Trasferimento dati negli Stati Uniti: perché il caso Google Analytics è solo la punta dell'iceberg

Pur essendo in qualche modo attesa, ha destato grande scalpore la decisione del Garante Privacy del 9 giugno 2022 con cui di fatto è stato dichiarato inaccettabile l’uso di Google Analytics, almeno in una specifica configurazione.

A margine del provvedimento, il Garante ha ritenuto opportuno richiamare l’attenzione di tutti i gestori italiani di siti Web, pubblici e privati, rispetto all’illiceità dei trasferimenti di dati effettuati verso gli Stati Uniti invitando allo stesso tempo a verificare la conformità con la normativa in materia di protezione dei dati personali degli strumenti utilizzati, ponendo l’accento in particolare su a Google Analytics e su altri servizi analoghi.

Il provvedimento del Garante Privacy riguarda Google Analytics ma le conseguenze sono dirompenti

Sebbene si parli con grande enfasi di Google Analytics, il problema non deriva solamente da questo servizio bensì da tutti quelli che pongono in essere un trasferimento di dati verso l’estero. Le pagine Web pullulano di strumenti che pongono in essere questi trasferimenti: citiamo ad esempio tanti servizi CDN, proxying e caching, utilizzati per velocizzare il caricamento; per l’hosting dei siti Web (si pensi a quanti siti più o meno amatoriali sono ospitati sulla piattaforma Blogger); quelli per l’erogazione di banner pubblicitari (essenziali per tante attività editoriali online) e in generale per la gestione dell’advertising; le piattaforme CRM ospitate sul cloud; le decine di plugin che gli utenti di WordPress installano; Facebook e gli altri social network ma anche il semplice embedding di un video YouTube… Giusto per fare qualche semplice esempio.

Perché per molte realtà è difficile valutare alternative ai servizi erogati da aziende con sede negli Stati Uniti

Esistono alternative europee ad alcuni dei servizi citati? Sì, ci sono e alcuni siti come questo le presentano nel dettaglio.
Il fatto è che la stragrande maggioranza delle attività che fanno business online si appoggiano a servizi erogati da aziende con sede principale negli Stati Uniti.
Questo perché la maggior parte dei servizi usati quotidianamente dagli utenti è erogato, ancora una volta, proprio da soggetti USA.
Le motivazioni che ci hanno condotto a questa situazione sono tante, articolate e troppo complesse per essere affrontate in poche righe. Ma sono ormai vecchie di decenni.

Per le attività di Web marketing e in generale di digital marketing, inoltre, sia le realtà aziendali di più grandi dimensioni che i soggetti più piccoli sfruttano le “sinergie” che col tempo sono state sviluppate attorno ai vari servizi di Google, Facebook, Amazon, Microsoft e altri grandi nomi.
Se un privato può agevolmente “depennare” Google Analytics (giusto per fare l’esempio dello strumento più citato da alcune settimane a questa parte) dalle proprie pagine Web, la stessa cosa non si può dire per un professionista, un’azienda o una grande realtà imprenditoriale online.
Google Analytics è spesso utilizzato in un contesto molto più ampio; è un tassello che è parte integrante di un insieme di strumenti utilizzati per fare business online, per erogare e migliorare costantemente i propri servizi. Sostituendo Google Analytics con un altro strumento le altre attività potrebbero diventare molto più costose o di fatto non più espletabili come prima.

Il caso Google Analytics, l’arrivo di GA4 e il problema dell’anonimizzazione dei dati personali

Il Regolamento generale sulla protezione dei dati (GDPR) contiene tutta una serie di prescrizioni rispetto al trasferimento dei dati personali degli utenti al di fuori dei confini europei.
All’atto pratico, però, non è possibile prescindere da una verifica caso per caso al fine di controllare se un trasferimento di dati verso l’estero sia legittimo o meno. Con le migliaia di servizi SaaS (Software-as-a-Service) oggi disponibili effettuare una verifica è tutt’altro che cosa banale. Ed ecco perché Google Analytics è soltanto la punta dell’iceberg.

Se parliamo soltanto di Google Analytics, quindi di un solo “ingranaggio” (seppure importantissimo) che costituisce la spina dorsale per il business di tante realtà online, sappiamo che Google Universal Analytics (GA3) è stato certamente ritenuto inadeguato dal Garante italiano e dalle Autorità europee (quella austriaca e francese) che si erano precedentemente espresse sullo stesso tema.

Rispetto a Google Analytics 4 (GA4), che l’azienda propone come successore di GA3 (quest’ultimo sarà dismesso a metà 2023), l’azienda di Mountain View sottolinea nel suo documento Privacy e dati nell’UE che “durante la raccolta dei dati, Google Analytics 4 non registra né archivia gli indirizzi IP. Analytics elimina eventuali indirizzi IP raccolti sugli utenti dell’UE prima di registrare questi dati tramite domini e server che si trovano nell’UE“. Inoltre precisa che gli utenti di GA4 possono “attivare e disattivare la raccolta di dati granulari su località e dispositivi in base all’area geografica“.
Secondo Google, insomma, con GA4 si può anonimizzare la raccolta dei dati quando con GA3 ciò non era possibile se non attraverso un’operazione di pseudoanonimizzazione degli indirizzi IP attivata su richiesta del gestore del sito Web (giudicata insufficiente e inadeguata dal Garante).

La situazione va risolta a livello politico e normativo. Il rischio è un Web completamente diverso rispetto a quello che conosciamo

“La protezione del dato è un diritto fondamentale ma se vogliamo azionarlo correttamente dobbiamo colpire chi è responsabile della conservazione e dell’uso dei dati, cioè Google e le grandi piattaforme. Dovremmo indirizzare meglio le nostre azioni“, ha recentemente commentato Andrea Lisi, avvocato e presidente di Anorc Professioni.
Riferendosi al provvedimento del Garante, Andrea Lisi afferma che “le conseguenze di questa decisione non riguardano solo Google Analytics: il problema è che se la situazione non viene risolta a livello politico e normativo, tutti i servizi di Google e non solo, rischiano di essere illegittimi. Se così fosse, rischiamo di avere un Web completamente diverso da come l’abbiamo inteso fino ad ora, con conseguenze immense per tutto il sistema. Questo è un dibattito molto ampio che si inserisce in uno scenario di politica internazionale complesso, che riguarda i rapporti tra Stati uniti e Unione Europea. Ad oggi gli Stati Uniti non si sono adeguati alla normativa UE; non c’è un accordo, ma si sta cercando di raggiungerlo“.

Nel corso del talk “Divieto di trasferimento dei dati all’estero: una riflessione sull’astrattismo della giurisprudenza europea” lo stesso avvocato Lisi si è confrontato con Luca Bolognini, legale e presidente dell’Istituto Italiano per la Privacy e la Valorizzazione dei Dati (IIP).
Ne è scaturito un confronto interessantissimo durante il quale sono state presentate potenziali soluzioni concrete.

Le soluzioni interpretative per uscire dall’impasse

Nelle FAQ della Commissione Europea relative alle Clausole Contrattuali Standard (SCC) (risposta n°40), si precisa che esportatore e importatore dei dati sono tenuti a svolgere una Valutazione d’Impatto del Trasferimento (Transfer Impact Assessment, TIA). In soldoni si chiede a cittadini, imprenditori, professionisti, funzionari pubblici e così via di svolgere complesse analisi strategiche e geopolitiche al pari degli enti specializzati a livello nazionale e internazionale. Qualcosa stride.

Una possibile soluzione al problema del trasferimento dei dati extra-UE potrebbe arrivare dal contenuto dell’art.49 del GDPR, che fissa le deroghe previste.
Potrebbe auspicabilmente esservi una revisione meno restrittiva casistiche di deroga o qualche utile chiarimento interpretativo, ad esempio con un aggiornamento delle linee guida del Comitato Europeo per la Protezione dei Dati, 2/2018.

L’avvocato Bolognini osserva che potrebbero essere definiti i contorni di un “risk-assessment che contempli le condizioni obiettive del trasferimento, la natura dei dati e tutti gli elementi che potrebbero fare la differenza, pur in presenza di una destinazione (per il trasferimento dei dati, n.d.r.) giuridicamente pericolosa“.

Non solo. A conferma che una strada interpretativa più flessibile nella lettura dell’art. 49 possa rivelarsi un’opportunità da approfondire, Bolognini rileva che l’occasionalità di un trasferimento in deroga, necessario per dare esecuzione a un contratto con l’interessato (i.e. l’utente del sito o dell’applicazione Web), potrebbe essere ragionevolmente misurata sull’interessato specifico in quel contesto e “non sulla sistematicità del mestiere svolto dal titolare o dal responsabile del trattamento“.

Ancora, per Bolognini, la decisione dell’Autorità garante ci mette davanti a “un problema più grande di noi perché sono questioni di rilievo geopolitico che richiederebbero per risolversi delle modifiche legislative; non stiamo parlando solo del rapporto UE-USA ma di tutto il resto del mondo“.

La ratio dell’attuale legislazione consiste nel non rendere possibile l’accesso in chiaro al dato personale nel Paese di destinazione che risulta “inadeguato” dal punto di vista normativo rispetto ai princìpi fissati nel GDPR.
Si pensi però alla situazione tipica: un’azienda con sede principale negli States che ha una o più controllate in Europa. È vero che nei contratti dei servizi cloud con entità che hanno sede extra-UE è presente una clausola che informa l’utente-cliente circa la possibilità, in casi eccezionali, di un trasferimento all’estero su richiesta ad esempio delle autorità dello Stato estero ma anche vero che per effettuare questo tipo di operazione sarebbe richiesta un’autorizzazione specifica da parte della Autorità europee.

Il Cloud Act americano e i trasferimenti di dati extra-UE in casi eccezionali

Il Cloud Act americano, ad esempio, non prevede un accesso sistematico ai dati degli utenti europei: ciò è previsto solamente, come detto, in casi eccezionali e con finalità che devono essere argomentate e giustificate in modo approfondito. La domanda è: ispirandoci ai principi di ragionevolezza e responsabilità dai quali non si dovrebbe mai prescindere, è corretto che a risponderne sia il cliente-utente italiano o comunque europeo dell’azienda con sede negli Stati Uniti o in altro Paese extra-UE riconosciuto “inadeguato” in punto di GDPR? E ha davvero senso che lo stesso cliente-utente titolare del trattamento sia costretto a subire una verifica formale o, peggio, un provvedimento sanzionatorio per una condizione che può eventualmente verificarsi solo in casi eccezionali?

Anche perché pure l’Europa sta lavorando da anni al suo Cloud Act che permetterà alle autorità e agli enti governativi di ottenere dati extra-Ue dai server esteri senza rogatoria. Con il GDPR che già riconosce un’eccezione (art.23) agli Stati membri in tema di raccolta dei dati per finalità di sicurezza nazionale.

Il dito è insomma sempre più puntato sui vari titolari del trattamento dei dati, anche molto piccoli, a livello di singoli Stati membri. “A livello geopolitico si danno però troppe cose per scontate“, osserva l’avvocato Lisi. Invece che volgere l’attenzione verso le grandi società che forniscono i servizi utilizzati dai titolari del trattamento, continua Lisi, si fa presente che può esservi un potenziale trasferimento di dati – non necessariamente diretto e consapevole – verso la controllante extra-UE anche a dispetto del fatto che i server siano fisicamente collocati in Europa. “Si dà per scontato che un provvedimento giudiziale negli Stati Uniti abbia efficacia diretta sulla società controllata in Europa, pur appartenente al gruppo americano. Il provvedimento invece non può avere efficacia diretta, ad esempio, in Italia. Esso deve essere valutato dai giudici italiani e reso quindi eventualmente applicabile“.

Si può forse pensare che esista uno “scambio tra server UE-USA” dei vari big della tecnologia in spregio di tutte le normative vigenti? Dove sono le prove? Chi si sente di avanzare questa tesi?
Se davvero fossero già in essere pratiche simili, il problema sarebbe quasi da affrontare in sede di Corte europea dei diritti dell’uomo. E ciò se qualcuno avesse contezza del fatto che Oltreoceano o in qualunque altro Paese extra-UE si stessero effettivamente violando i diritti fondamentali dei cittadini europei. In questo modo si toglierebbero dalla graticola i fornitori dei servizi, quindi i responsabili del trattamento, e i “poveri” titolari del trattamento che si trovano a confrontarsi sempre di più, ogni giorno, obtorto collo, con l’astrattismo dell’attuale giurisprudenza.

Qualcosa deve essere fatto perché a giudicare dalle centinaia di denunce che sono state presentate, legittimamente, da parte degli attivisti i prossimi provvedimenti riguarderanno decine di realtà online (e non certo soltanto a riguardo dell’uso di Google Analytics…).