GOOGLE ANALYTICS

Trasferimento transfrontaliero dei dati personali: come tutelarsi dopo il caso Caffeina Media

Il recente caso di censura da parte dal Garante Privacy per il trasferimento transfrontaliero di dati personali per mezzo di Google Analytics apre a nuovi scenari e invita a prendere in esame gli strumenti giuridici predisposti dal GDPR utili a omologare e a rendere leciti questi trasferimenti. Facciamo il punto

02 Ago 2022
R

Il nove giugno scorso il Garante Privacy, con il provvedimento n. 224, ha censurato Caffeina Media in virtù dei trasferimenti di dati personali surrettiziamente avvenuti all’oscuro dei titolari degli stessi a causa e per mezzo di Google Analytics.

Il provvedimento è stato oggetto di approfondite analisi e non è dunque il caso di addentrarsi nuovamente in quel territorio. In questa sede è sufficiente ricordare che:

  1. in tale frangente il Garante ha imposto a Caffeina Media di porre rimedio alla situazione mediante misure adeguate, che nella sostanza non possono che sostanziarsi nella rinuncia ad Analytics;
  2. il Garante ha motivato la decisione, sottolineando che l’adozione di una clausola contrattuale ad hoc nell’ambito degli accordi tra Google e Caffeina Media, ai sensi dell’art. 46 del GDPR, non rendeva leciti i trasferimenti di dati oggetto di indagine poiché non era stata svolta da Caffeina Media una analisi tesa a verificare in concreto l’idoneità di detta clausola a salvaguardare i dati trasferiti negli USA da trattamenti non rispondenti agli standard posti dal GDPR, resi possibili dalla legislazione di quella nazione.

In questa luce può essere utile e interessante rinfrescare la memoria sugli strumenti giuridici predisposti dal GDPR per omologare i trasferimenti transfrontalieri di dati personali, che il Garante ha preso in considerazione per adottare il provvedimento n. 224 de 09 giugno 2022; in particolare sugli strumenti oggetto dell’art. 46 del GDPR, definiti dal medesimo come “garanzie adeguate”, in forza delle quali il trasferimento transfrontaliero dei dati personali può essere considerato lecito.

GDPR, una protezione tra rischi e pericoli per le persone fisiche e per l’economia

GDPR: principi generali per i trasferimenti transfrontalieri

L’art. 40 del GDPR pone 2 principi generali in tema di trasferimento dei dati personali:

  1. un principio generale di libera circolazione dei dati personali all’interno della UE (dove il territorio in oggetto non è esattamente quello della UE ma quello dello Spazio Economico Europeo composto dalla UE e dai territori di Norvegia, Islanda e Liechtenstein);
  2. un principio generale di circolazione controllata dei dati personali al di fuori del predetto territorio europeo.

Ciò premesso, al riguardo devono essere fatte alcune precisazioni: i trasferimenti presi in considerazione coincidono con i trasferimenti verso un paese terzo o una organizzazione internazionale, ma anche con i trasferimenti successivi da quel paese terzo/quella organizzazione internazionale a un altro paese terzo/altra organizzazione internazionale.

WHITEPAPER
CyberWar Russia-Ucraina: scenario e impatto sulle aziende italiane ed europee
Sicurezza
Cybersecurity

Non è del tutto inutile ricordare poi che per “paese terzo” si intende uno stato sovrano riconosciuto mentre per “organizzazione internazionale” si intende qualsiasi soggetto giuridico di diritto pubblico (non lo è per esempio un ente non profit, poiché esso è un soggetto giuridico di diritto privato).

Cosa si intende per trasferimento transfrontaliero di dati

Di certo è tale il materiale spostamento del dato al di fuori dello Spazio Economico Europeo a seguito di un trattamento o in vista di un trattamento successivo (quindi ogni trasferimento a server collocati fuori da tale spazio).

Inoltre, un titolare del trattamento particolarmente coscienzioso farebbe bene a ricomprendere nel concetto di trasferimento transfrontaliero anche la mera comunicazione transfrontaliera del dato personale (quindi senza memorizzazione del medesimo su un server straniero).

Va da sé che il titolare del trattamento deve indicare ogni trasferimento di dati personali nel registro dei trattamenti.

Le garanzie adeguate che legittimano i trasferimenti extra UE

L’articolo 46 del GDPR prevede come regola di ordine generale che il titolare e il responsabile del trattamento possa effettuare trasferimenti transfrontalieri di dati personali verso un paese terzo/una organizzazione internazionale, laddove abbia fornito garanzie adeguate, e a condizione che i titolari dei dati da trasferire dispongano di diritti azionabili e di mezzi di ricorso effettivi.

Sono considerate garanzie adeguate, che non necessitano di una verifica da parte del Garante:

  1. uno strumento giuridicamente vincolante, dotato di efficacia esecutiva tra autorità o organismi pubblici;
  2. le norme vincolanti d’impresa oggetto dell’art. 42 del GDPR;
  3. le clausole tipo di protezione dei dati personali messe a punto dalla Commissione Europea;
  4. le clausole tipo di protezione dei dati personali messe a punto dai Garanti nazionali e approvate dalla Commissione Europea;
  5. un codice di condotta associato all’impegno dotato di efficacia vincolante ed esecutiva, assunto dal titolare/responsabile del trattamento nel paese terzo, ad applicare garanzie adeguate anche con riferimento alla tutela dei diritti dei titolari dei dati;
  6. un meccanismo di certificazione approvato ai sensi dell’art. 42 del GDPR, di nuovo associato all’impegno da parte del titolare/responsabile del trattamento nel paese terzo ad applicare garanzie adeguate anche con riferimento alla tutela dei diritti dei titolari dei dati.

Come anticipato sopra, i sei strumenti appena elencati si distinguono per non avere bisogno di una omologazione da parte dei vari Garanti nazionali onde essere considerati garanzie adeguate.

Vi sono poi due ulteriori strumenti per il trasferimento transfrontaliero dei dati personali in sicurezza; questi sono considerati garanzie adeguate solo laddove ottengano l’omologa da parte dei vari Garanti nazionali:

  1. le clausole contrattuali tra il titolare/responsabile del trattamento e il titolare/responsabile del trattamento ovvero il destinatario dei dati personali nel paese terzo/organizzazione internazionale;
  2. le norme da inserire negli accordi amministrativi tra autorità/organismi pubblici che prevedono diritti effettivi ed azionabili dai titolari dei dati personali.

Le clausole contrattuali di questo penultimo punto sono proprio lo strumento che il Garante non ha ritenuto garanzia adeguata a legittimare il trasferimento dei dati negli USA nel caso di Caffeina Media.

Esse si distinguono dalle analoghe clausole oggetto dei precedenti punti 3 e 4 per essere libero il tenore del relativo testo; mentre le clausole contrattuali tipo, predisposte dalla Commissione o dai Garanti nazionali, proprio perché tali, si caratterizzano per il loro tenore predefinito e inalterabile.

Alcune riflessioni sul caso Caffeina Media

In linea generale e alla luce di quanto appena esposto, è evidente che sia più conveniente affidarsi alle clausole contrattuali tipo, predisposte dalla Commissione ovvero dai Garanti nazionali; e ciò per 2 ragioni quasi banali:

  1. non hanno bisogno di omologazione;
  2. il loro testo, essendo predisposto a priori, è per definizione garanzia adeguata ai fini della legittimazione del trasferimento dei dati personali.

Ciò precisato, è bene sottolineare che la ragione in forza della quale la clausola contrattuale predisposta da Caffeina Media nella trattativa con Google ha generato giudizio di inadeguatezza da parte del Garante non risiede nel suo testo che – anzi – non è stato oggetto di alcuna censura in sé stesso.

Quella specifica clausola contrattuale è stata considerata inadeguata poiché secondo il Garante Caffeina Media aveva omesso di verificarne l’efficacia in concreto, a tutela dei diritti dei titolari dei dati, una volta inserita nel contesto legislativo Statunitense, dove alcune disposizioni consentono ai vari organismi di sicurezza di acquisire i dati personali importati dall’esterno elidendo completamente le garanzie poste dalle clausole contrattuali finalizzate alla tutela dei diritti dei titolari dei dati; anche ove si trattasse delle clausole contrattuali tipo oggetto dei precedenti punti 3 e 4.

A ben vedere, dunque, il giudizio di inadeguatezza del Garante non ha colpito la clausola contrattuale negoziata con Google, quanto il comportamento di Caffeina Media nell’omettere una verifica in concreto della sua efficacia.

Se una lezione si deve dunque trarre dal caso Caffeina Media, essa ci dice che non basta predisporre una clausola contrattuale ad hoc, o adottarne una tipo, predisposta dalla Commissione o dal Garante per legittimare il trasferimento dei dati personali all’estero.

Una volta scelto lo strumento contrattuale è necessario, invece, verificarne la concreta efficacia con una adeguata valutazione d’impatto, una volta che essa si trovi a operare nell’ecosistema legale e legislativo dello stato nel quale si esportano i dati personali.

Conseguenze immediate e potenziali del caso Caffeina Media

Il caso di Caffeina Media ha generato immediatamente una conseguenza: i titolari del trattamento che desiderano evitare ogni problema farebbero bene a non appoggiarsi a Google Analytics per misurare le prestazioni di un qualsiasi sito web (neppure nella nuova versione G4).

Chi desideri evitare il pericolo di sanzioni in futuro dovrà pertanto rivolgersi a strumenti analoghi coerenti con i principi posti dal GDPR in tema di trasferimenti transfrontalieri di dati personali.

Esistono numerosi articoli in rete, di recente pubblicazione, che illustrano ed evidenziano quali siano le risorse alternative; ed è dunque inutile in questa sede riaffrontare questo specifico tema. Da questo punto di vista, pertanto, il problema parrebbe risolvibile con sforzi davvero minimi.

Ma vi è un’altra conseguenza, questa volta potenziale, rispetto alla quale tutti dovrebbero prepararsi, acquisendo consapevolezza di quale dovrà essere, nel caso, il loro contegno: l’aumento potenzialmente alluvionale delle richieste di esercizio del diritto di cancellazione dei propri dati personali da parte dei loro titolari.

In tale prospettiva può essere utile esaminarne alcuni lineamenti.

Il diritto alla cancellazione dei dati personali su richiesta dei loro titolari è regolato dall’art. 17 del GDPR.

Premesso che si tratta, al pari degli altri diritti esercitabili dai titolari dei dati, di un diritto di rango costituzionale, esso in linea generale attribuisce loro la facoltà di pretendere la cancellazione dei medesimi, e al titolare del trattamento l’obbligo assoluto e non mediabile di procedere in tal senso senza ingiustificato ritardo.

Questo diritto, peraltro, non può essere esercitato a totale discrezione del titolare dei dati, poiché sempre l’art. 17 del GDPR ne consente l’esercizio solo in determinate condizioni; ovvero quando:

  1. i dati non sono più necessari per le finalità del trattamento o della raccolta;
  2. il titolare revoca il consenso alla raccolta/trattamento e non esiste altro fondamento giuridico che la/lo giustifichi;
  3. il titolare esercita il diritto di opposizione al trattamento nei vari casi previsti dall’articolo 21 del GDPR;
  4. i dati personali sono stati trattati illecitamente;
  5. i dati personali devono essere cancellati in adempimento di un obbligo legale previsto dal diritto dell’Unione Europea o dello stato membro cui è soggetto il titolare del trattamento;
  6. i dati personali sono stati raccolti relativamente all’offerta di servizi della società dell’informazione (segnatamente servizi di accesso ai social network e in generale ai servizi telematici).

È assai verosimile che le eventuali richieste di cancellazione generate dalla non rispondenza di Google Analytics ai principi del GDPR siano da ricondurre alla illiceità del trattamento; ma non si può escludere, anche se si tratta di ipotesi meno realistiche, che esse possano essere motivate anche sulla base dei casi oggetto dei precedenti punti 2 e 6.

Ma quale che sia la copertura giuridica della richiesta di cancellazione dei dati tra le sei prese in considerazione dall’art. 17 del GDPR, il titolare del trattamento che la ricevesse non potrà fare altro che assecondarla senza indugio e senza alcuna possibilità di eccepire alcunché.

Google Analytics e diritti dell’interessato: ecco come richiedere la cancellazione dei dati

Chi è il titolare del trattamento nel caso Caffeina Media?

Ma chi è il titolare del trattamento cui indirizzare la richiesta di cancellazione dei dati acquisiti da Analytics nel caso Caffeina Media e in tutti quelli analoghi da oggi in avanti?

Secondo la ricostruzione dei rapporti per così dire classica, che attualmente è pressoché l’unica, la risposta è addirittura banale, banale quanto apparentemente lo è prima ancora la domanda: Caffeina Media.

La ricostruzione dei rapporti che autorizza questa risposta è la seguente: Google è il responsabile di un trattamento, il titolare del quale è Caffeina Media; e in tale veste tratta con Analytics i dati personali degli utenti che navigano sul sito di Caffeina Media in nome, per conto e per le finalità di quest’ultima.

Sembrerebbe tutto a posto. Ma è davvero così?

Mi sono posto questa domanda stimolato da un cliente cui è stata indirizzata una richiesta di cancellazione dei dati a causa di Analytics: il cliente, in quel frangente, mi riferiva che le sue risorse IT erano molto perplesse sulla loro capacità di cancellare i dati acquisiti da Analytics al fine di generare le statistiche di navigazione; e ciò poiché effettivamente ignoravano di quali dati si trattasse e, in ogni caso, non avrebbero mai potuto cancellarli, essendo gli stessi archiviati nei server di Google negli USA.

Questa problematica che nei fatti è di natura tecnica e assolutamente concreta, quindi ineludibile, è coerente con la ricostruzione dei rapporti sopra descritta?

A mio sommesso parere la risposta potrebbe essere no.

Vediamo il perché.

Cosa fa Google con Analytics? Con Analytics, Google offre ai titolari dei vari siti web un servizio di analisi statistica sulla navigazione, trattando i dati di coloro che visitano tali siti.

Questo significa che Google in realtà tratta per le sue finalità (offrire il servizio di analisi statistica della navigazione) e con i suoi mezzi (hardware e software) i dati personali di coloro che visitano i siti web delle entità che, gratuitamente o a pagamento, si appoggiano ad Analytics.

Questa è la descrizione di un titolare del trattamento a tutti gli effetti, non di un responsabile: ciò potrebbe voler dire che tutte le richieste di cancellazione dei dati che sono state e saranno indirizzate ai soggetti titolari dei siti web a causa di Analytics potrebbero essere state o saranno mal indirizzate, poiché in realtà il corretto destinatario delle medesime potrebbe/dovrebbe essere Google.

Quello che è certo è che questa ricostruzione alternativa dei rapporti è coerente con le problematiche nel porre in essere la cancellazione dei dati sopra descritte.

Qualora la ricostruzione dei rapporti classica – che vede in Caffeina Media titolare del trattamento e in Google il responsabile dello stesso – conservasse la sua validità, la concreta impossibilità per i vari titolari del trattamento di cancellare i dati archiviati nei server di Google negli USA rischia di generare una torrentizia pretesa risarcitoria da parte dei titolari dei dati richiedenti la cancellazione nei loro confronti.

Lo soluzione, per così dire ecumenica, al mio dubbio potrebbe essere la seguente: Caffeina Media e Google sono in rapporto di co-titolarità del trattamento: entrambi ne determinano le finalità (per Caffeina godere del servizio di statistica di navigazione, per Google offrirlo), uno di essi (Google) mette a disposizione i mezzi (hardware e software) strumentali al medesimo, mentre l’altro (Caffeina) mette a disposizione i dati di chi naviga il suo sito.

Se questa ricostruzione si affermasse, le richieste di cancellazione dovrebbero essere indirizzate sia ai vari titolari dei siti web, sia a Google, ma sarebbe comunque solo quest’ultima ad avere le capacità tecniche necessarie ad assecondarla.

WHITEPAPER
Digitalizzazione delle PMI: i 7 cambiamenti da affrontare per diventare un’impresa data-driven
Big Data
Business Analytics
@RIPRODUZIONE RISERVATA

Articolo 1 di 4