  3. il tipo di terminale, browser e dimensione dello schermo degli utenti, per pagina e aggregati su base giornaliera;
  4. statistiche sui tempi di caricamento della pagina, per pagina e aggregate su base oraria;
  5. statistiche del tempo trascorso dall’utente su ogni pagina, frequenza di rimbalzo, profondità di scrolling, per pagina e aggregate su base giornaliera;
  6. statistiche sulle azioni dell’utente (click, selezione), per pagina e aggregate su base giornaliera;
  7. statistiche sull’area geografica di provenienza delle query, per pagina e aggregate su base giornaliera.

Conclusioni

La CNIL precisa più volte che l’operazione Google Analytics è solo una di quelle in corso, coordinate tra le varie autorità di controllo, mirate a colpire l’uso di strumenti di tracciamento online, non limitandosi ai cookie e che nel tempo seguiranno ulteriori provvedimenti e comunicazioni. La strada tracciata pare sufficientemente chiara, severamente percorsa.

A livello nazionale, si attende un provvedimento del Garante focalizzato sugli Analytics paragonabile a quelli francesi e austriaci, tuttavia non vi sarà molto margine: la CNIL sottolinea proprio la cordata comune tra tutte le autorità, giocoforza sul territorio italiano il Garante non potrà fare ragionamenti difformi dalle logiche che abbiamo riassunto poco fa. Lato imprese, si dovrebbe pertanto provvedere quanto prima per non farsi trovare impreparati, con alternative valide a disposizione se non già implementate.

INFOGRAFICA
[Infografica] I 6 migliori data analytics tools a confronto: CHI VINCE?
Big Data
Datacenter
@RIPRODUZIONE RISERVATA

Articolo 1 di 5