Trasferimento dei dati personali verso gli Stati Uniti, Google Analytics 4 è davvero la soluzione al problema?

Sulla spinta dei 101 reclami presentati da NOYB – European Center for Digitale Rights (organizzazione non governativa fondata da Maximilian Schrems, www.noyb.eu), l'anno 2022 ha visto diversi Garanti europei pronunciarsi sul tema di Google Universal Analytics (GA3), qualificandolo non conforme al Regolamento europeo n. 679/2016 (GDPR). La società statunitense ha immesso nel mercato Google Analytics 4 (GA4), che non è una semplice evoluzione di GA3, ma un prodotto completamente nuovo.

Gli addetti ai lavori sono ancora oggi divisi tra chi lo ritiene conforme al GDPR e chi no. Nel frattempo, solamente Datatilsynet, il Garante danese, ha preso posizione sul tema pubblicando delle FAQ (Frequently Asked Questions), reperibili all'indirizzo https://www.datatilsynet.dk/english/google-analytics.

Tutte le discussioni sul tema si possono ricollegare alla tormentata questione circa il trasferimento di dati personali verso gli Stati Uniti. In questa sede non approfondiamo il tema, ma lo ripercorriamo sinteticamente, recuperando gli aspetti più importanti.

Con la ben nota sentenza Schrems II , la Corte ha dichiarato l'invalidità del Privacy Shield poiché gli Stati Uniti non garantiscono agli interessati il medesimo livello di protezione di cui godrebbero se i dati fossero rimasti nello Spazio Economico Europeo (SEE) (art. 44 e considerando 6 GDPR): alcune autorità pubbliche statunitensi hanno il potere di accedere ai dati personali degli interessati, costituendo un'ingerenza nei diritti fondamentali sanciti agli articoli 7 e 8 della Carta dei diritti fondamentali dell'Unione europea. Tale possibilità di accesso non è controbilanciata dalla previsione di adeguate tutele per i cittadini, come invece avviene nell'Unione Europea. Manca, ad esempio, un'autorità specificamente preposta a verificare le modalità del trattamento dei dati personali e non è garantito, in generale, lo stesso livello di diritti.

Dopo la sentenza Schrems II si è cercato di individuare una strategia che permettesse nuovamente di trasferire in modo sistematico dati personali verso gli Stati Uniti in quanto sono ivi ubicate tutte le principali società che offrono servizi digitali.

Una soluzione paventata da alcuni è di adoperare le clausole tipo ai sensi dell'art. 46, par 2, lett. c) GDPR. Tuttavia, tale ipotesi è stata più volte bocciata, non solo dalla stessa sentenza Schrems II, ma anche da numerosi Garanti europei e dalle Raccomandazioni n. 1/2020 dell'European Data Protection Board (EDPB): le autorità pubbliche statunitensi non sono vincolate al rispetto delle clausole tipo, che hanno una valenza meramente negoziale tra le parti.

Non è risolutoria nemmeno la raccolta del consenso dell'utente al trasferimento dei dati verso gli Stati Uniti. Il consenso al trasferimento dei dati verso Paesi terzi è previsto dall'art. 49 GDPR, che regola le ipotesi eccezionali in cui si può procedere ad un trasferimento di dati personali verso Paesi terzi o organizzazioni internazionali in mancanza di una decisione di adeguatezza o di garanzie adeguate.

Come sottolineato in particolare nelle Linee Guida n. 2/2018 dell'EDPB , l'art. 49 GDPR rappresenta un'eccezione e deve essere interpretato in modo restrittivo, affinché la regola eccezionale non diventi regola generale. In altre parole, i trasferimenti sistematici, come quelli che caratterizzano l'utilizzo di Google Analytics, non possono trovare quale base legittima l'art. 49 GDPR.

Una delle principali soluzioni presentate da Google per garantire la conformità di GA4 al GDPR è la mancata registrazione dell'indirizzo IP dell'utente-interessato: secondo la società statunitense, non vi sarebbe più un trasferimento di dati personali in quanto l'utente non sarebbe più identificabile.

Le pronunce dei Garanti europei su GA3 avevano evidenziato come il t roncamento dell'ultimo ottetto dell'indirizzo IP non fosse un trattamento di pseudonimizzazione adeguato. Infatti, Google ha il controllo di numerosi dati che, analizzati nel loro insieme, permettono di re-identificare l'utente . Questo è ancora più vero nel caso in cui l'utente navighi utilizzando il proprio profilo Google, ipotesi frequente nella realtà odierna: la società statunitense può incrociare i dati raccolti dal servizio di Analytics con l'identità del profilo dell'utente che sta navigando nel sito (o app) sottoposto ad analisi.

La soluzione prevista da GA4 di non procedere alla registrazione dell'indirizzo IP potrebbe sembrare efficace. L'indirizzo IP viene infatti elaborato solamente per poter localizzare l'utente al fine di indirizzare i flussi di dati verso il server più vicino, ma non viene conservato. Tuttavia, tale soluzione non risulta sufficiente ed adeguata. Infatti, Google procede alla raccolta di identificativi univoci degli utenti, oltre ad altri dati che ne permettono comunque la re-identificazione, come ad esempio il giorno e l'orario della visita del sito internet e la localizzazione approssimativa dell'utente. Inoltre, si consideri ancora una volta la situazione di chi naviga collegato al proprio profilo Google. Da ultimo, anche se si ammettesse che senza l'indirizzo IP Google non sia in grado di risalire all'identità dell'utente, sarebbe comunque capace di identificarlo all'interno di un gruppo.

Questo è sufficiente a far sì che vi sia un trasferimento di dati personali verso gli Stati Uniti: i dati personali non sono solo quelli che permettono l'identificazione in senso stretto dell'interessato, ma anche quelli che permettono di distinguere l'interessato all'interno di un gruppo più ampio, sebbene non sia possibile risalire alla sua precisa identità. Si tratta di un'interpretazione ampia del concetto di dato personale, ma granitica e precedente al GDPR stesso: già il Gruppo di lavoro Art. 29 lo aveva segnalato nel parere 4/2007, poi confermato nei pareri 1/2012 e 8/2012. Il GDPR ha formalmente accolto tale interpretazione al considerando 26.

Questo per quanto riguarda l'indirizzo IP, ma analizzando GA4 più a fondo, è possibile ricostruire quali altri dati tratta che siano riferibili agli utenti. Per completezza, si rileva che Google permette di personalizzare la raccolta dei dati. Più precisamente, permette di disattivare la raccolta di dati di Google Signals in base all'area geografica e di disattivare altresì la raccolta di "dati granulari" su località e dispositivo. Google Signals include i dati di sessione provenienti dai siti e dalle app che Google associa agli utenti che hanno eseguito l'accesso ai propri account Google e che hanno attivato la personalizzazione degli annunci.

Disattivando la raccolta dei dati granulari su località e dispositivo, GA4 non procederà alla raccolta dei seguenti dati: città, latitudine e longitudine della città, versione secondaria del browser, stringa dello user agent del browser, marca e modello del dispositivo, nome del dispositivo, versione secondaria del sistema operativo e della piattaforma, risoluzione dello schermo.

Tuttavia, il Garante danese sostiene che, anche se si disattivassero sia Google Signals sia la raccolta granulare dei dati, tutte le problematicità esposte nel presente paragrafo persisterebbero.

Google sostiene che i dati degli utenti europei non vengono trasmessi verso gli Stati Uniti.

In via preliminare, Google ha sempre dichiarato nelle istruttorie condotte dai Garanti europei su GA3 che i server di analisi dei dati sono ubicati negli Stati Uniti. Pertanto, sostenere oggi che Google effettivamente non trasmetta dati verso gli Stati Uniti appare altamente inverosimile.

Analizzando ora la descrizione del servizio di GA4 offerta da Google, si rileva che l'indirizzo IP viene elaborato al fine di localizzare l'utente affinché i relativi dati vengano indirizzati verso il data center più vicino. Per questo motivo i dati degli utenti europei non verrebbero trasferiti al di fuori del SEE.

Si osserva, come segnala il Garante danese, che tale trattamento non è conforme al GDPR in quanto non tiene conto degli utenti che accedono da aree esterne al SEE (siano essi cittadini europei, o meno) a siti o app di Titolari del trattamento con sede nel SEE. Il GDPR si applica, ai sensi dell'art. 3, par. 1, ai Titolari e Responsabili del trattamento che hanno il proprio stabilimento nell'Unione Europea. Tali soggetti sono quindi tenuti in ogni caso a rispettare il GDPR e a non trasferire dati personali al di fuori del SEE, a prescindere dalla località da cui si connettono gli utenti. Il titolare di un sito che implementa Google Analytics, quindi, potrebbe essere ritenuto responsabile di una violazione del GDPR.

Da queste considerazioni emerge che la strategia di Google di trasferire i dati al data center più vicino alla localizzazione dell'utente-interessato non è adeguata, poiché non esclude il trasferimento di dati personali verso Paesi terzi, tra cui gli Stati Uniti, ad opera di siti di Titolari stabiliti nel SEE e che dovrebbero quindi rispettare il GDPR. Si ricorda, infatti, che se un indirizzo IP viene localizzato al di fuori dell'Unione Europea, Google non applica le misure di sicurezza che sarebbero altrimenti previste, inclusa la cancellazione dell'IP.

Possiamo quindi constatare come le problematiche rilevate in riferimento a GA3 siano ancora attuali rispetto a GA4. Tale conclusione non può stupire: Google è una delle Big Tech che detiene e raccoglie un quantitativo di dati immenso, che possono essere tra loro facilmente confrontati e incrociati. Se questo è il presupposto, è evidente come qualsiasi meccanismo di anonimizzazione applicato dalla stessa società statunitense risulti facilmente inidoneo.

Quanto sopra riportato porta quindi a capire come, per poter utilizzare Google Analytics, sarebbe necessario poter trasmettere verso gli Stati Uniti non dati personali, ma mere informazioni anonime. Per ottenere tale risultato, si deve procedere all'anonimizzazione dei dati oppure alla loro pseudonimizzazione. "Pseudonimizzare" significa attuare il trattamento dei dati personali in modo tale che quest'ultimi "non possano più essere attribuiti a un interessato specifico senza l'utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile" (art. 4, par. 1, n. 5 GDPR).

Una soluzione che potrebbe tornare utile al riguardo è rappresentata dall'applicazione della crittografia ai dati da parte di Google. Tuttavia, i Garanti europei, prendendo in considerazione GA3, hanno già evidenziato come tale soluzione sia in realtà totalmente inadatta poiché Google possiede la chiave per poter decifrare i dati. È evidente come tale soluzione sia inidonea anche per GA4.

Tra le soluzioni proposte dal Garante danese, la crittografia viene infatti citata, ma con la precisazione che la chiave per poter decifrare i dati contenuti nei server analitici di Google dovrebbe essere detenuta da un soggetto con sede nel SEE.

Questa soluzione appare fin da subito inapplicabile: come può procedere Google all'analisi di dati che non può consultare?

Inoltre, l'EDPB è stato particolarmente preciso su questo punto nelle Raccomandazioni n. 1/2020: considerato l'attuale stato dell'arte, nel caso di crittografia dei dati in cui è necessario l'accesso ai dati in chiaro da parte del soggetto ubicato in un Paese terzo, dove è riconosciuto alle autorità pubbliche il potere di accedere ai dati trasferiti con modalità che non garantiscono i diritti fondamentali degli interessati, non esistono misure tecniche efficaci che rendano il trasferimento dei dati conforme al GDPR.

Possiamo affermare che GA4 non sembra essere conforme al GDPR e quindi non possa essere utilizzato così come Google lo offre alla sua clientela. Questo però non significa che GA4 sia inutilizzabile: i Titolari e i Responsabili del trattamento possono infatti prevedere delle misure di sicurezza ulteriori per rendere il prodotto conforme.

Molte misure previste da Google si sono rilevate inadeguate poiché offerte dalla stessa società statunitense. Al contrario, se le stesse misure fossero implementate da soggetti terzi, queste renderebbero GA4 conforme al GDPR. Ad esempio, se i dati venissero criptati da un soggetto diverso da Google, quest'ultimo non avrebbe la chiave per decifrarli; se i dati venissero pseudonimizzati da un soggetto terzo, allora Google non avrebbe modo di re-identificare l'interessato.

Sulla scia di questa considerazione, nelle FAQ dedicate a GA4 il Garante danese suggerisce, quali misure di sicurezza adeguate, la crittografia dei dati e la loro pseudonimizzazione ad opera di soggetti diversi da Google, con sede nel SEE (o uno stato terzo o organismo internazionale che presenti adeguate garanzie).

Già nel luglio del 2022, il Garante francese (CNIL) aveva rilasciato un comunicato stampa proponendo l'utilizzo di un proxy come soluzione che garantisce una corretta pseudonimizzazione dei dati personali e che permetterebbe quindi di utilizzare Google Analytics in modo conforme al GDPR. Tale presa di posizione riguardava nello specifico GA3, ma può essere applicata anche a GA4, tanto che lo stesso Garante danese l'ha espressamente menzionata.

Tuttavia, se dal punto di vista teorico è possibile individuare dei metodi per rendere conforme GA4 al GDPR, dobbiamo domandarci se queste soluzioni siano applicabili sul piano pratico.

Il proxy è un server posto tra quello del sito (o app) che l'utente visita e il server di Google Analytics. La sua funzione è quella di impedire una diretta comunicazione tra i due server, permettendo così una corretta pseudonimizzazione dei dati.

Nelle Raccomandazioni n. 1/2020, l'EDPB ha individuato i criteri che devono essere rispettati affinché si possa ottenere una corretta pseudonimizzazione. Come già accennato precedentemente, in tali Raccomandazioni l'EDPB evidenzia che l'esportatore (cioè chi trasferisce i dati personali verso Paesi terzi o organizzazioni internazionali) deve trasferire i dati personali trattati in modo tale che non possano essere attribuiti ad un determinato interessato, nemmeno individuandolo in un gruppo più ampio, se non senza l'impiego di informazioni aggiuntive. Tali informazioni aggiuntive devono essere separatamente conservate dall'esportatore, o da un soggetto incaricato dall'esportatore ubicato nel SEE o in uno Stato terzo o organismo internazionale che garantisca adeguate garanzie. La divulgazione o l'uso non autorizzato di tali informazioni aggiuntive devono essere impediti da adeguate misure di sicurezza tecniche e organizzative. Infine, il Titolare del trattamento è tenuto a verificare l'efficacia della strategia di pseudonimizzazione adottata, vagliando se sia possibile re-identificare l'interessato, tenendo conto anche delle informazioni che le autorità pubbliche del Paese destinatario potrebbero presumibilmente possedere e ottenere.

La CNIL ha quindi individuato una serie di caratteristiche che il proxy deve avere per garantire il rispetto dei criteri elaborati dall'EDPB.

Innanzitutto, non deve avvenire alcun trasferimento dell'indirizzo IP ai server di Google Analytics.

Il proxy deve altresì sostituire l'identificativo dell'utente assegnandone uno nuovo e l'algoritmo che esegue tale sostituzione deve garantire sia un livello sufficiente di collisione (cioè una probabilità sufficiente che due utenti vengano individuati con il medesimo identificativo) sia includere una componente variabile nel tempo, in modo tale che al medesimo utente non venga assegnato sempre il medesimo identificativo.

Sempre per impedire la re-identificazione dell'utente, il proxy deve rimuovere qualsiasi parametro contenuto nell'URL e rielaborare quelle informazioni che possono essere utilizzate per generare un'impronta digitale. Inoltre, non devono essere raccolti identificatori cross-site o duraturi.

Il proxy, continua la CNIL, deve essere configurato affinché non vengano trasmessi ai server di Google Analytics nemmeno informazioni sui referrer, cioè le pagine web in cui si trovavano gli utenti prima di visualizzare il sito o app analizzato da Google.

Infine, l'elenco delle caratteristiche che deve avere il proxy secondo la CNIL si chiude con un'enunciazione generica ma necessaria: il proxy deve eliminare qualsiasi informazione che permetta la re-identificazione dell'utente. Con questo requisito, la CNIL sottolinea come la trasmissione verso gli Stati Uniti di una qualsiasi informazione che permetta la re-identificazione dell'utente renderebbe il trasferimento dei dati non conforme al GDPR.

La soluzione presentata dalla CNIL non risulta comunque esente da problematiche se la si traspone sul piano pratico, ipotizzandone, ad esempio, l'adozione da parte di piccole e medie imprese.

Infatti, se dal punto di vista strettamente tecnico l'installazione di un proxy come delineato dalla CNIL è possibile, si deve considerare che l'implementazione di GA4 in tale contesto richiede la scrittura di un apposito codice o l'installazione di un plugin nella piattaforma utilizzata che rispetti tutti i punti elencati dalla CNIL. Tutto ciò deve essere poi costantemente monitorato nel suo funzionamento e tempestivamente adeguato alle eventuali modifiche e revisioni del protocollo di scambio dati attuate da Google. In altre parole, se prima era sufficiente copiare e incollare il codice fornito dalla società statunitense all'interno del codice del sito, ora bisogna scriverlo da zero o modificare il codice di un plugin esistente e adattarlo alle proprie necessità: un carico di lavoro che prima era delegato a Google stessa, potrebbe gravare oggi su chi sviluppa il sito del Titolare del trattamento. Piccole e medie imprese possono riscontrare difficoltà nel sostenere tutti questi nuovi costi.

Inoltre, si deve considerare che, ad oggi, anche se si volesse contenere tali costi sfruttando piattaforme già pronte, moltissime di queste sono offerte da società statunitensi: bisogna valutare, anche attraverso la consulenza di un esperto, se le loro policy sono compatibili con il GDPR e le specifiche richieste dalla CNIL.

Da ultimo, qualora si implementasse il proxy come descritto dalla CNIL (o analoghe misure che garantiscano un trasferimento di dati verso gli Stati Uniti conforme), le analisi di Google Analytics ne risentirebbero fortemente. Considerato che non si può permettere a Google di assegnare agli utenti identificativi univoci, si potrà, ad esempio, rilevare che sono stati compiuti dieci accessi ad un sito, informazione poco utile se non si può sapere se gli accessi sono stati effettuati da dieci utenti diversi o da uno solo. Ancora, non comunicare a Google i referrer impedisce di poter valutare la forza persuasiva di una campagna pubblicitaria. Sono solo alcuni degli esempi possibili, che però dimostrano l'enorme riduzione della capacità di analisi da parte di Google Analytics.

Oggi non è possibile garantire che l'uso di GA4 non esponga Titolari e Responsabili del trattamento a possibili contestazioni da parte di interessati e Autorità garanti.

Per questo motivo, i Titolari del trattamento dovrebbero valutare innanzitutto i benefici derivanti dall'utilizzo di GA4 per il proprio business e bilanciarli con i rischi che in ogni caso si corrono, come evidenziato nei paragrafi precedenti.

Occorre altresì tenere presente che funzionalità molto simili a quelle di GA4 sono offerte anche da altri servizi, come ad esempio Matomo, Piwik PRO o Plausible, che non prevedono (o permettono di non prevedere) alcun trasferimento verso gli Stati Uniti.

Ove non risulti possibile rinunciare all'utilizzo di GA4, il consiglio è quindi quello di attuare una serie di misure tecniche e organizzative al fine di tutelare il più possibile i diritti e le libertà degli interessati e di diminuire il rischio di incorrere in sanzioni. Tali misure devono poi essere accuratamente documentate, in ossequio al principio di accountability.

Innanzitutto, nel rispetto del principio dell'accountability sancito dal GDPR, coloro che scelgano di implementare GA4 sul proprio sito internet dovrebbero documentare le valutazioni svolte circa l'impossibilità di perseguire gli stessi scopi con mezzi meno invasivi per gli interessati e circa l'individuazione di misure di sicurezza adeguate. Tra queste, si fa riferimento, in particolare, alla pseudonimizzazione dei dati personali raccolti da GA4 e alla minimizzazione dei dati che vengono condivisi con Google.

Un altro accorgimento utile da implementare potrebbe essere quello di permettere l'attivazione dei cookie di GA4 solo a seguito della manifestazione da parte dell'utente di uno specifico consenso.

Poiché il consenso deve essere libero, specifico e informato, in questo caso si dovrebbe chiaramente indicare all'utente, già all'interno del cookie banner, la presenza dei cookie di GA4, la relativa finalità e il fatto che questi comportino il trasferimento di dati verso gli Stati Uniti. Per completezza, si dovrebbe altresì segnalare che gli Stati Uniti sono considerati un Paese terzo che non tutela i diritti e le libertà degli interessati.

Basare l'utilizzo di GA4 sul consenso dell'utente equivale a permettere a quest'ultimo di decidere se accettare o meno il rischio che deriva dal trasferimento dei dati personali verso gli Stati Uniti: se viene prestato il consenso, allora si può utilizzare GA4 (con tutte le misure tecniche e organizzative possibili), altrimenti non si procede nemmeno all'installazione del relativo cookie.

Tale soluzione basata sul consenso dell'utente non può essere considerata pienamente in linea con quanto fino ad oggi affermato dalle Autorità Garanti europee, ma si fonda su una condivisibile idea della necessità di consapevolizzare l'utente, per permettere di compiere scelte libere e volontarie, così da assumersene la relativa responsabilità.

Oggi, infatti, assistiamo ad una presa di posizione molto forte e decisa nei confronti di Google Analytics, quando in realtà esistono numerosi altri strumenti che profilano gli utenti, trasferendo i dati personali verso gli Stati Uniti. Ci si riferisce non semplicemente ad altri servizi della stessa Google o a servizi analoghi offerti da altre società statunitensi (ad esempio Pixel di Facebook), ma potenzialmente a qualsiasi sito web che visitiamo quotidianamente, i quali possono chiedere al browser che utilizziamo per navigare su internet di fornire numerose informazioni, generando la c.d. fingerprint, cioè quell'insieme di dati (ad esempio il sistema operativo e la dimensione dello schermo utilizzato, i tipi di caratteri installati, la lingua impostata e molto altro) che, considerati tutti assieme, permettono di individuare e riconoscere nel tempo in maniera univoca ogni specifico utente.

A fronte di tale situazione, se l'utente non vuole essere tracciato, si deve necessariamente attivare in prima persona (ad esempio utilizzando browser che impediscano il riconoscimento dell'utente tramite fingerprint o implementando misure che permettano la navigazione in incognito), non potendo demandare tale esigenza ai gestori di siti e app.

Per quanto riguarda, infine, il ruolo dei Responsabili del trattamento che gestiscono il sito (o l'app) per conto di soggetti terzi, rileva che questi dovrebbero opportunamente contattare il Titolare nel caso in cui abbiano provveduto ad installare GA4 o gestiscano aspetti del sito correlato all'analisi dei dati di traffico. I soggetti Responsabili del trattamento, quindi, devono informare i rispettivi Titolari dei rischi correlati al trasferimento dei dati verso gli Stati Uniti e richiedere specifiche istruzioni operative da attuare.

Guardando al futuro, molti aspettano con ansia il Trans-Atlantic Data Privacy Framework, che permetterebbe di far rientrare nuovamente gli Stati Uniti tra i Paesi terzi che garantiscono un livello di protezione adeguato degli interessati. Tuttavia, anche tale decisione di adeguatezza rischierà di essere invalidata dalla Corte di Giustizia dell'Unione europea in quanto non sono state superate le questioni delineate dalla sentenza Schrems II, come NOYB ha già evidenziato.

_____
*A cura dell'Avv. Manuela Soccol, Avv. Irene Negri, Avv. Lorenzo Balestra – Studio legale Soccol e Manuel Dalla Lana – Pontedilana Srls