Panoramica e approfondimento del caso del Garante austriaco contro Google Analytics

Google Analytics ricerca

Nel recente articolo “Il Garante austriaco contro Google Analytics: viola la privacy degli utenti europei” abbiamo preso visione di quanto sia complesso e delicato il trattamento dei dati personali da parte di aziende che li trattano e operano a livello mondiale (e di conseguenza con regolamenti diversi) o tutte le attività che hanno rapporti con esse a livello di privacy.

Vediamo ora di seguire un percorso in cui ci concentreremo sulle problematiche in essere che ruotano attorno a questa vicenda.

Una visione d’insieme sulla situazione attuale

Vista l’impossibilità dei colossi informatici di avvalersi del “Privacy Shield” per giustificare il trasferimento dei dati negli USA è stato spesso adottata come base giuridica la necessità all’esecuzione di un contratto secondo le “Standard Contractual Clauses” (SCC).

Max Schrems, presidente onorario di noyb.eu: “Invece di adattare effettivamente i servizi per essere conformi al GDPR, le aziende statunitensi hanno cercato di aggiungere semplicemente del testo alle loro politiche sulla privacy e ignorare la Corte di giustizia. Molte aziende dell’UE hanno seguito l’esempio invece di passare alle opzioni legali”. Ricordiamo che le società statunitensi sono sottoposte al Cloud Act e devono divulgare, previa richiesta del governo USA, “tutti i dati in loro possesso, custodia o controllo”, indipendentemente da dove sono archiviati.

In ragione di ciò la sentenza del Garante austriaco ha ripercussioni più vaste e va a colpire anche molte altre aziende, a seguire un paio di esempi:

  • il tribunale amministrativo di Wiesbaden in Germania a Dicembre ha proibito all’università Hochschule RheinMain di utilizzare il gestore di cookie Cookiebot in quanto reo di trasmettere i dati condividendoli con la società statunitense Akamai Technology (soggetta al Cloud Act);
  • è stato dichiarato illegittimo il trasferimento dei dati che avveniva tramite l’uso dei servizi Mailchimp per l’invio di newsletter da parte dell’azienda tedesca FOGS Magazin.

Una nostra analisi del sistema di gestione dei cookie

Vorremmo fare alcune valutazioni sul sito web menzionato nella recente decisione del Garante austriaco:

  • Google Analytics presenta il codice “anonymize_ip:!0”, ossia codice non standard;
  • Il cookie banner, malgrado chieda il consenso, non blocca il codice di Google Analytics che quindi risulta sempre attivo e ricordiamo che in Austria e Germania (da sempre molto attente al tema dei cookie) l’utilizzo dei cookie analitici, anche anonimizzati, richiedono sempre il consenso per essere attivi e funzionali;
  • Sempre nel cookie banner le impostazioni per settare i consensi sono varie e definite, tuttavia la differenza nell’attivare o meno i cookie è di solo 4 cookie a indicare che tali settaggi non applicano effettivamente le decisioni dell’utente (al momento della scrittura dell’articolo sono presenti 24 cookie già attivi, 28 prestando il consenso alle varie voci del cookie banner che ha ben 4 slide da cui dovrebbero dipendere ben più di 4 cookie);
  • I trattamenti dei dati sono basati sull’articolo 6 comma 1 lettere b) e f) del GDPR ad indicare una doppia problematica legata alle basi giuridiche basate sull’esecuzione del contratto che all’utilizzo del legittimo interesse.

Le problematiche sono varie e complesse a delineare un quadro a livello di GDPR che non si deve fermare all’analisi di Google Analytics, ma di una realtà in cui il trattamento dei dati personali spesso sfugge al controllo dell’utente. Prendiamo spunto per elencare un’altra serie di aspetti legati ai cookie statistici:

  • Questi devono anonimizzare sin dalla fase di raccolta, non possono essere definiti tali se l’ottetto IP finale viene rimosso solo nella fase finale di report;
  • Dei plugin/servizi testati che si occupano del consenso abbiamo notato in generale una preoccupante presenza di codici non funzionali (a volte dovuti a versioni con problemi, magari corretti in seguito, ma che alcuni siti ancora adoperano) che non bloccavano i cookie o lo facevano solo dopo che l’utente non prestava il consenso (raccogliendo in tal caso delle informazioni quando l’utente si connetteva) ad indicare che alcune di queste soluzioni non tutelano la privacy;
  • Persistono tecniche visive e di disposizione degli elementi che vengono ancora sfruttate per portare l’utente che interagisce col cookie banner ad accettare i cookie per esempio con un basso riscontro visivo del tasto per rifiutare i cookie rispetto agli altri;
  • Le aziende che, come già discusso, trattano i cookie statistici come Google Analytics (ma questo vale anche per i cookie di marketing profilato) operano a livello mondiale basandosi sulla SCC lasciando girare i dati a livello globale;
  • La recente introduzione delle linee guida cookie e altri strumenti di tracciamento (trattato nel nostro precedente articolo “Linee guida Cookie e altri strumenti di tracciamento da parte del Garante della Privacy”) definisce cookie tecnici anche i cookie analitici che rispettano tre regole, tuttavia dopo aver letto questo articolo potreste rilevare le problematiche intrinseche nel definirli tali;
  • Esistono soluzioni più virtuose come Google Analytics Cookieless che presenta una soluzione in grado di garantire la privacy a discapito della precisione, difatti a ogni pagina visitata e interazione queste vengono registrate singolarmente senza raccogliere informazioni, anche anonime, sull’utente. L’incapacità di seguire la navigazione, anonimizzata o meno, di un utente è tuttavia un deterrente a livello economico così grande da avere scarso impiego.

I risvolti della vicenda: parti salienti del documento presentato da NOYB

Riprendiamo alcuni elementi rilevati da zH NOYB – European Center for Digital Rights in merito alla vicenda per presentare come il sito web menzionato sia stato trattato. Ricordiamo che tale sito (che qui non menzioneremo) ha come principale target il pubblico austriaco (www. .at) e tedesco (www. .de) avendo entrambi i domini.

A seguire come primo convenuto si indica Verlag GmbH (responsabile dell’implementazione di Google Analytics), mentre il secondo convenuto è Google LLC.

Per quanto i nostri articoli cerchino di portare maggiore consapevolezza al maggior numero di persone non possiamo esimerci in casi come questo nel dover trattare l’argomento da una prospettiva tecnica, sia informatica che legale, soprattutto in un caso delicato come questo nel rispetto del tema trattato. Cercheremo di riportare i passaggi chiave senza eccedere nei riferimenti tecnici per quanto possibile, ma è essenziale capire le problematiche sostenute con la metodologia adottata da NOYB.

Identificatori online come dati personali

Come si evince dalle risultanze fattuali (presenti al seguente link al punto C.9. per chi fosse interessato a leggere il paragrafo o l’intero documento del documento presentato da NOYB al Garante austriaco), il gestore del sito web ha implementato lo strumento Google Analytics sul proprio portale web.

ll codice JavaScript incorporato per tale scopo ha raccolto e trasmesso al server del sito web almeno le seguenti informazioni che sono state ricevute dal browser dell’utente che ha effettuato la verifica una volta effettuato l’accesso al sito web:

  • Identificatori univoci online ricavati sia dal browser che dal dispositivo dell’utente tramite l’account Google Analytics che ha identificato l’ID del suddetto utente;
  • l’indirizzo e il titolo HTML del sito web, oltre alle pagine web visitate;
  • Informazioni su browser, sistema operativo, risoluzione dello schermo, selezione della lingua, data ed ora della visita al sito web;
  • l’indirizzo IP dell’utente.

Il tipo e la quantità di dati raccolti ha portato alla richiesta di NOYB di una verifica da parte del Garante austriaco se tali informazioni possano rientrare nei parametri dell’Art.4 comma 1 del GDPR, ossia se possono essere trattati come dati personali.

Combinazione di dati

La presenza dei requisiti richiesti per trattare tali informazioni come dati personali secondo l’Art.4 è rafforzata dal fatto che i dati raccolti possono essere combinati tra di loro portando al riconoscimento dell’utente: tale combinazione permette la creazione ed identificazione dell’“impronta digitale” dell’utente.

La questione dell’anonimizzazione dell’IP è aggravata dall’ammissione dei convenuti che tale funzione non è stata implementata correttamente. In tale contesto, si segnala che secondo la giurisprudenza della Corte europea di giustizia, l’indirizzo IP può rappresentare un dato personale e questo non perde la sua natura di dato personale per il solo fatto che gli strumenti per identificarlo sono di terza parte.

Tracciabilità fino all’utente

Come si può vedere dalle risultanze fattuali, l’utente si trovava al momento della visita del sito web www. .at collegato con il suo account Google (avendo effettuato in precedenza l’accesso). Il secondo convenuto ha dichiarato di aver ricevuto informazioni a causa del fatto che lo strumento Google Analytics è implementato sul sito web. Ciò include le informazioni che un determinato utente legato all’account Google ha visitato un determinato sito Web. Ciò significa che il secondo convenuto ha almeno ricevuto le informazioni che l’utente del Account Google ha visitato il sito web www. .at.

Gli ID online sopra elencati devono essere assegnabili a un determinato profilo per essere considerati dati personali, ossia rivelare l’”identità digitale” di un utente, e questo può avvenire tramite l’account Google. Le ulteriori affermazioni del secondo convenuto secondo cui determinati requisiti devono essere soddisfatti per tale assegnazione, come l’attivazione di impostazioni specifiche nell’account Google, non sono state trascurate nella valutazione del caso.

Tuttavia se l’identificabilità di un visitatore di un sito web dipende solo dal fatto che alcune dichiarazioni di intenti (meglio intese come configurazioni dell’utente sul proprio account Google) siano state fatte nell’account tutte presentano opportunità di identificabilità. Guardandolo da punto di vista diverso, il secondo convenuto potrebbe non essere in grado di soddisfare i desideri di un utente per la “personalizzazione” delle informazioni pubblicitarie ricevute, come espresso nelle impostazioni dell’account dell’utente stesso.

In tale contesto va richiamato nuovamente l’inequivocabile testo dell’Art. 4 comma 1 del GDPR “si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente” a sostenere che è sufficiente la possibilità reale e tangibile di ottenere qualsiasi informazione riguardante una persona fisica identificata o identificabile (interessato), non se un’identificazione alla fine viene anche eseguita.

Come ha giustamente sottolineato anche il denunciante, i servizi di intelligence statunitensi prendono alcuni identificatori online (informazioni come l’indirizzo IP o numeri di identificazione univoci) come punto di partenza per il monitoraggio degli individui.

Il fatto che questo non sia solo un “pericolo teorico” è dimostrato dalla sentenza della Corte di giustizia del 16 luglio 2020, C 311/18, che si basava sull’incompatibilità di tali modalità e opzioni di accesso delle autorità USA con il diritto fondamentale alla protezione dei dati ai sensi dell’art. 8 EU-GRC. A seguire è stata inoltre dichiarata nulla la decisione di adeguatezza UE-USA (“Privacy Shield”).

Ciò risulta particolarmente evidente dal rapporto sulla trasparenza del secondo convenuto (presente negli accertamenti di fatto) che dimostra che ci sono richieste di dati da parte delle autorità statunitensi al secondo convenuto. Non va trascurato il fatto che non è possibile per il primo convenuto verificare se tali accessi da parte delle autorità statunitensi si verificano in singoli casi e quali informazioni sono già in possesso delle autorità statunitensi.

Ripartizione dei ruoli

Il primo convenuto, in qualità di gestore del sito web, ha preso la decisione di utilizzare lo strumento “Google Analytics” sul sito web www. .at. Nello specifico è stato incorporato il codice javascript (messo a disposizione dal secondo convenuto) che viene eseguito a ogni accesso dell’utente visitante il sito. A tal riguardo il primo convenuto ha affermato che lo strumento citato è stato utilizzato per fini statistici per effettuare valutazioni sul comportamento dei visitatori del sito.

Di conseguenza, sono state delineate le “finalità e mezzi” del trattamento dei dati associato allo strumento (Google Analytics), motivo per cui la responsabilità del titolare rientra nell’art. 4 comma 7 del GDPR.

Per quanto riguarda il trattamento dei dati in relazione allo strumento Google Analytics, si segnala che il secondo convenuto lo rende disponibile e non ha alcuna influenza su come e in che misura il primo convenuto utilizza le funzioni dello strumento e quali impostazioni specifiche vengono scelte. Per quanto il secondo convenuto fornisca quindi solo Google Analytics come servizio, questi non ha influenza sulle finalità e mezzi del trattamento dei dati ed è quindi qualificato come responsabile del trattamento secondo l’art.4 comma 8 del GDPR.

Conclusioni

Non è stato quindi garantito un adeguato livello di protezione e di controllo dei dati personali secondo il principio generale per il trasferimento, tramite lo strumento di Google Analytics e le relative impostazioni configurate dal primo convenuto, secondo l’Art.44 del GDPR.

Condividi:

Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on whatsapp
WhatsApp
Share on telegram
Telegram
Share on email
Email
Torna su