La gestione di un sito web o di un'applicazione mobile richiede l'utilizzo di statistiche sul traffico e/o sulle prestazioni, che sono spesso essenziali per la fornitura del servizio. Lo standard di mercato, in questo settore, è Google Analytics (GA), che dovrà presto cambiare perché è stato dichiarato illecito.
Il Garante Privacy italiano ha di recente sanzionato il gestore di un sito web, con un provvedimento del 9 giugno 2022. Il suo sito utilizzava il servizio GA che trasferisce i dati degli utenti europei negli Stati Uniti, paese privo di un adeguato livello di protezione. Un autorevole membro del collegio del Garante ha inoltre confermato che sono partiti una serie di controlli a tappeto su questa tematica (come da programmazione del Garante).
Dall’istruttoria del Garante privacy italiano è emerso che i gestori dei siti web che utilizzano GA raccolgono, mediante cookie, informazioni sulle interazioni degli utenti con i predetti siti, le singole pagine visitate e i servizi proposti. Tra i molteplici dati raccolti, indirizzo IP del dispositivo dell’utente e informazioni relative al browser, al sistema operativo, alla risoluzione dello schermo, alla lingua selezionata, nonché data e ora della visita al sito web. Tali informazioni (che sono dati personali) sono risultate oggetto di trasferimento verso gli Stati Uniti. Pertanto, il trattamento è stato dichiarato illecito.
Ciò è potuto avvenire perché la Corte di giustizia dell'Unione europea, con sentenza del luglio 2020, ha dichiarato nullo il Privacy Shield, un trattato internazionale che regolava i trasferimenti di dati tra l'Unione europea e gli Stati Uniti. Tale trattato non offriva garanzie adeguate contro il rischio di accesso illecito ai dati personali dei residenti europei da parte delle autorità americane.
Nel marzo 2022 la Commissione europea e gli Stati Uniti hanno adottato una dichiarazione congiunta su una futura decisione di regolamentare adeguatamente i flussi di dati verso gli Stati Uniti. Si tratta solo un annuncio politico, senza alcun valore giuridico. Infatti, il 6 aprile 2022 il l’European Data Protection Board (l’EDPB ovvero il comitato che riunisce le autorità privacy europee) ha rilasciato una dichiarazione in cui ha chiarito che tale dichiarazione non costituisce un quadro giuridico su cui le organizzazioni possono fare affidamento per trasferire i dati negli Stati Uniti.
Il contributo della CNIL
L’autorità privacy che, ad oggi, ha analizzato questi aspetti in maniera più “pratica” è quella francese.
L’autorità privacy francese (CNIL) ha precisato che l’utilizzo di GA è considerato illecito ai sensi del GDPR e rimane tale anche ricorrendo a pratiche di preventiva pseudonimizzazione o crittografia dei dati oggetto di trasferimento.
Sorge allora spontanea una domanda. È possibile continuare a trasferire i dati fuori UE utilizzando la base giuridica del consenso degli interessati?
Il consenso esplicito degli interessati è una delle possibili deroghe previste per alcuni casi specifici dall'articolo 49 del GDPR. Tuttavia, come indicato nelle linee guida del EDPB queste deroghe possono essere utilizzate solo per trasferimenti non sistematici e, in ogni caso, non possono costituire una soluzione permanente di lungo termine, in quanto il ricorso a una deroga non può diventare la regola generale.
Non potendo validamente utilizzare il consenso esplicito (e neppure GA), esistono degli strumenti alternativi che siano legittimi?
La CNIL ha pubblicato un elenco di software che possono essere esentati dal consenso se opportunamente configurati.
Questo elenco comprende strumenti che hanno già dimostrato alla CNIL di poter essere configurati in modo da limitarsi a quanto strettamente necessario per la fornitura del servizio, senza quindi richiedere il consenso dell'utente.
Qualsiasi sia il software utilizzato, è sempre necessario verificare, per quanto possibile, che la società che lo produce non abbia legami patrimoniali o organizzativi con una società madre situata in un paese che consente ai servizi di intelligence di richiedere l'accesso a dati personali situati in un altro territorio (ad esempio: Stati Uniti ma anche Cina) ed è necessario valutare il quadro giuridico del paese di esportazione dei dati.
L’elenco dei software suggeriti dalla CNIL
Senza scendere nel dettaglio della configurazione richiesta per utilizzare legittimamente questi software (che dipende da parecchie variabili) indichiamo di seguito l’elenco indicato dalla CNIL:
- Analytics Suite Delta di AT;
- SmartProfile di Net Solution Partner;
- Wysistat Business di Wysistat;
- Piwik PRO Analytics Suite;
- Abla Analytics di Astra Porta;
- BEYABLE Analytics di BEYABLE;
- etracker Analytics (Basic, Pro, Enterprise) di etracker;
- Web Audience di Retency;
- Nonli;
- CS Digital di Contentsquare;
- Matomo Analytics di Matomo;
- Wizaly di Wizaly SAS;
- Compass di Marfeel Solutions;
- Statshop di Web2Roi;
- Eulerian di Eulerian Technologies;
- Thank-You Marketing Analytics di Thank-You;
- eStat Streaming di Médiamétrie;
- TrustCommander di Commanders Act.
Per la redazione del presente articolo sono state utilizzate le seguenti fonti, a cui si rinvia per ogni approfondimento.
- Google: Garante privacy stop all’uso degli Analytics. Dati trasferiti negli Usa senza adeguate garanzie
- The Court of Justice invalidates Decision 2016/1250 on the adequacy of the protection provided by the EU-US Data Protection Shield (PDF, 322 ko) – CJEU
- Alternatives to third-party cookies: what consequences regarding consent?
- [FR] Utilisation de Google Analytics et transferts de données vers les États-Unis : la CNIL met en demeure un gestionnaire de site web