Privacy VS Profilazione: cosa fare dopo il caso Google Analytics.

Privacy vs tracciamento: una questione annosa per le aziende

Un dato ormai acquisito nella società odierna, risiede nel fatto che, a fronte della reticolazione sempre più complessa dell’ecosistema digitale, la cui ramificazione è analoga “ad una selva oscura in cui la diritta via può essere facilmente smarrita”, risulti notevolmente intricato per tutte le aziende internaute comprendere quali siano effettivamente le misure idonee per affrontare le annose questioni legate al trattamento e trasferimento dei dati personali in conformità al GDPR (Reg. UE 679/2016).

Del resto, un luogo che, per sua natura, è privo di materialità, confini e limiti, rischia di rendere complesso l’orientamento al suo interno anche agli esploratori più esperti: di qui, una “breve guida che vuole rendersi utile per ritrovare la “diritta” via.

Come noto, il GDPR è intervenuto sotto molteplici forme per tentare strenuamente di infondere maggiore consapevolezza e garantire un più alto livello di protezione alla circolazione dei dati personali, affinché essa avvenga in modo controllato ed entro parametri di sicurezza che mirino alla salvaguardia dei diritti e le libertà dei soggetti coinvolti. 

Di conseguenza, viene sancito che: condizione dirimente per la liceità del trattamento dei dati personali è la prestazione di un consenso libero, specifico, informato e inequivocabile da parte del soggetto a cui quei dati appartengono (art. 4 par. 11 GDPR).

Tale manifestazione di volontà, dunque, deve estrinsecarsi tramite un atto positivo chiaro, a mezzo del quale la persona interessata accetta inequivocabilmente il trattamento dei propri dati personali per le esclusive finalità indicate espressamente dal titolare del trattamento. Vi è di più, l’interessato deve avere il diritto di poter revocare il proprio consenso in qualsiasi momento con la medesima facilità con cui è stato inizialmente accordato (art. 7, par. 3 GDPR).

Le richieste del Garante Privacy per le aziende internaute

In virtù di quanto riportato, compito principale delle aziende è rendere effettivi i caratteri del consenso, informando adeguatamente l’interessato circa le modalità e finalità del trattamento che verrà posto in essere, affinché l’acquisizione dei dati avvenga in modo 100% conforme a quanto stabilito dal regolamento. Ma come fare in concreto?

In primis, le aziende devono predisporre con accuratezza per gli utenti un’informativa privacy chiara e completa – presupposto, questo, essenziale tanto per ritenere il consenso validamente prestato quanto per la liceità dei trattamenti eseguiti dal titolare. 

Deve essere prestata grande attenzione ai contenuti di questo documento, poiché esso è tenuto a trasporre fedelmente le finalità per cui i dati vengono trattati, modalità e destinazione del trasferimento, il relativo periodo di conservazione, le categorie di soggetti cui possono essere comunicati etc. 

A differenza di quanto considerato erroneamente da molti, questo non è un documento generico e standard, dal momento che l’informativa è tenuta a descrivere le circostanze concrete e le caratteristiche del trattamento, nonché le tutele per gli interessati. La presa visione dell’informativa è obbligatoria per l’utente, il quale è tenuto ad acconsentire al contenuto selezionando un’apposita checkbox.

Altro aspetto a cui gli operatori di Internet devono prestare attenzione nei confronti dei propri utenti è che quest’ultimi possano gestire adeguatamente l’attivazione dei cookie e di tutti gli altri strumenti di tracking volti alla raccolta dei loro dati personali.

I cookie, d’altro canto, rappresentano uno dei metodi più comuni per la raccolta e condivisione dei dati personali online, pertanto, è necessario che gli utenti acconsentano espressamente al loro utilizzo (unica eccezione a tale regola riguarda i cd. Cookie tecnici, necessari per permettere il corretto funzionamento del sito web e la navigazione dell’Utente). 

Ma vi è di più, in virtù delle numerose tipologie di cookie utilizzabili dai siti, è necessario che nel banner dedicato essi siano indicati in macro-categorie (i.e. strettamente necessari, misurazione, targeting e pubblicità, miglioramento dell’esperienza) e venga concessa la possibilità all’utente di scegliere esplicitamente quali cookie attivare e quali no, tramite un cd. Consenso granulare, non essendo sufficiente, di conseguenza, la costrizione ad un “all in”, ovvero solamente “accetta tutto” o “rifiuta tutto” senza mezzi termini. 

In ossequio a quanto già riportato, il consenso ai cookie deve essere preventivo, esplicito, specifico libero e revocabile dall’utente in qualsiasi momento. Infine, tutti i consensi al trattamento dei dati personali devono essere custoditi e archiviati in modo sicuro dalle aziende, tramite un registro apposito, il quale permette di avere una prova della corretta acquisizione dei consensi stessi e rappresenta a tutti gli effetti un documento legale di censimento e analisi dei trattamenti effettuati dal titolare o responsabile. 

È bene tenere a mente che tale registro dovrà essere aggiornato costantemente, poiché il suo contenuto deve corrispondere all’effettività dei trattamenti attuati e, i dati in esso contenuti, dovranno essere “cristallizzati” (i.e. attraverso l’apposizione di una marca temporale al momento dell’archiviazione), e quindi resi immodificabili, poiché, come è noto, il dato informatico è facilmente alterabile e/o modificabile.

Quali strategie adottare per adeguarsi alle nuove linee guida del Garante Privacy

In virtù dell’importanza accordata al consenso nel GDPR, il dilemma maggiore che si pone in capo ad un’azienda che intenda sviluppare le proprie operatività sul web garantendo che il consenso prestato dall’utente sia pienamente consapevole, sussiste nella ricerca di quali strategie adottare per rendere ciò concretamente possibile. 

È noto, d’altronde, che la prestazione del consenso da parte dell’utente medio avviene in modo spesso inconsapevole, soprattutto per quanto riguarda i cookie, dal momento che i banner spuntano come funghi dappertutto assillando costantemente l’utente, il quale, per reazione istintiva, clicca il più velocemente possibile pur di farli sparire. 

A tale inevitabile inconveniente, la strategia del cd. Legal design potrebbe venire in aiuto delle aziende più audaci nell’affrontare tale situazione avversa, prediligendo l’utilizzo di un linguaggio semplice e chiaro, e non di tecnicismi degni di un azzeccagarbugli, la scelta di immagini o di un linguaggio intuitivo, al posto di “muri” di testo pari alla Divina Commedia per lunghezza ma non di certo per valore culturale e trasparenza negli accordi che non devono utilizzare latinismi astrusi. 

Le aziende, pertanto, dovrebbero cambiare state of mind cercando di porre l’esperienza e la consapevolezza dell’utente – e non i propri obblighi – al centro, nel tentativo di ingenerare la comprensione del cliente e abbattendo – in tal modo – le barriere della complessità, al fine di creare un nuovo livello di fiducia tra azienda e utente anche rispetto a questa sensibile tematica.

Il dilemma del trasferimento dei dati extra U.E. per le aziende

Le possibilità che ne deriverebbero sono innumerevoli. Chiarite – almeno in parte – alcune delle annose tematiche che attengono alle modalità di prestazione del consenso per il trattamento dei propri dati personali, è ora opportuno accennare ad un’altra questione, legata inscindibilmente alla prima, che è oggetto di vivace dibattito e di numerose pronunce da parte delle autorità preposte al controllo del rispetto dei principi del GDPR, ovverosia il dilemma del trasferimento dei dati che avvenga extra U.E. e il complesso vaglio dell’adeguatezza delle misure adottate oltre frontiera le quali oltremodo cambiano da paese a paese. 

Il trattamento dei dati a livello transnazionale rappresenta forse la questione più complessa che le Autorità sono tenute a dirimere, in quanto più fitta diventa la rete cibernetica mondiale, maggiore – inevitabilmente – è il trasferimento di dati da un capo all’altro del globo e minore è la garanzia di un controllo effettivo di tale flusso inarrestabile. 

Tale fenomeno è, d’altronde, un meccanismo essenziale per tutte le imprese che si occupano di fornire servizi globali e, dunque, per quelle maggiormente influenti sul piano economico, le quali sovente fanno ricorso ai servizi maggiormente utilizzati e performanti (ad esempio Google Analytics) e tuttavia forniti, almeno nella stragrande maggioranza dei casi, da aziende che hanno sede negli USA. 

Consapevole della preminenza del tema, il legislatore ha dedicato l’intero Capo V del GPDR alla disciplina inerente i trasferimenti di dati personali verso Paesi terzi e organizzazioni internazionali. All’art. 13 GDPR, viene stabilito innanzitutto che, in caso di raccolta presso l’interessato di dati che lo riguardano, il titolare del trattamento dovrà informarlo in merito alla sua intenzione di trasferirli a un paese terzo e riguardo all’esistenza o l’assenza di una decisione di adeguatezza della Commissione o comunque di garanzie appropriate o opportune (Art. 46 e ss. GDPR), nonché dei mezzi per ottenere una copia di tali garanzie o il luogo dove sono state rese disponibili.

Quando è ammesso il trasferimento dei dati verso un Paese terzo

A tale riguardo, il GDPR prescrive che il trasferimento dei dati verso un Paese terzo è ammesso:

1) In presenza di una c.d. Decisione di adeguatezza, ovverosia qualora la Commissione abbia stabilito che, ai sensi dell’art. 45 GDPR, il Paese terzo o l’organizzazione internazionale garantiscono un livello di protezione adeguato.

2) Qualora, in mancanza di una decisione esplicita della Commissione, il titolare del trattamento o il responsabile del trattamento forniscano garanzie adeguate ai sensi dell’art. 46 GDPR. A tal riguardo, costituiscono garanzie adeguate, senza la necessità di richiedere un’autorizzazione specifica all’Autorità di Controllo, gli strumenti giuridici vincolanti ed esecutivi tra soggetti pubblici, le norme vincolanti d’impresa, le clausole tipo, i codici di condotta, i meccanismi di certificazione, nonché – previa autorizzazione dell’Autorità – le clausole contrattuali ad hoc e gli accordi amministrativi tra autorità e organismi pubblici.

3) In assenza di qualsiasi presupposto di cui sopra, sulla base di alcune deroghe specificamente indicate dal legislatore europeo ai sensi dell’art. 49 GDPR. 

A discapito della disciplina formale, tuttavia, numerose sono le problematiche relative al trasferimento dei dati personali, soprattutto quando questo avviene in paesi come gli Stati Uniti, dove le autorità sono legittimate a richiedere alle aziende con sede negli USA, sulla base del “Cloud act”, di trasmettere a loro i dati di cui siano in possesso, custodia o controllo, inclusi dunque i dati di cittadini europei.   

In conseguenza, diverse sono altresì le controversie sorte e le ‘ipocrisie’ svelate in concreto rispetto al trattamento dei dati compiuti extra – UE ancorché coperti, talvolta, da decisioni di adeguatezza adottate dalla Commissione. A rientrare in tale casistica, prime fra tutti, le note sentenze cd. Schrems I e II, la cui trama è degna di un legal thriller.

Il caso Schrems e le questioni irrisolte

Il caso è ormai molto noto: un cittadino austriaco di nome Maximilian Schrems nel 2013 denunciò all’Autorità di controllo irlandese il fatto che Facebook – Social Network che allora era nella fase di massima ascesa a livello globale – violasse costantemente il diritto alla riservatezza e alla protezione dei dati personali degli utenti europei a seguito del trasferimento di tutti i dati a loro inerenti dai server irlandesi a quelli situati in California.

In estrema sintesi, la Corte di Giustizia UE, investita della questione, verificò la validità effettiva dell’accordo Safe Harbour, che allora regolava i rapporti tra Europa e Stati Uniti d’America circa le misure atte a garantire un livello di protezione dei diritti fondamentali in tema privacy.

A seguito di tale vaglio, la Corte – sancendo la violazione dei principi di necessità e proporzionalità dei trattamenti svolti dall’autorità statunitensi per fini di sicurezza nazionale e alla luce della mancanza di una tutela amministrativa o giudiziaria effettiva per tutti coloro che vedevano non rispettati i propri diritti privacy – decretava la caduta dell’accordo Safe Harbour – che tanto sicuro nei fatti non era. 

Ma le peripezie negli accordi tra Europa e Stati Uniti per il trasferimento dati non finiscono qui: a seguito della sentenza – dopo un periodo transitorio in cui le imprese come extrema ratio hanno dovuto ricorrere alle Standard Contractual Clauses e alle Binding Corporate Rules per poter trasferire legittimamente i dati personali negli USA – nel 2016 la Commissione U.E. e il Governo americano addivenivano ad un nuovo accordo denominato Privacy Shield.

Sennonché, nonostante il richiamo quasi epico del nome, anche tale accordo non ebbe vita lunga. Oggetto di attento vaglio e censura da Maximilian Schrems, quest’ultimo presentò un’ulteriore denuncia all’Autorità di Controllo irlandese ritenendo che lo ‘scudo’ fosse, di fatto, un mero specchietto per le allodole, in quanto gli Stati Uniti continuavano a non garantire effettivamente una protezione sufficiente ai dati ivi trasferiti. Per questo motivo, Schrems chiedeva la sospensione e il divieto dei trasferimenti compiuti da Facebook Ireland dei propri dati in California. 

Nuovamente investita della questione dall’autorità irlandese, la Corte di Giustizia con sentenza 16.07.2020 si pronunciava sull’adeguatezza della protezione offerta dal Privacy Shield dichiarando anche quest’ultimo invalido in virtù dell’incompatibilità della normativa americana con quella europea rispetto al potere di ingerenza delle autorità pubbliche americane nell’accesso ai dati trasferiti, oltre che la mancanza di adeguate tutele giurisdizionali per i soggetti che si ritengono lesi nella propria privacy.

Le due sentenze, tuttavia, a parere di molti, hanno rappresentato una vittoria di Pirro sul tema, in quanto la tutela degli utenti in tali trasferimenti non è di fatto migliorata: le Standard Contractual Clauses e le Binding Corporate Rules, difatti, creano non poche criticità agli operatori e numerosi sono i dubbi circa l’effettiva adeguatezza di questi strumenti. 

In particolare, le Standard Contractual più utilizzate, non sono altro che un modello di “clausole tipo” adottato dalla Commissione sulla base delle quali predisporre gli accordi per il Trasferimento extra-UE dei dati personali da Titolari o Responsabili del trattamento nell’UE/SEE (o comunque soggetti al GDPR) a responsabili o titolari del trattamento stabiliti al di fuori dell’UE/SEE (e non soggetti al GDPR). 

Sebbene il 4 giugno 2021 la Commissione abbia pubblicato una versione “modernizzata” di tali clausole, queste sono ancora oggi difficilmente utilizzate dai fornitori di servizi o spesso di difficile reperimento anche qualora si tenti di contattare il fornitore utilizzando i recapiti e le procedure da questo indicate.

Per le ragioni indicate e le sensibili questioni ancora irrisolte si auspica vivamente che la nuova intesa annunciata dalla Commissione europea e il Governo americano non abbia nuovamente un risvolto gattopardesco, laddove solamente il nome dell’accordo cambierà affinché nulla cambi realmente.

È necessario tenere presente, d’altronde, che la coniugazione tra modelli così diversi – quello europeo maggiormente garantista, improntato sulla salvaguardia dei diritti fondamentali e dall’altro quello americano focalizzato sugli interessi imprenditoriali e sulla sicurezza nazionale – risulti in concreto fortemente complessa. Cosicché il Trans-Atlantic Data Privacy Framework, il nuovo accordo UE-USA per la protezione dei dati annunciato il 25 marzo scorso, dovrà trovare soluzioni nuove a questioni irrisolte.

Google Analytics e GDPR: perché il Garante Privacy boccia Big G

Le vicende inerenti al trasferimento di dati da parte delle Big Tech tra Europa e Stati Uniti non terminano, tuttavia, con Schrems capitolo I e II. È recentissima, difatti, la decisione del Garante italiano – di concerto con le autorità garanti di Francia, Austria e Danimarca – nei confronti di Google Analytics che, a conclusione di una complessa istruttoria in concerto con le altre autorità privacy europee, ha sancito lo stop all’utilizzo di tale servizio, in virtù del fatto che i dati venivano trasferiti da Google negli Stati Uniti senza le adeguate garanzie, in violazione del GDPR

Google Analytics, in breve, è un servizio gratuito fornito dalla Big Tech americana agli utenti al fine di monitorare accuratamente il proprio sito web e l’interazione che gli utenti compiono con lo stesso. Esso mostra le statistiche e i dati relativi agli accessi degli utenti fornendo un prospetto molto dettagliato di indirizzo IP del dispositivo da loro utilizzato, informazioni sul browser, la lingua selezionata, oltre ad analisi circa le pagine maggiormente visitate, le tempistiche medie, i link più cliccati, orari e date di accesso etc. 

Date le caratteristiche del servizio, il Garante, in primo luogo, ha verificato se il trattamento effettuato integrasse o meno un trasferimento dei dati al di fuori dello spazio europeo: sebbene, difatti, i termini contrattuali facessero esplicito riferimento a Google Ireland Limited con sede in UE come controparte contrattuale e gestore del servizio, i termini di utilizzo prevedevano anche che i dati potessero essere trasferiti anche ad altre società del gruppo, come Google LLC con sede negli USA. In virtù di ciò, i diversi garanti hanno tutti stabilito la sussistenza di un trasferimento di dati all’estero.

Di conseguenza, l’Autorità ha esaminato se il trasferimento effettuato tramite Standard Contractual Clauses fosse o meno conforme al Capo V del Reg. UE 2016/679. 

Nel caso di specie, il Garante riteneva che le clausole contrattuali fossero insufficienti a garantire un livello adeguato di protezione dei dati trasferiti, alla luce di una valutazione del contesto specifico in cui i dati venivano trasferiti. 

In particolare, il Garante italiano ha rilevato l’insufficienza delle misure tecniche adottate a garanzia del trasferimento. Nello specifico, veniva sollevato il fatto che, sebbene Google analytics, versione 3, desse la possibilità di anonimizzare gli indirizzi IP, ciò non fosse una tutela sufficiente nella misura in cui le chiavi per la decriptazione rimanevano di proprietà di Google che poteva dunque risalire agli indirizzi IP degli Utenti, rendendo vana ogni anonimizzazione.

In virtù di quanto scritto, in data 9 giugno 2022, il Garante si esprimeva ritenendo il servizio violativo dei principi del GDPR e prescriveva alla società assoggettata al provvedimento di individuare, entro il termine di novanta giorni, delle misure tecniche aggiuntive o, in alternativa, un diverso servizio che fornisse garanzie adeguate, senza pertanto emanare sanzioni economiche.

La decisione del garante ha creato un ampio turbinio nel mondo del web, posto che, da una parte, la maggior parte delle aziende utilizzano Google Analytics per valutare le performance dei propri siti e, dall’altra, i servizi alternativi forniti sul web non sono spesso altrettanto performanti. 

Quello che è certo è che l’impossibilità di utilizzare questo strumento, è un problema concreto per molte aziende, soprattutto per quelle in cui l’attività di remarketing risulta di centrale importanza. Ma i “grattacapi” derivanti dalla decisione non finiscono qui. 

Garanti della privacy UE vs Big Tech USA: come finirà?

In una dimensione più ampia del discorso è evidente che la decisione del garante tocchi potenzialmente tutti i servizi forniti dalle Big Tech americane: a ben vedere, ieri è toccato a Facebook con le due sentenze Schrems, oggi a Google e domani probabilmente ad Amazon – si sa da tempo che i colossi del web non sono di certo dei santi.

Tuttavia è altrettanto evidente che quelle citate sono tutte società americane ai vertici dei loro settori a livello mondiale e i cui servizi sono spesso di alta qualità per l’utente oltre che in costante aggiornamento. 

Il punto dirimente, dunque, è se sia possibile trovare soluzioni del tutto europee che garantiscano lo stesso livello di performance dei servizi, nel pieno rispetto del GDPR, posto che – se così non fosse – sarebbe opportuno rivalutare il confine dell’adeguatezza, poiché il divieto di utilizzo di questi strumenti si potrebbe trasformare, in un concreto problema per le aziende.

Aldilà degli aspetti più filosofici, Google Analyitcs, a seguito delle diverse decisioni dei garanti, sta lavorando a una propria nuova versione che possa essere effettivamente conforme ai principi del GDPR. Le autorità garanti europee lo considereranno uno sforzo sufficiente ai fini della tutela degli interessati? Ancora non lo sappiamo, ai posteri l’ardua sentenza sulla versione 4.0.

La nostra roadmap pensata per tutte le aziende internaute che devono muoversi nell’intricato sistema del tracciamento dati entro ed extra UE giunge al termine. Non ci resta che augurarvi un buon viaggio nella Cyber Jungle e ricordarvi che tutti i temi passati in rassegna fin qui saranno approfonditi nella terza puntata del talk Welcome to the Jungle di Magilla.

N.B. Questo numero di MegaBite è stato curato dal team di QUBIT Law Firm, società di legali specializzata nel diritto delle nuove tecnologie e nella digital transformation, partner di Magilla NELLA COMPLIANCE NORMATIVA ON-LINE e nell’offerta di soluzioni di adeguamento PRIVACY.

    Richiedi una consulenza sulla compliance GDPR della tua azienda.

    1
    Autorizzo il trattamento dei miei dati per ricevere informazioni relative alle mie richieste e dichiaro di aver preso visione della privacy policy.


    Qubit

    QUBIT Law Firm, partner di Magilla nella compliance normativa on-line e nell'offerta di soluzioni di adeguamento privacy.

    Articoli correlati
    Il Digital Marketing fra advertising & consapevolezza

    Il Digital Marketing fra advertising & consapevolezza

    Facebook Advertising: conosci veramente le regole di Mark?

    Facebook Advertising: conosci veramente le regole di Mark?

    Food e-Commerce: numeri, tendenze e idee per un business online di successo

    Food e-Commerce: numeri, tendenze e idee per un business online di successo

    Dicci cosa ne pensi su...

    Vuoi saperne di più?

    Oppure scrivici

      1
      Dichiaro di aver letto e di accettare la privacy policy presente sul sito ed autorizzo inoltre il trattamento dei miei dati personali secondo la Sezione 13 del Decreto Legislativo n. 196/2003 art. 13 del Regolamento generale sulla Protezione dei Dati (EU) 679/16 (GDPR).
      1
      Iscriviti alla nostra newsletter

      Sai cos'è MegaBite?

      MagillaGuerrilla s.r.l.

      Palazzo Aldrovandi
      Via Galliera 8 - Int. 22 - 40121 Bologna (BO), Italy
      P.I. – C.F. 03157711205 - REA BO 496758 - C.S. € 12.000
      Tel. +39 051 221872

      Privacy policy - Cookie policy - Impostazioni cookie

      Magilla | Il pollice opponibile del marketing