Google Analytics, l’incompatibilità con il GDPR e il problema del trasferimento dei dati negli USA

Il Garante della Privacy italiano, appena 4 mesi fa, ha dichiarato (per un caso specifico nel quale era stato chiamato a pronunciarsi ) illegittimo l’utilizzo di Google Analytics sui siti web. Prima di lui erano già intervenuti sul tema il Garante della privacy Austriaco e quello Francese, i quali si erano pronunciati anch’essi proprio sull’inadeguatezza delle misure di protezione dei dati personali messe in atto dal colosso Californiano.

Attraverso la propria pronuncia, in particolare, il Garante della Privacy italiano ha definito illegittimo l’utilizzo di Google Analytics poiché questo comporterebbe di fatto il trasferimento dei dati degli utenti verso un paese, gli Stati Uniti, più volte valutato come inadeguato rispetto agli standard e alle regole europee di protezione dei dati personali. Anche se, come sopra accennato, detta pronuncia ha riguardato ed interessato essenzialmente il caso specifico per il quale il Garante della Privacy era stato chiamato a pronunciarsi, possiamo comunque da qui ottenere delle indicazioni utili, applicabili a tutti i siti (italiani) che utilizzano appunto il servizio di Google Analytics.

Nel presente articolo quindi analizzeremo innanzitutto cos’è e come funziona Google Analytics per poi entrare più nel dettaglio e capire come questo strumento entra in aperto contrasto con le disposizioni del GDPR e quali possono essere le precauzioni da poter prendere da parte del proprietario di un sito web che utilizza questo servizio e che si trovi a ricevere richieste di cancellazione di dati da parte di un interessato del trattamento .

Cos’è Google Analytics e come funziona?

Google Analytics (anche conosciuto più brevemente come GA) è uno strumento fornito dalla società statunitense Google ai gestori di tutti i siti web. Questo strumento permette di analizzare, a livello statistico, l’utilizzo di un determinato sito web da parte degli utenti, di conseguenza ottimizzando i servizi resi e permettendo altresì di monitorare le campagne di advertising.

Per far ciò Google Analytics raccoglie e necessita di determinate informazioni riguardanti gli utenti, tra le quali: il browser, il dispositivo o il sistema operativo utilizzato; l’indirizzo, il nome del sito web e/o altri eventuali dati di navigazione; l’indirizzo IP del dispositivo utilizzato; la lingua selezionata, l’ora e la data della visita. Tali informazioni costituiscono a tutti gli effetti, a norma del GDPR, dati personali, perché consentono di fatto di identificare (anche se indirettamente) l’utente. Quando poi l’utente decida di visitare un sito web accedendo con il proprio account Google, allora i dati di cui sopra possono essere incrociati con tutti gli altri di cui Google è già in possesso (es. numeri di telefono, data di nascita, immagine del profilo, ecc).

E’ facile comprendere quindi come l’utilizzo di Google Analytics comporti effettivamente un vero e proprio trattamento di dati personali degli utenti.

Google Analytics e il problema del trasferimento di dati in un paese extra UE

Ma il vero e proprio nodo cruciale della questione sta nel fatto che, a tutto quanto detto nel paragrafo precedente, si aggiunge poi che questo trattamento viene effettuato da una società americana. Utilizzare il servizio di Google Analytics comporta infatti il trasferimento dei dati degli utenti verso la società madre di Google, Google LLC, con sede in California, negli Stati Uniti e questo comporta il trasferimento dei dati degli utenti al di fuori dello Spazio Economico Europeo.

Il GDPR permettere in realtà il trasferimento di dati dei cittadini europei verso paesi extra-UE, purché però queste nazioni soddisfino gli standard di “adeguatezza“ riconosciuti dalla Commissione Europea, ovvero che garantiscono un livello di protezione adeguato alle richieste della normativa privacy europea.

Il trasferimento di dati verso paesi valutati “non adeguati” potrebbe quindi avvenire solo in presenza di alcune circostanze, come l’adozione di clausole contrattuali standard o in presenza di altre garanzie. A ben vedere la situazione negli Stati Uniti non corrisponde però a quanto richiesto dalla commissione. Già due anni fa infatti la Corte Europea, con la famosissima pronuncia Shrems II, ha dichiarato gli Stati Uniti un paese non adeguato agli standard europei per l’esistenza di norme federali che permettono alle Autorità statunitensi di accedere ai dati personali degli utenti, in deroga al diritto alla riservatezza.

Per trasferire dati in un paese come gli Stati Uniti sarebbe quindi necessario che il trasferimento avvenisse in presenza di circostanze in grado di garantire il livello di protezione dei dati richiesto dal GDPR quali appunto l’adozione di clausole contrattuali standard oppure in presenza di altre garanzie adeguate per un elevato livello di protezione dei dati personali.

Il trasferimento dei dati in paesi extra UE ai sensi degli artt. 44-50 GDPR

Il GDPR detta quindi delle regole ben precise in tema, considerando lecito il trasferimento dei dati verso paesi extra soltanto qualora si faccia ricorso agli strumenti richiamati nella normativa stessa, in particolare alle clausole contrattuali standard e/o alle altre misure di protezione supplementari.

Le clausole contrattuali standard sono definite dalla Commissione Europea come clausole contenenti misure atte a garantire che il trasferimento dei dati personali verso paesi terzi avvenga nel rispetto del livello di protezione richiesto dal GDPR.

Fino a qualche tempo fa, tra gli strumenti per legittimare il trasferimento dei dati in paesi extra ue, vi era proprio l’utilizzo delle clausole contrattuali standard rappresentate dai termini di utilizzo di Google Analytics. Il Garante della Privacy italiano ha poi appurato che il livello di protezione dei dati degli utenti non può essere effettivamente garantito dal diritto statunitense, ciò perché esistono all’interno del paese norme federali che permettono di fatto di accedere ai dati personali degli utenti, aggirando di fatto il diritto alla riservatezza degli stessi.

A tali clausole si aggiungono poi le misure di protezione supplementari che dovrebbero garantire un livello di protezione adeguato a quanto richiesto dalla vigente normativa privacy.

Anche in questo caso il Garante ha però verificato che dette misure non potevano reputarsi idonee da parte di Google poiché l’IP Anonymization garantito dalla società californiana consiste in una troncatura parziale dell’indirizzo IP dell’utente e in ogni caso il colosso americano è sempre in grado di identificare l’utente, possedendo lui stesso la chiave di lettura dei dati.

Consigli di utilizzo di Google Analytics sui siti web

Oggi Google Analytics è uno degli strumenti più utilizzati e diffusi sui siti web e, nonostante le criticità che presenta, può esservi comunque uno spazio di manovra da parte del titolare del sito stesso per dar risposta ad eventuali richieste di cancellazione dati che pervengono da parte degli interessati del trattamento.

Naturalmente, qualora si utilizzi Google Analytics anonimizzato, non si potrà procedere alla cancellazione dei dati personali dell’interessato; questo perché in detto caso le informazioni non saranno in possesso del proprietario del sito web stesso; non si potranno avere quindi le informazioni necessarie per procedere alla cancellazione dei dati proprio perché non si dispone del dato personale che dovrebbe essere cancellato.

Qualora invece si utilizzi Google Analytics non anonimizzato si dovrà procedere, invece, alla cancellazione dei dati (così come richiesto dall’interessato del trattamento stesso) e una volta che questi siano stati cancellati, il titolare del sito web dovrà notificare l’avvenuta cancellazione all’interessato. Per far ciò e per intervenire correttamente è necessario quindi avere e tenere aggiornato, in qualità di titolare del trattamento, il registro delle richieste degli interessati all’ interno del quale dovranno essere inserite tutte le richieste pervenute da parte dei vari interessati al trattamento, con anche l’ indicazione della data della richiesta e la modalità di gestione ed evasione della stessa (rispettando chiaramente non solo il termine di 30 giorni previsto dal Regolamento europeo n. 679/16 ma anche osservando l’obbligo di notificare poi all’interessato la cancellazione del dato che lo riguardava).