La saga di Google Analytics – di per sé solo una costola della ben più ampia vicenda Schrems II –, dalla settimana scorsa si è arricchita di un ulteriore capitolo, quando una seconda mail dell’attivista digitale Federico Leva ha fatto seguito alla sua prima richiesta di cancellazione dei dati, rivolta a suo tempo a innumerevoli Titolari del trattamento.
Un breve riepilogo, per i pochi che si fossero persi gli snodi chiave della vicenda GA:
Il 23 giugno scorso, con un comunicato stampa pubblicato sul proprio sito istituzionale, il Garante per la protezione dei dati ha reso noto che “Il sito web che utilizza il servizio Google Analytics (GA), senza le garanzie previste dal Regolamento Ue, viola la normativa sulla protezione dei dati perché trasferisce negli Stati Uniti, Paese privo di un adeguato livello di protezione, i dati degli utenti”.
Unitamente al tale comunicato, è stato pubblicato il Provvedimento del 9 giugno 2022 con il quale il Garante ha ammonito una società Titolare del trattamento, ingiungendola a mettersi a norma in relazione all’uso di Google Analytics nel termine di 90 giorni.
Il Garante ha inoltre invitato tutti i Titolari del trattamento di verificare la conformità degli strumenti di tracciamento utilizzati nei loro siti web e di mettersi a loro volta a norma, ove necessario. Allo scadere di tale termine di 90 giorni, infatti, l’Autorità potrà procedere, anche sulla base di specifiche attività ispettive, a verificare la conformità al GDPR dei trasferimenti di dati effettuati, in generale, dai Titolari – con il conseguente rischio di una pioggia di sanzioni per tutti i siti web che continueranno trasferire dati negli Stati Uniti mediante Google Analytics o strumenti analoghi.
Per gli addetti ai lavori, la notizia non è stata certo una sorpresa, semmai uno tra i tanti prevedibili risvolti della sentenza c.d. Schrems II della Corte di Giustizia Europea, che già dal 16 luglio 2020 dichiarava illeciti i trasferimenti di dati negli Stati Uniti se non sottoposti a garanzie adeguate e misure di garanzia aggiuntive.
Al pronunciamento della CGUE sono seguiti diversi interventi del Comitato del Garanti Europei sul punto e, nello specifico, i pronunciamenti del CNIL e del Datenschutzbehörde che censuravano i data transfer extracomunitari effettuati con Google Analytics.
Tuttavia, soltanto con il comunicato stampa del 23 giugno scorso il tema è entrato di prepotenza negli uffici dei Titolari del trattamento italiani, che si sono trovati forse per la prima volta a riflettere approfonditamente ed in concreto sulle difficili implicazioni di Schrems II, rispetto alle quali Google Analytics altro non è che la punta dell’iceberg.
Le principali criticità riguardano, in sintesi, l’estrema diffusione di servizi informatici USA all’interno dello Spazio Economico Europeo e l’inadeguatezza – rilevata dalle Autorità Garanti francese, austriaca e italiana – delle misure aggiuntive di garanzia richieste dall’EDPB; sui requisiti di adeguatezza di tali misure, ad oggi, vi è ben poca chiarezza e le stesse richiedono peraltro valutazioni di estrema complessità da parte dei Titolari del trattamento, generalmente impensabili per le PMI o per piccole realtà pubbliche.
Ulteriore scompiglio, in una situazione già di per sé d’incerta risoluzione, è stato generato dalla prima, e oramai famigerata, e-mail di Federico Leva.
Pochi giorni dopo la comunicazione del Garante, un’eterogenea e numerosissima platea di Titolari del trattamento ha ricevuto da parte di Leva una richiesta di rimozione dei propri dati raccolti mediante Google Analytics.
Operazione di spam oppure legittimo esercizio di un diritto da parte di un interessato, meritevole di riscontro entro i 30 giorni previsti dal GDPR? La dottrina si è orientata quasi unanimemente sulla seconda impostazione, con l’endorsment del Componente del Garante Guido Scorza. Buona parte dei consulenti privacy e Responsabili della Protezione dati ha quindi consigliato ai propri clienti di rispondere all’attivista via mail, chiedendo ulteriori informazioni per poter provvedere alla cancellazione.
Si arriva così alla settimana scorsa quando buona parte dei Titolari che avevano riscontrato Leva hanno ricevuto da questi una seconda comunicazione, comprensiva di ulteriori specifiche utili per individuare i dati raccolti mediante GA oggetto della richiesta di cancellazione.
A questo punto, i Titolari del trattamento dovrebbero quindi avere in mano tutti gli elementi per soddisfare la richiesta ex art. 17 del GDPR e cancellare i dati di Federico Leva dai propri sistemi.
Quanto alle valutazioni riguardanti l’uso di Google Analytics in sé – passare a GA4? utilizzare le alternative menzionate dal CNIL? avvalersi di Web Analytics Italia? -, ad oggi non esiste, né probabilmente esisterà mai, alcuna soluzione ready-made e applicabile alla generalità dei Titolari del trattamento.
La vicenda lascia parecchi interrogativi aperti: il più grande, naturalmente, riguarda il destino della generalità dei servizi made in USA di comune utilizzo da parte dei Titolari europei.
Ad oggi pare del tutto anacronistico lasciare la patata bollente interamente nelle mani dei Titolari del trattamento e dei loro DPO e/o consulenti, e ciò non soltanto in virtù delle tortuose valutazioni di cui si è detto, ma anche a causa dello scarso – per non dire inesistente – potere di controllo esercitabile sui provider dei servizi, spesso inquadrati o inquadrabili come Responsabili del trattamento ex art. 28.
La soluzione a lungo termine non può quindi essere esclusivamente tecnico-legale: come auspicato da Guido Scorza stesso, certi nodi appaiono risolvibili solo a monte, con gli strumenti della politica e degli accordi internazionali.
Non ultimo, seppur a margine, emerge anche qualche perplessità sul ruolo degli attivisti della data protection, quali ad esempio i nostrani MonitoraPA e il già citato Federico Leva.
Le prime considerazioni riguardano l’interesse sostanziale di questi soggetti all’esercizio dei diritti di cui agli artt. 15-22 in qualità di interessati.
Già a livello preliminare, si potrebbe ritenere opinabile che dei dati di navigazione generati da sistemi di navigazione automatizzati debbano essere ricondotti nell’alveo dei dati riconducibili direttamente o indirettamente all’interessato.
Ma anche dal punto di vista sostanziale, ferme le disposizioni di cui all’art. 12 par. 5, che considerano l’eventualità dell’addebito all’interessato di un contributo spese in caso di richieste “manifestamente […] eccessive, in particolare per il loro carattere ripetitivo”, le richieste avanzate nei casi di specie risultano in parte esorbitanti rispetto ai diritti riconosciuti dal Capo III, assumendo talora i connotati di vere e proprie diffide (ad esempio alla dismissione di uno strumento informatico utilizzato dal Titolare del trattamento, come nelle PEC inviate oggi da MonitoraPA).
Tali richieste risultano peraltro rivolte, sempre con modalità automatizzate, a un numero indeterminato di Titolari, con un intento dichiaratamente politico-sociale e dimostrativo che non sembra collimare con l’elemento soggettivo che si trova tipicamente alla base dell’esercizio dei diritti da parte del privato cittadino.
Com’è noto, il GDPR non prende in considerazione l’animus con il quale è effettuato l’esercizio dei diritti, non richiedendo ad esempio l’interesse giuridicamente rilevante che costituisce requisito per l’accesso agli atti delle Pubbliche Amministrazioni di cui alla legge 241/90. Cionondimeno, episodi come quelli a cui abbiamo assistito di recente portano ad interrogarsi sull’opportunità di contestualizzare maggiormente il Capo III, la definizione d’interessato, nonché gli eventuali effetti di una sovrapposizione tra la figura dell’interessato e quella del Titolare del trattamento.
Non vi è dubbio infatti che gli attivisti trattino i dati personali dei destinatari delle loro richieste, e difficilmente con riferimento alle loro attività si potrà parlare di finalità domestiche.
Dovremmo pertanto considerare questi soggetti come Titolari del trattamento in piena regola, interamente soggetti alle disposizioni del GDPR?
Si tenga poi conto che i trattamenti in questione, oltre a coinvolgere una quantità massiva di dati, sono condotti dichiaratamente mediante strumenti automatizzati e tecniche di web scraping.
Ciò considerato, non si può non rilevare la parziale inadeguatezza, in termini di compliance al GDPR, dei siti web della gran parte degli attivisti e dei loro affiliati; e ci si chiede se, a fronte di trattamenti di tale portata, questi Titolari si siano dotati di un Responsabile della Protezione dei dati o abbiano effettuato una valutazione d’impatto.
Gli interrogativi qui esposti probabilmente sono destinati a rimanere senza una chiara risposta. Nel quadro in cui ci troviamo, risulta palese che legislazione, soft law, provvedimenti e giurisprudenza viaggiano a velocità diverse, sia tra di loro che rispetto al “paese reale”, per il quale si parla sovente di transizione digitale ma senza far menzione di come metterla in pratica concretamente e nella piena legalità.
Nel mentre, gli addetti ai lavori e i Titolari del trattamento continuano – ormai da quasi due anni – ad attendere e auspicare interventi e indicazioni concrete: non solo sul caso Google Analytics, non solo sul futuro dei rapporti tra Unione Europea e Stati Uniti post-Schrems II, ma in generale sui data transfer extraeuropei e sulla corretta applicazione degli artt. 44 ss..