• About Author

  • Tutta l'Informazione Ninja nella tua mail

  • Ecco cosa dice il Garante: no, non basta utilizzare Google Analytics 4 per essere in regola

    Domande e risposte sulle comunicazioni formali della CNIL relative all'uso di Google Analytics

    6 Luglio 2022

    Il 7 giugno 2022 la CNIL (Commission nationale de l’informatique et des libertés) ha inviato una diffida formale a diverse organizzazioni a conformarsi all’uso di Google Analytics, a causa del trasferimento dei dati negli Stati Uniti senza sufficienti garanzie per i diritti degli utenti europei. Quali sono le conseguenze per le organizzazioni? Questa FAQ riguarda solo le decisioni di avviso formale della CNIL sull’uso di Google Analytics in seguito all’invalidazione del Privacy Shield. La dichiarazione congiunta della Commissione europea e degli Stati Uniti del marzo 2022 su una futura decisione di regolamentare adeguatamente i flussi di dati verso gli Stati Uniti è al momento solo un annuncio politico. Il 6 aprile il GEPD (Garante europeo della protezione dei dati) ha rilasciato una dichiarazione in cui chiarisce che tale dichiarazione non costituisce un quadro giuridico su cui le organizzazioni possono fare affidamento per trasferire i dati negli Stati Uniti. Abbiamo programmato un webinar con un vero esperto in materia per comprendere meglio risvolti e potenziali alternative al GA Ban: Giovanni Maria Riccio, partner dello Studio Legale E-Lex. webinar con Giovanni Maria Riccio

    <<Venerdì 8 Luglio, alle 13.30 su Zoom. Clicca qui per partecipare>>

    Cosa è successo in Italia

    Il sito web che utilizza il servizio Google Analytics (GA), senza le garanzie previste dal Regolamento Ue, viola la normativa sulla protezione dei dati perché trasferisce negli Stati Uniti, Paese privo di un adeguato livello di protezione, i dati degli utenti. garante della privacy - google-analytics Lo ha affermato il Garante per la privacy a conclusione di una complessa istruttoria avviata sulla base di una serie di reclami e in coordinamento con altre autorità privacy europee. Dall’indagine del Garante è emerso che i gestori dei siti web che utilizzano GA raccolgono, mediante cookie, informazioni sulle interazioni degli utenti con i predetti siti, le singole pagine visitate e i servizi proposti. Tra i molteplici dati raccolti, indirizzo IP del dispositivo dell’utente e informazioni relative al browser, al sistema operativo, alla risoluzione dello schermo, alla lingua selezionata, nonché data e ora della visita al sito web. Tali informazioni sono risultate oggetto di trasferimento verso gli Stati Uniti. Nel dichiarare l’illiceità del trattamento è stato ribadito che l’indirizzo IP costituisce un dato personale e anche nel caso fosse troncato non diverrebbe un dato anonimo, considerata la capacità di Google di arricchirlo con altri dati di cui è in possesso. All’esito di tali accertamenti il Garante ha adottato il primo di una serie di provvedimenti con cui ha ammonito Caffeina Media S.r.l. che gestisce un sito web, ingiungendo alla stessa di conformarsi al Regolamento europeo entro novanta giorni. Il tempo indicato è stato ritenuto congruo per consentire al gestore di adottare misure adeguate per il trasferimento, pena la sospensione dei flussi di dati effettuati, per il tramite di GA, verso gli Stati Uniti. Il Garante ha evidenziato, in particolare, la possibilità, per le Autorità governative e le agenzie di intelligence statunitensi, di accedere ai dati personali trasferiti senza le dovute garanzie, rilevando al riguardo che, alla luce delle indicazioni fornite dall’EDPB (Raccomandazione n. 1/2020 del 18 giugno 2021), le misure che integrano gli strumenti di trasferimento adottate da Google non garantiscono, allo stato, un livello adeguato di protezione dei dati personali degli utenti. Con l’occasione l’Autorità richiama all’attenzione di tutti i gestori italiani di siti web, pubblici e privati, l’illiceità dei trasferimenti effettuati verso gli Stati Uniti attraverso GA, anche in considerazione delle numerose segnalazioni e quesiti che stanno pervenendo all’Ufficio. E invita tutti i titolari del trattamento a verificare la conformità delle modalità di utilizzo di cookie e altri strumenti di tracciamento utilizzati sui propri siti web, con particolare attenzione a Google Analytics e ad altri servizi analoghi, con la normativa in materia di protezione dei dati personali. Allo scadere del termine di 90 giorni assegnato alla società destinataria del provvedimento, il Garante procederà, anche sulla base di specifiche attività ispettive, a verificare la conformità al Regolamento Ue dei trasferimenti di dati effettuati dai titolari. Fonte: Sito Ufficiale del Garante per la Protezione dei Dati Personali

    Cosa dobbiamo imparare dalle comunicazioni formali emesse dalla CNIL

    Il contesto

    Il 16 luglio 2020, la Corte di giustizia dell’Unione europea ha emesso un’importante sentenza: il Privacy Shield, che regolava i trasferimenti di dati tra l’Unione europea e gli Stati Uniti, è stato invalidato perché non offriva garanzie adeguate contro il rischio di accesso illecito da parte delle autorità americane ai dati personali dei residenti europei. Solo se le organizzazioni adottano ulteriori garanzie tecniche, legali e organizzative per impedire tale accesso, tali trasferimenti potrebbero essere effettuati nella pratica. Nell’agosto 2020, NOYB ha presentato 101 reclami a varie autorità europee per la protezione dei dati su siti web che utilizzano, tra gli altri, il diffusissimo strumento di analisi web Google Analytics, la cui società madre ha sede negli Stati Uniti.

    La decisione

    Nella comunicazione formale emessa il 10 febbraio 2022 in merito a una di queste organizzazioni, la CNIL ha ritenuto che :
    • le misure messe in atto da Google non sono sufficienti a escludere la possibilità di accesso ai dati dei residenti europei; i dati degli utenti
    • europei di Internet vengono quindi trasferiti illegalmente attraverso questo strumento.

    Perché l’avviso pubblicato online è stato reso anonimo?

    Una delle comunicazioni formali relative all’uso di Google Analytics è stata pubblicata in forma anonima sul sito web della CNIL il 16 febbraio 2022. La decisione è stata resa anonima perché non è sembrato utile nominare un particolare editore di siti web, dato che lo strumento è ampiamente utilizzato. L’obiettivo è che tutti i responsabili del trattamento dei dati che utilizzano questo strumento siano conformi.

    Le organizzazioni hanno una scadenza per la conformità?

    Le organizzazioni notificate hanno un mese di tempo per conformarsi e giustificare tale conformità alla CNIL. Questo periodo di un mese può essere rinnovato su richiesta delle organizzazioni interessate. Tutti i responsabili del trattamento dei dati che utilizzano Google Analytics in modo simile a queste organizzazioni devono ora considerare questo uso come illegale ai sensi del GDPR. Dovrebbero quindi rivolgersi a un fornitore che offra sufficienti garanzie di conformità

    Questa interpretazione delle conseguenze della sentenza “Schrems II” della CNIL è condivisa a livello europeo?

    Al fine di armonizzare le decisioni e fornire certezza giuridica alle parti interessate, le autorità europee che hanno ricevuto reclami dall’associazione NOYB (none of your business) sul tema dei trasferimenti di Google Analytics si sono organizzate in un gruppo di lavoro per esaminare insieme le questioni legali sollevate in questi casi e coordinare le loro posizioni e decisioni. La decisione della CNIL non è la prima a livello europeo: un mese prima della CNIL, l’autorità austriaca per la protezione dei dati ha emesso a gennaio una prima decisione che va nella stessa direzione di quella dell’autorità francese.

    Perché i reclami presentati dall’associazione NOYB non sono stati trattati contemporaneamente?

    Tutti i reclami presentati dall’associazione NOYB e deferiti alla CNIL sono stati esaminati in modo coordinato: tuttavia, le situazioni sono state esaminate caso per caso e in base alle risposte fornite dalle organizzazioni. Tutte le organizzazioni francesi il cui utilizzo di Google Analytics è stato oggetto di reclami da parte della NOYB hanno ricevuto una notifica formale.

    Esistono clausole contrattuali standard e garanzie aggiuntive per consentire l’utilizzo di Google Analytics?

    Gli intervistati avevano stabilito con Google clausole contrattuali standard, che Google offre di default agli utenti di questa soluzione. Queste clausole contrattuali standard non possono da sole fornire un livello di protezione sufficiente in caso di richiesta di accesso da parte di autorità straniere, in particolare se tale accesso è previsto dalle leggi locali. Nella sua risposta alle richieste della CNIL, Google ha indicato di aver messo in atto misure legali, organizzative e tecniche aggiuntive, che tuttavia sono state ritenute insufficienti a garantire l’effettiva protezione dei dati personali trasferiti, in particolare contro le richieste di accesso ai dati da parte dei servizi segreti statunitensi.

    È possibile impostare lo strumento Google Analytics in modo che i dati personali non vengano trasferiti al di fuori dell’Unione Europea?

    No. In risposta al questionario inviato dalla CNIL, Google ha indicato che tutti i dati raccolti tramite Google Analytics sono ospitati negli Stati Uniti. Anche in assenza di trasferimento, l’utilizzo di soluzioni offerte da aziende soggette a giurisdizioni extra-UE può comportare difficoltà in termini di accesso ai dati. In effetti, le organizzazioni possono essere obbligate dalle autorità di paesi terzi a divulgare i dati personali ospitati su server situati nell’UE. L’articolo 48 del GDPR limita tale divulgazione ai casi in cui il Paese terzo richiedente e l’UE o lo Stato membro interessato siano parti di un accordo internazionale che preveda tale divulgazione.

    È possibile impostare Google Analytics in modo che trasferisca solo dati anonimi negli Stati Uniti?

    Nel contesto della comunicazione formale, Google ha indicato che utilizza misure di pseudonimizzazione, ma non di anonimizzazione. Google offre l’anonimizzazione degli indirizzi IP, ma non è applicabile a tutti i trasferimenti. Inoltre, dalle prove fornite da Google non è chiaro se questa anonimizzazione avvenga prima del trasferimento negli Stati Uniti. Inoltre, il semplice utilizzo di identificatori univoci per differenziare gli individui può rendere i dati identificabili, soprattutto se combinati con altre informazioni come i metadati del browser e del sistema operativo. Questi dati consentono di tracciare con precisione gli utenti, in alcuni casi su più dispositivi. Se il GEPD ammette nelle sue raccomandazioni del 18 giugno 2021 la possibilità di utilizzare la pseudonimizzazione come misura supplementare, il suo utilizzo è soggetto a un’analisi volta a garantire che tutte le informazioni trasmesse non consentano in alcun modo la reidentificazione della persona, anche tenendo conto dei mezzi sostanziali a disposizione delle autorità che potrebbero voler effettuare tale reidentificazione. Infine, l’uso congiunto di Google Analytics con altri servizi di Google, in particolare con i servizi di marketing, può aumentare il rischio di tracciamento. In effetti, questi servizi, molto diffusi in Francia, possono consentire un controllo incrociato dell’indirizzo IP e quindi tracciare la cronologia di navigazione della maggior parte degli utenti di Internet su un gran numero di siti.

    Differenza tra anonimizzazione e pseudonimizzazione

    La pseudonimizzazione è il trattamento dei dati personali in modo tale che non sia più possibile attribuirli a una persona fisica senza ulteriori informazioni. In pratica, la pseudonimizzazione consiste nel sostituire i dati direttamente identificativi (cognome, nome, ecc.) in un set di dati con dati indirettamente identificativi (alias, numero sequenziale, ecc.). L’anonimizzazione consiste nell’utilizzare un insieme di tecniche in modo tale da rendere impossibile, in pratica, l’identificazione della persona con qualsiasi mezzo e in modo irreversibile. I dati anonimizzati non sono più soggetti al GDPR.

    La crittografia potrebbe essere una garanzia aggiuntiva sufficiente?

    Sì, ma a determinate condizioni. L’implementazione della crittografia dei dati da parte di Google si è rivelata una misura tecnica insufficiente, in quanto Google LLC stessa cripta i dati ed è obbligata a consentire l’accesso o a fornire i dati importati in suo possesso, comprese le chiavi di crittografia necessarie per rendere i dati intelligibili. Poiché Google LLC mantiene la possibilità di accedere ai dati delle persone in chiaro, tali misure tecniche non possono essere considerate efficaci in questo caso. La crittografia è quindi una garanzia aggiuntiva insufficiente se l’organizzazione soggetta alle richieste delle autorità statunitensi può accedere ai dati personali in chiaro. Affinché la crittografia sia considerata una salvaguardia aggiuntiva sufficiente, le chiavi di crittografia dovrebbero, tra l’altro, essere tenute sotto il controllo esclusivo dell’esportatore dei dati o di altri soggetti stabiliti in un territorio che offra un livello di protezione adeguato.

    Ci sono sufficienti garanzie aggiuntive per continuare a utilizzare il solo strumento di Google Analytics?

    Nessuna delle garanzie aggiuntive presentate alla CNIL nel contesto della messa in mora impedirebbe o renderebbe inefficace l’accesso dei servizi di intelligence statunitensi a i dati personali degli utenti europei quando si utilizza esclusivamente lo strumento Google Analytics. Tuttavia, può essere possibile una soluzione che preveda il coinvolgimento di un server proxy per evitare il contatto diretto tra il terminale dell’utente Internet e i server dello strumento di misura. Tuttavia, occorre garantire che questo server soddisfi una serie di criteri per poter ritenere che questa misura aggiuntiva sia in linea con quanto previsto dal GEPD nelle sue raccomandazioni del 18 giugno 2021.

    È possibile continuare a trasferire i dati con il consenso esplicito delle persone?

    Il consenso esplicito degli interessati è una delle possibili deroghe previste per alcuni casi specifici dall’articolo 49 del GDPR. Tuttavia, come indicato nelle linee guida del Comitato europeo per la protezione dei dati su queste deroghe, esse possono essere utilizzate solo per trasferimenti non sistematici e non possono costituire una soluzione permanente e a lungo termine, in quanto il ricorso a una deroga non può diventare la regola generale.

    Esistono strumenti alternativi?

    La CNIL ha pubblicato un elenco di strumenti di misurazione dell’audience che, se correttamente configurati, possono essere esenti dal consenso. Questo elenco comprende strumenti che hanno già dimostrato alla CNIL di poter essere configurati in modo da limitarsi a quanto strettamente necessario per la fornitura del servizio, e quindi di non richiedere il consenso dell’utente, ai sensi dell’articolo 82 della legge sulla protezione dei dati. Tuttavia, questo elenco non prende attualmente in considerazione le questioni sollevate dai trasferimenti internazionali, comprese le conseguenze della sentenza “Schrems II”. Come garantire che gli strumenti di misurazione dell’audience non trasferiscano i dati a un paese terzo non appropriato? Nel caso in cui lo strumento previsto trasferisca dati al di fuori dell’Unione Europea o la società che pubblica lo strumento abbia legami patrimoniali o organizzativi con una società madre situata in un paese che prevede la possibilità per i servizi di intelligence di richiedere l’accesso a dati personali situati in un altro territorio, è necessario valutare il quadro giuridico del paese terzo. Questa valutazione può basarsi su :
    • decisioni della CGUE o della Corte europea dei diritti dell’uomo, che hanno potuto valutare la conformità di determinate legislazioni agli standard europei di protezione dei dati;
    • le raccomandazioni della CNIL europea, che hanno, ad esempio, dettagliato le garanzie essenziali che devono essere presenti nel Paese terzo quando si valuta il livello di protezione dei dati.
    È inoltre possibile utilizzare il metodo della proxyfication che, se correttamente configurato, consente di inviare a un server al di fuori dell’Unione europea solo dati pseudonimizzati.

    I responsabili del trattamento possono adottare un approccio basato sul rischio, tenendo conto della probabilità di richieste di accesso ai dati?

    No. I dati personali trasferiti in un Paese al di fuori dell’Unione Europea devono beneficiare di un livello di protezione “sostanzialmente equivalente” a quello garantito nell’UE. In particolare, la possibilità di un accesso illegale ai dati personali che vada oltre quanto necessario e proporzionato in una società democratica da parte delle autorità pubbliche mina gravemente i diritti e le libertà fondamentali degli interessati. Nel caso in cui tale accesso sia possibile (e non solo quando l’accesso è probabile) e le garanzie che circondano l’emissione di richieste di accesso ai dati non siano sufficienti ad assicurare un livello di protezione dei dati sostanzialmente equivalente a quello garantito nell’UE (si vedano le raccomandazioni del GEPD sulle garanzie essenziali), sono necessarie misure tecniche aggiuntive per rendere tale accesso impossibile o inefficace. Queste misure sono previste dalle raccomandazioni sulle misure complementari ai trasferimenti del Comitato europeo per la protezione dei dati.