Il Garante Privacy italiano il 9 giugno 2022, con il Provv. numero 224, si è allineato alla posizione anti-GoogleAnalytics degli omonimi di Austria e Francia nonché dell’EDPS.
Nonostante l'IP anonimizzato, una volta trasferiti negli USA, i dati “anonimi” possono essere riassemblati con ulteriori informazioni su di noi detenute da Google e di fatto resi intellegibili. Così il Garante «l'indirizzo IP costituisce un dato personale e anche nel caso fosse troncato non diverrebbe un dato anonimo, considerata la capacità di Google di arricchirlo con altri dati di cui è in possesso». I Garanti stellati, ad effetto domino, stanno vietando Google Analytics per i siti europei perché l'UE non vuole correre il rischio che il governo statunitense acceda alle informazioni sulla società europea costringendo Google alla disclosure grazie all'articolo 702 del FISA Foreign Intelligence Surveillance Act del 1978 e all'Executive Order EO 12333. Questo provvedimento fornisce una soluzione inequivocabile anche al nostro DPO che a maggio si era trovato di fronte alla diffida di Monitorapa si veda “ Google Analytics e PA cosa può fare il DPO diffidato da Monitorapa? Due soluzioni pratiche ” . La soluzione è disattivare Google Analytics e sostituirlo con un servizio similare di un fornitore UE. Il caso Il sito web di una testata giornalistica di gossip viene segnalato al Garante Privacy in quanto avrebbe trasferito oltreoceano i dati del reclamante. Dall'istruttoria avviata dall'Autorità è risultato in effetti che tale sito utilizza i Google Analytics nel prosieguo anche GA . Nel provvedimento si spiega molto bene quali siano le informazioni che i GA riescono a fornire al gestore del sito reperendole dalla navigazione dell'utente «[il gestore] raccoglie, mediante cookies [GA] trasmessi al browser degli utenti […] identificatori online unici che consentono l'identificazione del browser o del dispositivo dell'utente che visita il sito web […] indirizzo IP del dispositivo utilizzato dall'utente informazioni relative al browser, al sistema operativo, alla risoluzione dello schermo, alla lingua selezionata, nonché a data e ora della visita al sito web. […] A questo si aggiunga che, qualora il visitatore del sito web faccia accesso al proprio account Google – circostanza verificatasi nell'ipotesi in esame – i dati sopra indicati possono essere associati ad altre informazioni presenti nel relativo account, quali l'indirizzo email che costituisce l'user ID dell'account , il numero di telefono ed eventuali ulteriori dati personali tra cui il genere, la data di nascita o l'immagine del profilo». In definitiva, se il navigatore è anche titolare di un account Google, i dati evinti dall'IP arricchiti con quelli dell'account riescono a svelare l'identità data di nascita e genere , il numero di telefono, l'email e perfino la foto ove caricata nell'account dell'interessato. Queste erano le informazioni che il gestore del sito segnalato estraeva e - più o meno inconsapevolmente - consentiva di trasferire oltreoceano. Il gestore infatti non aveva attivato l'opzione dell'IP anonimizzato messa a disposizione da big G, denominata “IP-Anonymization”. L'anonimizzazione dell'IP si ottiene mediante il troncamento dell'ultimo ottetto. Comunque, anche se l'avesse attivata, ciò non avrebbe impedito a Google di riassemblare i dati favorendo la possibile re-identificazione dell'utente. I dati raccolti tramite i GA sono tutti potenzialmente riconducibili a soggetti re-identificabili e, se questi ultimi sono cittadini europei, si verifica il trasferimento extra UE vietato dal GDPR ove il Paese importatore non assicuri le medesime garanzie stabilite in Europa. Pertanto, il gestore del sito segnalato aveva compiuto una violazione della disciplina sulla protezione dati e per questo riceve un ammonimento del Garante Privacy che gli intima - entro 90 giorni - di adottare misure privacy adeguate e, in difetto, di sospendere i flussi informativi verso Google LLC con sede negli Stati Uniti. L'IP anonimizzato non è una misura adeguata L'indirizzo IP – come sappiamo - costituisce un dato personale perché consentendo di identificare un dispositivo di comunicazione elettronica rende possibile di fatto l'identificazione del relativo utente v. Gruppo ex articolo 29, WP 136 - Parere numero 4/2007 sul concetto di dati personali, del 20 giugno 2007, pag. 16 . Inoltre, come ricordato sopra, la possibilità di arricchire il dato IP con altre informazioni evinte, ad esempio, dall'account Google dell'interessato ne amplia ancora di più l'area di conoscibilità. Tuttavia, anche l'IP anonimizzato consente di reidentificare l'interessato. Google dichiara «Quando un cliente di Analytics richiede l'anonimizzazione dell'indirizzo IP, Analytics anonimizza l'indirizzo non appena ciò è tecnicamente possibile nel passaggio più a monte della rete in cui avviene la raccolta dei dati. La funzione di anonimizzazione IP in Analytics imposta l'ultimo ottetto di indirizzi IP dell'utente IPv4 e gli ultimi 80 bit degli indirizzi IPv6 su zero in memoria subito dopo l'invio alla rete di raccolta di Analytics. Ad esempio, l'indirizzo IP 12.214.31.144 potrebbe essere modificato in 12.214.31.0. Se l'indirizzo IP è un indirizzo IPv6, gli ultimi 80 bit dei 128 vengono impostati su zero. In questo caso l'indirizzo IP completo non è mai scritto su disco». Nonostante tali dichiarazioni, Google detiene moltissimi dati degli utenti delle proprie piattaforme che possono comunque favorire di fatto la re-identificazione dell'interessato sebbene l'IP sia stato anonimizzato. Come sostenuto nelle «Linee-guida 04/2020 sull'uso dei dati di localizzazione e degli strumenti per il tracciamento dei contatti nel contesto dell'emergenza legata al COVID-19» adottate dall' EDPB il 21 aprile 2020, non esistono dati veramente anonimi soprattutto quando il titolare del trattamento dispone di interi insiemi di dati come nel caso di Google «18 Esistono molte opzioni per conseguire un'anonimizzazione efficace, ma con un caveat. I dati non possono essere resi anonimi isolatamente, il che significa che solo intere serie o interi insiemi di dati sono passibili di anonimizzazione. In tal senso, qualsiasi intervento su un dato isolato o sulla serie storica di dati riferibili a un singolo interessato mediante cifratura o altre trasformazioni matematiche può essere considerato, nel migliore dei casi, una pseudonimizzazione . 19 I processi di anonimizzazione e i tentativi di re-identificazione sono oggetto di numerosi studi e ricerche. È fondamentale che ogni titolare che implementi soluzioni di anonimizzazione si mantenga aggiornato sugli sviluppi recenti in questo campo, in particolare per quanto riguarda i dati relativi all'ubicazione provenienti da operatori delle telecomunicazioni e/o da servizi della società dell'informazione che sono notoriamente difficili da anonimizzare. 20 In effetti, un ampio corpus di ricerche ha dimostrato che dati relativi all'ubicazione ritenuti anonimi possono di fatto non esserlo» EDPB, Linee guida 04/20, “2.2 Utilizzo di dati anonimizzati relativi all'ubicazione” . Google Analytics dev'essere sostituito Google Analytics dev'essere sostituito questa è l'unica misura davvero adeguata per garantire il rispetto del GDPR nei trattamenti sulle statistiche inerenti alle visite ricevute dai siti web. Il Garante Privacy applica al caso sotteso l'iter valutativo suggerito dalle Raccomandazioni EDPB 1/2020 del 10.11.2020. Questo iter si può' sintetizzare con le domande seguenti 1 esiste una Decisione di adeguatezza della Commissione UE che copre il trasferimento informativo? Ove esista, non ci sono problemi sarà sufficiente applicarla per essere nella legalità. 2 La Decisione non esiste. Siamo in una delle deroghe ex articolo 49 GDPR ? Se siamo in una delle deroghe, basta seguirne la disciplina. 3 Non esiste neppure la deroga. Cosa facciamo? Se il Paese destinatario presenta normative intransigenti di ingerenza sui dati, evitiamo o blocchiamo il trasferimento. Se invece il Paese destinatario ammette una qualche forma di data protection, si provvede ad analizzare l'esistenza di Clausole Contrattuali Standard SCCs o Regole infragruppo BCR rinegoziabili anche grazie all'integrazione delle “ Misure Supplementari” . L'ipotesi entro cui inquadrare il nostro caso è l'ipotesi numero 3 e quindi dobbiamo analizzare le condizioni del Paese importatore ovvero gli USA. Gli Stati Uniti dispongono di una disciplina privacy molto meno stringente della nostra e soprattutto possono costringere i provider di servizi dell'informazione elettronica a fornire l'accesso ai dati raccolti. Così il nostro Garante conclude che neppure l'adozione di misure di crittografia in transito e a riposo potrebbe proteggere le informazioni dei cittadini europei perché una delle chiavi crittografiche viene assegnata al gestore del Paese statunitense importatore rendendo di fatto possibile la disclosure alle intelligence USA. Pertanto, l'Autorità apprezza le iniziative intraprese dal gestore del sito segnalato per adeguarsi al GDPR e sopratutto «l'analisi di fattibilità dell'implementazione di uno strumento alternativo di web analytics che non si affiderà più esclusivamente a tracciamenti tramite cookie e che … non conserverà più gli indirizzi IP degli interessati» v. verbale del 25 marzo 2022 e nota integrativa del 4 aprile 2022, pag. 2 .