COOKIE E TRASFERIMENTO DATI

Violazione GDPR per Google Analytics: tramonto europeo dei cookie americani? I contraccolpi

La pronuncia dell’autorità di controllo austriaca in merito alla violazione GDPR per Google Analytics potrebbe avere un impatto dirompente, limitando o impedendo di fatto l’utilizzo di servizi simili e rivoluzionando ulteriormente il mercato del digital advertising già impattato dalla corrente ricerca di alternative ai cookie di terze parti. Ecco i possibili contraccolpi

24 Gen 2022
M
Andrea Michinelli

Avvocato, FIP (IAPP), LA ISO/IEC 27001:2013

Ha fatto scalpore la recente pronuncia D155.027 dell’autorità di controllo austriaca Datenschutzbehörde (“DSB”) avverso Google per l’uso, da parte di un sito web austriaco, dei diffusissimi cookie di Google Analytcs.

L’effetto è potenzialmente dirompente: vuoi per il contenuto di merito della pronuncia (che analizzeremo di seguito), vuoi per il fatto di essere solo il primo risultato di analoghi reclami, presentati a centinaia, dalla NOYB di Max Schrems, in tutta l’Unione, e che man mano genereranno pronunce analoghe nei vari Stati.

NOYB ha basato le sue azioni proprio su quanto sancito dalla sentenza della CGUE detta “Schrems II, di fatto richiedendo un’applicazione piuttosto serrata di quella pronuncia che solo di recente sta ricevendo maggior attenzione da parte delle autorità in sede istruttoria e sanzionatoria.

Gli effetti potrebbero essere quelli di limitare o impedire del tutto l’uso di Google Analytics da parte dei titolari europei, ma anche – a maggior ragione – di qualsiasi importante fornitore di diritto USA che trasferisca o abbia accesso ai dati personali, in analoghe condizioni. Rivoluzionando ulteriormente un mercato – quello del digital advertising – già fortemente impattato dalla corrente ricerca di alternative ai cookie di terze parti e che potrebbe, a stretto giro, dover trovare alternative nell’Unione o in Paesi adeguati, per fornire servizi digitali essenziali per le imprese di oggi e per l’economia che vi è stata edificata.

La pronuncia qui riassunta è stata indirizzata a due soggetti diversi “sotto torchio”, per condotte avvenute nel 2020: da una parte una società austriaca che utilizzava i cookie di Google Analytcs, dall’altra la società americana di Google LLC (il servizio Analytics è reso dal 2021 da Google Ireland). Come già accaduto in passato (vedi il caso Mailchimp), si è andato a colpire un utilizzatore dell’Unione dei servizi extra-UE, stralciando la posizione di Google, rimandando a separata sede altri accertamenti nei suoi confronti, oltre al fatto di non aver comminato sanzioni trattandosi di provvedimento parziale, in itinere.

Commentando la disposizione, Schrems stesso ha affermato che “è fondamentale che i fornitori statunitensi non possano semplicemente spostare il problema sui clienti dell’UE. Abbiamo quindi presentato il caso anche contro il destinatario statunitense [Google]. Il DSB ha respinto in parte questo approccio. Rivedremo se ci appelleremo a questo elemento della decisione”.

Il testo del provvedimento è articolato e complesso, l’abbiamo scomposto di seguito per temi, così da facilitare la comprensione del lettore. Segnaliamo che il testo della pronuncia originaria (risalente a dicembre 2021 ma resa nota il 13 gennaio da NOYB) è per ora disponibile solo in tedesco, l’analisi è stata condotta su una traduzione inglese non ufficiale.

Sentenza Schrems II, gli impatti per Governi e imprese: ecco cosa è cambiato

Schrems II: è possibile trasferire dati personali negli USA?

Il tema di fondo è quello ormai notissimo del trasferimento (o accesso) di dati personali in Paesi terzi non adeguati rispetto alla protezione garantita dalla UE. Rimandiamo ad altra sede per una più completa analisi del tema, ricordando qui che dopo la sentenza Schrems II (che ha “affondato” il Privacy Shield per il flusso di dati verso gli Stati Uniti) non è più possibile essere in rapporti con soggetti di diritto USA – pur utilizzando strumenti del Capo V GDPR, ad es. le clausole standard della Commissione Europea, mero presidio contrattuale -, se non a fronte di una complessa valutazione nonché di eventuali misure supplementari, ai sensi delle Raccomandazioni EDPB nn. 1/2021 e 2/2021. Se l’esito di tale valutazione (c.d. “transfer assessment”) fosse di insufficiente “rimedio” o di assenza di misure supplementari, non si dovrebbe attuare alcun trasferimento. Pertanto, non utilizzare più i servizi forniti dal soggetto estero.

WHITEPAPER
GUIDA PRATICA contro il Phishing: scopri come tutelare la tua azienda!
CIO
Sicurezza

La Corte di Giustizia ha ben chiarito che l’attuale normativa degli Stati Uniti (vedi ad es. il FISA 702 per la possibile sorveglianza governativa) non garantisce affatto una tutela dei diritti e della libertà degli interessati equiparabile a quella comunitaria. Peraltro, nonostante i negoziati USA – UE in corso, sembra arduo che tali norme possano essere riformate “pro-eurozona” dall’establishment americano.

Nel provvedimento della DSB troviamo un ulteriore importante chiarimento: si afferma che le valutazioni afferenti al Capo V del GDPR (sui trasferimenti extra-UE – ne è esempio il transfer assessment) non sono concettualmente “risk-based” – a differenza di quanto dettato da altre disposizioni (come l’art. 32 circa le misure di sicurezza). Non si tratta dunque di graduare in una sua scalabile tollerabilità. In ogni caso, anche volendo insistere sull’ambito di rischio, stante la situazione secondo l’autorità si sarebbe dovuto parlare di un rischio elevato, impeditivo al trasferimento.

Un bel rebus è capire, nel caso concreto, se e come attuare misure (di cui l’EDPB fornisce alcuni esempi nelle Raccomandazioni) di tipo tecnico, organizzativo o legale, a tamponare la normativa americana e i suoi effetti – in molti casi misure davvero impossibili a trovarsi per i maggiori e più pervasivi servizi digitali usati dalle imprese.

Nel nostro caso, peraltro, si ricorda che Google è costantemente oggetto di richieste di accesso ai dati da parte del proprio governo, per ragioni di sicurezza ecc.: per confermarlo si consulti l’apposita pagina informativa.

Google Analytics: come funziona e che dati tratta

Tra i tanti offerti da Google, il servizio esaminato è quello di Google Analytics, avente una quota di mercato europeo del 33% circa nel 2021. Globalmente, i servizi omologhi di Google (combinandovi Google Universal Analytics e Google Global Site Tag) arrivano a coprire il 70% di tale mercato. È facile capire quanto sia diffuso e importante per le imprese del web a livello mondiale, non solo europeo.

Ma che cosa fa Google, precisamente, con questi cookie? Come recita Wikipedia: è un “servizio di web analytics gratuito fornito da Google che consente di analizzare delle dettagliate statistiche sui visitatori di un sito web”. Si tratta pertanto di un servizio di misurazione di traffico web ed “è utilizzato per osservare vari tipi di statistiche come la durata della sessione, la provenienza della visita, il numero di pagine visitate, le pagine più viste, la posizione geografica ecc. Può essere integrato con Google Ads e gli utenti possono analizzare le campagne online, monitorando la qualità delle pagine e la trasformazione della visita in obiettivo. Questi obiettivi possono includere vendite, lead generation, visualizzazioni di una specifica pagina o il download di un certo file”.

Oltre ad adottare un “page tag” in Javascript, cioè un codice di tracciamento utente, Google “imposta i first party cookie in ogni computer dei visitatori. Questo consente di memorizzare informazioni anonime come il tipo di visitatore (nuovo o di ritorno), la durata della visita e la fonte di provenienza della visita (diretto, organico o da sito referrer)”. Perciò abbiamo dati personali che vengono scritti nei cookie, poi “anonimizzati” con varie tecniche (dalla mascheratura dell’IP all’uso di identificatori sostitutivi) che – preciseremo fra poco – non sono lo stato dell’arte ai fini privacy.

Lato operativo, nel nostro caso è stato accertato che il titolare austriaco – utilizzatore di Google Analytics versione gratuita, rispetto al servizio Google Analytics 360 a pagamento – ha raccolto almeno l’indirizzo IP e i vari dati dei cookie dell’utente, poi trasferiti a Google.

Va precisato parimenti che il titolare austriaco non avrebbe attivato la funzione di IP anonymization (di mascheratura di parte dell’IP), a causa di un errore nel codice, quindi comunicandolo in chiaro e integralmente; oltre al fatto che il provvedimento si basa su un caso concreto in cui l’utente si sarebbe autenticato presso Google prima di navigare e utilizzare la pagina web del titolare austriaco. Al provider sarebbero comunque pervenuti vari ID online, tratti dal browser utente.

Questi sono i dati (personali) degli utenti austriaci trattati dalla società di Mountain View, come emerso dall’istruttoria:

  • identificatori online univoci, sia del browser che del dispositivo;
  • l’indirizzo, l’HTML del sito web e le sottopagine visitate;
  • informazioni sul browser, sul sistema operativo, sulla risoluzione dello schermo, sulla selezione della lingua, della data e dell’ora della visita al sito web;
  • l’indirizzo IP del dispositivo utilizzato.

Da ultimo, si è precisato che Google, per quanto e in quanto fornisca i servizi di Analytics (tacendo di eventuali, ulteriori trattamenti svolti in proprio), è da considerarsi responsabile del trattamento (ex art. 4 n. 8 GDPR), né titolare autonomo né contitolare. Solo il titolare austriaco avrebbe determinato finalità e mezzi del trattamento, richiedendo i servizi di Google e utilizzandone i frutti informativi statistici (i vari report ottenibili sono selezionati e impostati dal cliente stesso tramite dashboard da amministratore).

Si veda oltre per un confronto sui ruoli di importatore ed esportatore dei dati, circa le stesse parti.

Il difficile attributo di “identificabilità” a partire dai dati trattati

La prassi vuole che il titolare possa al massimo “pseudonimizzare”, non già anonimizzare ai sensi del GDPR – perché i dati permettono ancora la re-identificazione con procedura inversa – l’indirizzo IP scritto nei cookie trasmessi al provider, lasciando in chiaro altri aspetti come il tipo di dispositivo, il sistema operativo e sua versione eccetera.

Oltretutto l’autorità DSB, nel caso in parola, ha ribadito che la presunta forma di pseudonimizzazione praticata da Google e invocata agli atti, cioè l’uso di indirizzi IP, ID cookie, ID pubblicitari, ID utente univoci o altri identificatori online (in grado di permettere la re-identificazione degli utenti), non costituisce garanzia adeguata del rispetto dei principi di protezione dei dati o per salvaguardare i diritti degli interessati.

Anzi, si chiarisce che queste prassi nemmeno possono essere considerate forme di pseudonimizzazione. Tracciando i dispositivi è possibile risalire alle persone fisiche loro utilizzatrici e distinguerle in una platea (c.d. singling-out), indirizzando poi specifici messaggi o compiendo altre azioni mirate. Si badi a tale fondamentale concetto: per aversi individuazione non necessariamente si deve essere in grado di abbinare dei dati a un nome e un cognome, basta poter isolare un soggetto specifico, caratteristico, tra molti. Non è stata applicata una forma di crittografia end-to-end che avrebbe potuto, secondo l’autorità, ritenersi adeguata, scontrandosi con l’essenza del servizio stesso di Google: richiede necessariamente l’accesso ai dati (si veda oltre circa l’applicazione di misure tecniche nel trasferimento/accesso).

Nella sua pronuncia, la DSB è stata netta nel ricomprendere nell’alveo dei “dati personali” – riferibili a interessati identificati o “identificabili” ex art. 4 n. 1 GDPR, anche attraverso operazioni indirette di collegamento a un identificatore qualsiasi o a una o più caratteristiche particolari della persona – quelli trattati da Google tramite i cookie di Analytics.

Per l’autorità “non è necessario uno standard di ‘identificabilità’ secondo cui debba essere possibile associare immediatamente tali numeri di identificazione” a una precisa persona fisica. D’altro canto, per parlarsi di identificabilità si devono prendere in considerazione tutti i mezzi che possono essere utilizzati dal titolare del trattamento, o da terzi, per identificare la persona fisica: la cosiddetta “impronta digitale”, come quella ricavata dall’insieme dei dati trattati da Google, è riconosciuta come dato personale sia per l’univocità degli identificatori utilizzati, sia per la loro possibile combinazione con altri dati. Si veda quanto già detto in altra sede per il browser fingerprinting.

Il fingerprinting del browser: cos’è e come funziona il tracciamento delle nostre attività online

Il limite sta tutto qui: se si porta il concetto di identificabilità all’estremo, allora tutti i dati – persino quelli anonimi – possono essere considerati identificativi, ravvisandosi prima o poi qualcuno in grado di desumere, con varie tecniche ed elementi, a chi corrispondano i dati. Si afferma proprio nel testo che “il termine “chiunque” – e quindi l’ambito di applicazione dell’art. 4, par. 1, GDPR – non può essere interpretato in modo tale che qualsiasi attore sconosciuto possa teoricamente avere conoscenze specialistiche al fine di stabilire un riferimento personale; ciò porterebbe al risultato per cui quasi tutte le informazioni rientrerebbero nell’ambito di applicazione [della normativa privacy] e una distinzione dai dati non personali diventerebbe difficile o addirittura impossibile”.

Ecco perché la DSB ricorda che il GDPR (v. Considerando 26) pone come argine a tale estremizzazione due requisiti: (i) i mezzi legalmente consentiti (nonché probabilmente utilizzati) e (ii) uno sforzo ragionevole, da parte di chi voglia o possa identificare l’interessato (ribadiamo, che sia il titolare o un terzo).

Nel caso di specie vi sono alcuni soggetti – come Google – che possiedono conoscenze tali (ad es. big data set precedentemente costituiti) da poter (re)identificare un interessato a partire dai dati presenti nei cookie, ne sussistono tutte le possibilità.

Rimarca l’autorità che il GDPR stesso parla di mezzi di cui chiunque “può ragionevolmente avvalersi” a fini identificativi in via potenziale – nemmeno esigendo che sia stata effettivamente identificata una persona, basta la possibilità teorica. Sussiste sempre lo spettro dell’incrocio dei dati: a prescindere dal suo potere identificativo in sé, l’identificatore di Google Analytics “può in ogni caso essere combinato con altri elementi e può anche essere associato a un account Google” attribuibile a una persona fisica.

Circa la questione della mascheratura dell’IP, si badi che – sebbene nel caso concreto il titolare austriaco non l’abbia attuata, l’abbiamo annotato poco fa – “in ogni caso è solo uno dei tanti ‘pezzi del puzzle’ dell’impronta digitale”, di per sé non è sufficiente a garantire un’effettiva pseudonimizzazione.

Aggiunge l’autorità che Google – consentendo all’utente di attivare (opt-in) e disattivare (opt-out) gli annunci personalizzati – dimostra una volta di più di possedere tutti i mezzi per identificare l’interessato. Ed è proprio del funzionamento di Google Analytics l’essere implementato sul maggior numero possibile di siti web, al fine di raccogliere informazioni sui visitatori.

Schrems II vs. Google Analytics: identificare misure supplementari adeguate

Nel caso di specie, l’autorità di controllo ha verificato le misure supplementari che la società di Mountain View ha dichiarato di aver implementato nel suo accordo di nomina a responsabile (addendum “DPA”), comprensivo di basi di trasferimento ai sensi del GDPR e misure supplementari come raccomandato da EDPB.

Tali concrete misure sono state ritenute però complessivamente insufficienti: “non eliminano le possibilità di sorveglianza e di accesso da parte dei servizi di intelligence statunitensi”, intimando al titolare austriaco “una rimozione completa dello strumento [di Google] e si raccomanda una modifica a un altro strumento senza trasferimento di dati negli Stati Uniti” – una conclusione applicabile non solo a Google, come si può facilmente intuire. Lo stesso Schrems ha commentato in merito che “invece di adattare i servizi per essere conformi al GDPR, le aziende statunitensi hanno cercato di aggiungere semplicemente del testo alle loro politiche sulla privacy e ignorare la Corte di Giustizia”, integrando nei DPA varie misure supplementari, pur insufficienti, per evitare gli effetti sostanziali della Schrems II.

Ricollegandosi a quanto detto prima, le autorità americane potrebbero aver avuto accesso – tramite Google – ai dati raccolti tramite i cookie austriaci, identificando gli interessati utenti, ad es. combinando eventualmente più fonti di dati (di cui certo non saranno ragionevolmente privi).

Anzi, si ricordi che la stessa sentenza Schrems II sottolineava il pericolo – incompatibile col GDPR – del “possibile” accesso delle autorità statunitensi ai dati, lesivo del diritto fondamentale alla protezione dei dati ai sensi dell’art. 8 della Carta dei Diritti Fondamentali dell’UE. L’autorità austriaca nell’articolato è secca nel rifiutare ogni valutazione sul tipo di dati e utilizzi possibili o sulle tempistiche di trattamento, ravvisando un pericolo in re ipsa.

Se riprendiamo quanto detto sopra circa i ruoli, virati nel contesto del Capo V del GDPR (quello dedicato ai trasferimenti di dati), Google avrebbe agito quale “importatore” negli USA dei dati conferiti dall’esportatore (cioè il titolare austriaco). L’esportatore era il soggetto che avrebbe dovuto rispettare la normativa del Capo V circa i trasferimenti, come riassunta in precedenza, pertanto è stato ritenuto l’unico a dover rispondere di tale condotta. Ciò perché – a dire dell’autorità – l’importatore di dati non divulgherebbe i dati personali, limitandosi a riceverli, al contrario dell’esportatore.

Vediamo in concreto che tipo di misure supplementari si è auto-prescritta Google nel proprio DPA:

  • da subito l’autorità scarta quelle meramente contrattuali, pur previste, perché non possono avere alcun effetto sulle autorità straniere che vogliano avere accesso ai dati, sulla base di norme estere; resta una loro possibile funzione di rafforzare e integrare le garanzie di tutela offerte dallo strumento giuridico, dalla base legale di trasferimento adottata;
  • si passa a quelle organizzative, ad es. l’attento esame di ogni richiesta, la previsione di una notifica delle eventuali richieste di dati all’interessato, la pubblicazione di un rapporto di trasparenza o di linee guida adottate per la gestione delle richieste governative: nemmeno queste sono ritenute idonee, non essendo fornita alcuna spiegazione di come possano impedire i famigerati accessi;
  • restano quelle tecniche: si menzionano ad es. la protezione della comunicazione tra i servizi di Google, dei dati in transito tra i data center, della comunicazione tra utenti e siti web – cioè nulla che possa effettivamente minare la possibilità di accesso dei servizi di intelligence statunitensi; idem per la crittografia, sì invocata ma per i dati “a riposo” nei propri data center, di cui Google detiene le chiavi di codifica; in sostanza, avendo accesso ai dati “in chiaro”, nessuna delle citate misure può avere un effetto preclusivo verso i paventati accessi statali.

Il provvedimento si spinge ad affermare perentoriamente che “nessun altro strumento ai sensi del Capo V del GDPR può essere utilizzato per il trasferimento dei dati”. Conseguenza logica e inesorabile di quanto sancito dalla Schrems II, stando alle valutazioni effettuate in questa vicenda – almeno circa le argomentazioni e i documenti così come sono stati esaminati nel giudizio austriaco. Ciò comporta che circa l’uso di Google Analytics – di per sé – risulta davvero arduo ipotizzare misure supplementari che possano permetterne l’uso e, al contempo, preservare il livello di tutela a cui ambisce il GDPR.

Rammentiamo da ultimo che Google fa parte di un gruppo societario (la holding è Alphabet Inc., di diritto USA, con sede a Mountain View): nell’ipotesi nella quale l’utilizzatore UE utilizzasse la società irlandese del gruppo, di fatto la compagine americana potrebbe sempre esercitare il suo controllo (dovendo ottemperare alle richieste di accesso dalle autorità USA) sulle proprie società europee. Restituendo infine il medesimo risultato critico per i dati trattati dalle stesse.

La “replica” di Google sul blog europeo

In data 13 gennaio scorso, in conseguenza della notizia austriaca (sebbene non vi sia menzionata espressamente), Google ha pubblicato un comunicato intitolato “Some facts about Google Analytics data privacy”, a firma di Russell Ketchum (direttore e product manager di Analytics). In questo comunicato l’azienda, evidentemente teso a rassicurare clienti e utenti, resta ferma sulle sue posizioni difensive, come emerse già negli atti del procedimento, ribadendo che:

  • il servizio Analytics non è destinato alla profilazione o al tracciamento bensì alla sola analisi di traffico;
  • sono i clienti di Analytics ad avere il controllo su dati raccolti suo tramite;
  • vengono forniti agli stessi svariati controlli e risorse per essere compliant (ad es. tramite la mascheratura dell’IP, per cui secondo Google si otterrebbero dati anonimi);
  • gli utenti possono adottare il plugin messo a disposizione da Google stessa per la disattivazione di Analytics tramite browser;
  • Analytics non può essere utilizzato per mostrare annunci pubblicitari mirati basati su dati sensibili (come salute, etnia, orientamento sessuale ecc.);
  • i dati di Analytics possono essere trasferiti solo quando vengono soddisfatte condizioni di privacy specifiche e rigorose (si menziona ad es. l’uso di standard di “sicurezza” come la ISO 27001).

Analytics: ecco i chiarimenti privacy di Google, che non convincono del tutto

Conclusioni

Letta la pronuncia austriaca, saranno necessarie varie riflessioni, in attesa degli ulteriori passi previsti dall’iter amministrativo (inclusi i separati accertamenti a carico di Google per la posizione stralciata in quello attuale).

Tuttavia, come non pensare da subito alle linee guida cookie del Garante italiano, in vigore dal 10 gennaio? In queste linee guida si prevede che si possano considerare cookie assimilati a quelli tecnici essenziali quelli statistici (come quelli di Google Analytics) – pertanto non soggetti a consenso – purché venga mascherata una porzione dell’IP utente e il terzo non incroci i dati raccolti con altri.

Ebbene viene da chiedersi se nei confronti dei cookie Google Analytics ciò possa reggere: abbiamo letto quanto sia argomentabile la perdurante capacità identificativa dei dati, se pensati in mano al colosso statunitense e al collegato bacino di dati (personali e non). Inoltre, anche ipotizzando di reinquadrare tali cookie come analitici, soggetti al consenso dell’utente, resta del tutto scoperto il complesso tema del trasferimento/accesso dei dati negli USA, di ardua soluzione circa le misure efficaci a rimedio.

Lo stesso ragionamento può applicarsi ad altri colossi del settore, come ad es. Facebook (ora Meta), in forza delle analoghe caratteristiche e dei bacini di dati utilizzabili.

Insomma, l’effetto di questa pronuncia – se, come pare, sarà solo la prima di una lunga serie a catena in tutta Europa – potrebbe dilagare oltre il singolo caso e il territorio austriaco: si rischia di bloccare l’utilizzo di molti cookie e strumenti di tracciamento di matrice statunitense, per tacere di servizi come il cloud computing e altri per i quali siano in gioco le stesse dinamiche.

Un ultimo pensiero va alla discussa c.d. digital sovereignty UE, cioè la capacità dell’Unione di far fronte, lato fornitori, alla richiesta di servizi digitali competitivi per le imprese dei suoi Stati, senza ricorrere a Paesi terzi.

Se l’effetto delle normative e di queste pronunce potrà essere quello di indirizzare le imprese verso fornitori interni, allora il mercato digitale europeo (ricordiamo ad es. il pluri-annunciato e pluri-rimandato progetto cloud Gaia-X) sarà pronto ad accoglierle? La teoria ha fatto i conti con la pratica della sostenibilità e maturità dei fornitori?

Forse per i cookie è già possibile, per altri ambiti si tratta ancora di una partita aperta.

INFOGRAFICA
I migliori data analytics tools a confronto: CHI VINCE?
Big Data
Datacenter
@RIPRODUZIONE RISERVATA

Articolo 1 di 2