Risale allo scorso 23 giugno il Provvedimento del Garante che ha, di fatto, reso illecito l’utilizzo di Google Analytics. La decisione, che segue l’ammonimento (pur senza una sanzione) della società Caffeina Media, ha ovviamente dato una notevole scossa ai rapporti tra il provider globale e la miriade di siti web che utilizzano i suoi strumenti (non solo Analytics).
Il nodo critico è rappresentato dalla questione del trasferimento dei dati all’estero. In assenza di una direzione normativa precisa, tale dibattito si fonda sull’analisi delle singole soluzioni al fine di verificarne le garanzie rispetto ai dettami del GDPR, almeno fino a quando non verrà stipulato e condiviso un nuovo accordo transatlantico.
Quali dati Analytics fa transitare in territori extra UE?
In primis l’indirizzo IP che, come noto, è a tutti gli effetti un dato personale in quanto permette di identificare l’utente e quindi l’interessato e soprattutto consente di ottenere ulteriori informazioni come il browser utilizzato oppure data e ora di navigazione.
Anche scegliendo di troncare le ultime cifre del codice IP, non si mette in atto una reale anonimizzazione ma solo una pseudonimizzazione. Anche se non visibili nei report del sito utente, Google resta in grado di risalire, tramite indirizzo IP completo in suo possesso, all’interessato. Questo significa violare il principio di accountability nell’utilizzo del servizio.
Ricordiamo che il GDPR chiede espressamente che il Titolare adotti misure tecniche ed organizzative adeguate, necessarie a garantire un idoneo livello di protezione dei dati personali dell’utente. In caso di trasferimenti extra UE l’onere in questione assume carattere maggiormente rilevante. Sta quindi ai singoli Titolari essere certi di rivolgersi, anche per questo tipologie di servizi, a fornitori in grado di dimostrare la loro affidabilità rispetto alle regole europee in tema di tutela dei dati personali.
Questo solleva, senza dubbio, una certa difficoltà da parte dei gestori dei siti nel far valere il proprio potere contrattuale rispetto a un big player come Google. L’asimmetria è evidente ed il Garante stesso ne ha tenuto conto nel suo Provvedimento (concedendo 90 giorni di tempo alla società per rimediare alla situazione), pur ordinando la sospensione dei flussi verso Google LLC con sede negli Stati Uniti.
Quali saranno quindi le possibilità per PA ed imprese?
Il primo passo per tutelare il proprio operato è quello di fare una analisi degli strumenti in uso. Analytics non è certamente l’unica possibile criticità sul fronte privacy e trasferimento dati extra UE. Una corretta mappatura della compliance dell’intera filiera dei fornitori, che comprenda una verifica della conformità delle soluzioni in uso in ottica privacy by design,è il più importante strumento per la riduzione del rischio. Gli strumenti adottati devono rispettare quanto previsto dal GDPR per l’intero ciclo del dato. Qualora non sia possibile agire settandoli nel rispetto della logica dell’accountability e operando eventuali aggiustamenti anche a livello contrattuale, sarà necessario scegliere altre soluzioni.
Di certo questo tipo di interventi che si moltiplicano tra le Autorità garanti europee, saranno anche di stimolo per il mercato. Il meccanismo domanda – offerta potrebbe esserne positivamente ispirato.
L’importante, una volta individuate nuove opportunità conformi, è non abbassare mai eccessivamente la soglia di attenzione. Non basta la sola analisi preliminare a mettere al riparo le organizzazioni da interventi sanzionatori. Occorre mantenere una vigilanza attiva sui propri strumenti, sui fornitori e – in sintesi – su tutti i soggetti (responsabili e sub responsabili esterni) che risultino coinvolti in modo più o meno diretto, nel trattamento di dati personali.
Ricevi gli articoli degli analisti di The Innovation Group e resta aggiornato sui temi del mercato digitale in Italia!