Trasferimento dei dati personali all’estero: brevi riflessioni su google analytics, piattaforme ott e non solo

Trasferimento dei dati personali all’estero: brevi riflessioni su google analytics, piattaforme ott e non solo
 

Google Analytics (GA) e le segnalazioni degli attivisti

Molti titolari di siti web, nelle scorse settimane, sono stati destinatari di un’e-mail, a firma di un attivista, Federico Leva, in cui si richiedeva la cancellazione dei dati personali di quest’ultimo relativi al tracciamento della navigazione sul sito web effettuato tramite Google Analytics.

Tale comunicazione massiva ha avuto l’indubbio merito di aver portato alla ribalta alcuni temi fondamentali che riguardano, non solo l’utilizzo - più o meno consapevole - di servizi, piattaforme e applicativi forniti dai c.d. provider OTT (Over The Top), seppur sia innegabile che la stessa, al contempo, abbia generato un ingiustificato allarme tra i Titolari di siti web, DPO e consulenti in materia di protezione di dati personali.

 Ciò detto, la richiesta ha comunque il pregio di incrementare i livelli di attenzione di molti titolari del trattamento su una questione di tutto rilievo, ossia quella relativa all'utilizzo di GA sui propri siti internet, ma non solo. Anche – e soprattutto – sui temi degli applicativi e strumenti utilizzati (e sulla necessità di un’analisi preventiva in termini by design e by default, secondo accountability) – e, indirettamente, sulla scelta del fornitore e responsabile del trattamento - nonché sul trasferimento dei dati personali all’estero.   

 

Cosa fare se abbiamo ricevuto tali richieste?

Ad una prima lettura, l’e-mail su Google Analytics (GA) che in tanti hanno ricevuto da Federico Leva (a cui potrebbero seguirne altre, anche per spirito emulativo) si colloca in bilico tra lo spam e una richiesta legittima, o – come si direbbe nell’ambito della satira – tra il serio e il faceto. Toni che hanno il sapore di automatismo si alternano, infatti, a riferimenti più o meno precisi relativi al diritto che si chiede di esercitare e alle circostanze che ne presupporrebbero l’azionabilità.

La circostanza – ormai pacifica – che tale e-mail sia stata inviata massivamente e mediante l’utilizzo di un sistema automatizzato, potrebbe giustificare la scelta di non rispondere affatto al mittente e considerare la richiesta priva dei requisiti di legittimità? La domanda, quella sì che è legittima, e a prescindere dal fatto che l’e-mail contenga o meno tutte le informazioni necessarie per consentire di cancellare i dati raccolti tramite GA, perché – in questo caso - l’obbligo di fornire un riscontro puntuale al mittente sembra tutt’altro che scontato.

I dubbi sorgono, in quanto le modalità con cui si è proceduto nell’inoltrare la richiesta mettono in luce la pretestuosità della stessa, poichè è evidente che tramite l’utilizzo di questo sistema automatizzato (utilizzato per “visitare” i siti web i cui titolari sono stati poi destinatari di tale comunicazione), in realtà, risulta discutibile l’elemento di riconducibilità dei dati di navigazione su tali siti a una persona fisica (interessato al trattamento), nonché l’eventuale espressione del consenso (che non sarebbe stato espresso da un interessato), atteso che tale navigazione è appunto stata effettuata da un sistema automatico e non da una persona fisica. Il rischio che si paventa è che venga strumentalizzato un diritto sancito dal GDPR (quello di chiedere in talune circostanze la cancellazione dei propri dati personali) che, nel caso di specie, mancherebbe proprio del presupposto di riconducibilità all’interessato. E tanto sia dal punto di vista della ratio legis (ci si riferisce non solo all’art. 17, ma a tutto il corpus dei diritti di cui agli artt. 15 e ss. del GDPR), sia delle modalità di tale tracciamento (e trattamento?), che risultano di fatto aver avuto ad oggetto, non già le attività di navigazione di una persona fisica, ma di un software.

Detto in altre parole, se non avesse azionato gli automatismi che stanno alla base dell’invio della richiesta, di sicuro Federico Leva non si sarebbe trovato neppure nelle condizioni di poter inviare la richiesta (salvo, ovviamente, per quei pochi siti internet che abbia effettivamente visitato, qualora ve ne siano tra quelli destinatari della sua missiva).

Pertanto, un’opzione percorribile potrebbe essere quella di riscontrare in ogni caso tempestivamente la richiesta (entro il fatidico mese, richiesto all’art. 12 del GDPR), richiedendo all’istante maggiori informazioni per individuare, ad esempio, la data in cui sarebbe stata effettuata la navigazione sul sito e rilasciato il relativo consenso al trattamento dei cookie di Google Analytics, oltre agli altri elementi utili a “identificare l’interessato” (art. 12 GDPR).

In ogni caso, si ricorda che lo stesso art. 12 del GDPR prevede che, in caso di richieste manifestamente infondate o ripetitive, il titolare del trattamento può “addebitare un contributo spese ragionevole tenendo conto dei costi amministrativi sostenuti per fornire le informazioni o la comunicazione o intraprendere l'azione richiesta” [1].

 

Le importanti questioni sottese

I temi sollevati dalle richieste massive di tali attivisti, tuttavia, rappresentano solo l’ultima tappa di una vicenda che trae origine dalla c.d. sentenza Schrems II della Corte di Giustizia europea, che il 16 luglio 2020, ha invalidato il Privacy Shield (succeduto al precedente accordo Safe Harbor, anch’esso invalidato da una sentenza della stessa Corte, sempre su ricorso dell’avvocato austriaco Schrems), in base al quale l’Unione europea aveva ritenuto legittimi i trasferimenti di dati personali verso gli Stati Uniti.

Detta sentenza, dunque, ha progressivamente iniziato a esplicare i suoi effetti concreti negli ordinamenti degli Stati dell’Unione europea e sull’operato dei titolari e responsabili del trattamento. Ne sono un esempio i recenti orientamenti delle autorità di controllo, nel cui ambito si annovera il provvedimento dello scorso 9 giugno del Garante per la protezione dei dati personali[2], con il quale, dichiarata “l’illiceità del trattamento dei dati personali degli utenti del sito www.caffeinamagazine.it posto in essere, per il tramite di Google Analytics, da Caffeina Media S.r.l.” è stato ingiunto a quest’ultima di “conformare al Capo V del Regolamento […] il trattamento di dati personali degli utenti del sito www.caffeinamagazine.it effettuato per il tramite di Google Analytics, adottando misure supplementari adeguate”. Ciò in quanto, sintetizza lo stesso Garante con nota pubblicata sul proprio sito internet lo scorso 23 giugno, il sito web che utilizza il servizio Google Analytics (GA), senza le garanzie previste dal GDPR, viola la normativa sulla protezione dei dati perché trasferisce i dati degli utenti negli Stati Uniti, Paese privo di un adeguato livello di protezione.

La questione, a ben vedere, non è limitata all’utilizzo di GA. Ad essere oggi messo in discussione è, più in generale, l’uso di fornitori e tecnologie da cui derivi un trasferimento di dati personali verso gli Stati Uniti.

Tuttavia, l’impostazione interpretativa che si rintraccia in tali provvedimenti (si fa riferimento anche alle FAQ dell’Autorità garante tedesca sull’utilizzo di Microsoft[3] o, ancora prima, alla pronuncia dell’Autorità garante francese, sempre sull’utilizzo di GA[4]) non può non sollevare alcune perplessità, di ordine non solo giuridico.

Innanzitutto, siamo sicuri che il problema di fondo sia la mancanza di una decisione o di un accordo che sancisca l’adeguatezza della legislazione USA a garantire un livello di protezione dei dati parificabile a quello del GDPR europeo (intrinsecamente valutando come “un’ingerenza ingiustificabile”, ai sensi del par. 41 delle Raccomandazioni 01/2020 dell’EDPB[5], le misure previste dal Cloud Act e dal paragrafo 702 del FISA, le quali prevedono che le Autorità statunitensi possano richiedere l’accesso ad alcuni dati trattati dalle aziende statunitensi, per motivi legati alla sicurezza nazionale e alla repressione di alcuni reati gravi, anche qualora tali dati risiedano in cloud)? O, piuttosto, il fenomeno degno di approfondimento da parte delle Autorità di controllo europee dovrebbe essere il trattamento dei dati svolto proprio da questi provider OTT, che ormai gestiscono i dati relativi a ogni dettaglio dell’esistenza personale e professionale della maggior parte dei cittadini dell’Unione europea?

Si vuole davvero continuare a “responsabilizzare” degli effetti di tali fenomeni globali (a livello economico e politico) tutti i singoli titolari di trattamento, che – di fatto – non hanno alcun potere né di contrattualizzare i dettagli né di verificare l’esatta concretezza di quanto magari dichiarato genericamente da questi provider OTT nelle loro condizioni contrattuali standard di erogazione dei servizi?

E ancora, è davvero corretto adottare questo approccio così rigido e formalistico, così poco aderente ai principi di accountability e di valutazione del rischio che permeano il GDPR (e che dovrebbe disciplinare anche la “libera circolazione dei dati”, come ci ricorda proprio il titolo del Regolamento europeo stesso)?

Non è forse, invece, proprio il principio di accountability e di specifica valutazione del rischio di trattamento il paradigma da valorizzare per “responsabilizzare” in modo corretto tutti i soggetti che intervengono nel trattamento dei dati, valorizzando le stesse in base a un approccio concreto?

 

Accountability: ancora una volta, la parola d’ordine

Cosa fare, allora, nell’attesa – e, soprattutto, nell’auspicio – che si raggiunga in breve tempo un nuovo accordo tra UE e Stati Uniti che consenta di ricomprendere, ancora una volta, questi ultimi tra i Paesi che godono di livello di protezione adeguato ai sensi dell’art. 45 del GDPR?

Per quanto riguarda l’utilizzo di GA, è sicuramente opportuno valutarne l’eventuale sostituzione con un sistema analogo, che ben potrebbe essere – perché no – l’ultima versione di GA, ove offra garanzie adeguate sotto il profilo della protezione dei dati personali. In ogni caso, senza addivenire a decisioni affrettate e dettate dal panico, ma usando buon senso e soprattutto documentando sempre le scelte di adozione di determinati servizi e strumenti e le giustificazioni che ne stanno alla base, nel rispetto del principio di accountability che oggi, in particolar modo, deve guidare l’azione dei titolari del trattamento.

Per approfondire ulteriormente le questioni fin qui esaminate, si segnalano due recenti occasioni di confronto, il workshop 'Come gestire le problematiche legate a Google Analytics. Microsoft 365, Fanpage di Facebook & servizi simili' nel quale hanno preso parte gli avvocati Andrea Lisi e Sarah Ungaro e il talk 'Divieto di trasferimento dei dati all’estero: una riflessione sull’astrattismo della giurisprudenza europea' dove lo stesso Avv. Lisi si confronta con l’Avv. Luca Bolognini, presidente di IIP – Istituto Italiano per la Privacy.

I due approfondimenti sono liberamente disponibili all’interno del palinsesto della piattaforma DIGEAT PLUS