La recente pronuncia1 del Garante per la protezione dei dati personali ha avuto un impatto dirompente sullo scenario del digital marketing e più in generale dei servizi digitali sebbene, tuttavia, non giunga inaspettata.

La pronuncia del Garante

La vicenda, oramai nota, emerge a seguito di una complessa istruttoria promossa dal Garante nazionale sulla base di una serie di reclami che hanno interessato anche altre autorità europee; nei mesi scorsi, prima il garante austriaco e successivamente il garante francese, sono intervenuti su questioni similari con decisioni in linea con quella in oggetto.

Nel caso in esame l’Autorità italiana all’esito delle verifiche ha rilevato che l’azienda interessata (un editore) avesse utilizzato il servizio Google Analytics “nella sua versione gratuita per il perseguimento di finalità meramente statistiche ovvero volte ad ottenere informazioni aggregate sull’attività degli utenti all’interno del proprio sito web” raccogliendo una serie di informazioni, mediante cookies, in merito alle modalità di interazione degli interessati con i siti web; tra i dati raccolti risultava anche l’indirizzo IP; tali dati sarebbero poi stati oggetto di trasferimento negli Stati Uniti per effetto del settaggio dello stesso servizio offerto dal provider; trasferimento tuttavia illegittimo perché non conforme al Regolamento 679/2016 (GDPR).

Con l’occasione il Garante ha precisato come l’indirizzo IP costituisca un dato personale (anche nel caso in cui non sia trasferito per intero ma sia in parte troncato) segnalando che l’associazione di tale dato con altre informazioni sia potenzialmente in grado di re-identificare un interessato, in particolare nel caso di servizi erogati da providers già in possesso di altre informazioni personali del singolo utente (ad esempio dati di un account).

Inoltre, considerando il fatto che molti servizi presenti sul web sono erogati da provider basati negli Stati Uniti e che il funzionamento di tali servizi presuppone il trasferimento dei dati oggetto di trattamento negli USA, il Titolare è tenuto a valutare con estrema attenzione il trattamento nel suo complesso poiché i dati trasferiti negli USA potrebbero rimanere privi di adeguata protezione. L’Autorità Garante nel ricostruire la vicenda ha infatti segnalato come la questione debba essere affrontata alla luce della Sentenza della Corte di Giustizia del luglio 2020, con la quale la Corte ha annullato la decisione di adeguatezza (Privacy Shield) che regolava il trasferimento dei dati tra Unione Europea e Stati Uniti.

Il Garante ha quindi intimato alla società di procedere con un’adeguata valutazione delle misure adottate ritenendo che quelle applicate non fossero idonee a garantire il livello di protezione richiesto dal GDPR con conseguente sospensione dell’utilizzo del servizio sino al ripristino della conformità, verifiche da effettuare entro novanta giorni dalla pubblicazione del provvedimento.

Infine, considerato che il caso di specie, la tipologia di attività poste in essere, è potenzialmente applicabile a molte altre realtà, per evitare asimmetrie, l’Autorità ha sollecitato tutti i gestori di siti web a verificare le modalità di utilizzo di servizi web, da Google Analytics agli altri servizi analoghi basati sull’utilizzo di cookie e altri strumenti di tracciamento, dal momento che potrebbero incorrere nelle medesime problematiche.

In estrema sintesi, il punto centrale della questione non è quindi (solo) l’utilizzo di determinati strumenti bensì il trasferimento dei dati che l’utilizzo di determinati strumenti può comportare.

Il Trasferimento dei Dati tra Unione Europea e Stati Uniti

Le problematiche relative al trasferimento dei dati transfrontaliero emergono a seguito della Sentenza della Corte di Giustizia Europea (CGUE) del 16 luglio 2020 (nota come “Schrems II”) con la quale ha stabilito l’illegittimità dell’equivalenza attribuita dalla Commissione Europea all’ordinamento statunitense con la Decisione di adeguatezza denominata “Privacy Shield”2.

La CGUE ha argomentato affermando che il livello di protezione garantito nel territorio dell’Unione Europea deve “accompagnare” i dati ovunque siano essi trasferiti, sia nella fase di trasferimento sia nel paese di destinazione; grado di protezione non necessariamente identico ma sostanzialmente “equivalente” a quello applicato nell’Unione Europea3. Poiché all’esito dell’istruttoria tale grado di protezione non era stato ritenuto in linea con quello europeo la Corte ha quindi proceduto con l’annullamento.

Il trasferimento dei dati al di fuori dello spazio giuridico europeo può essere effettuato sulla base di altre condizioni di liceità, avvalendosi degli strumenti previsti dal Capo V del GDPR che disciplina i “Trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali” prevedendo oltre alla decisione di adeguatezza misure come le Clausole Standard e norme vincolanti di impresa. Tali strumenti, in determinate condizioni, possono non essere sufficienti a consentire un trattamento conforme, come nel caso del provvedimento in esame. Nella valutazione delle misure occorre inoltre richiamare le indicazioni fornite dall’ EDPB a seguito della pronuncia della Corte attraverso le Raccomandazioni 01/20204 proprio per integrare e fornire ulteriori indicazioni agli operatori nell’ambito delle attività di trasferimento.

Appare evidente come a seguito della Sentenza Schrems II l’auspicio di tutti è e rimane la celere emanazione di un nuovo accordo che possa ristabilire un framework di riferimento per il trasferimento dei dati tra UE e USA5.

Per tali ragioni, l’annuncio del 25 marzo 2022 del Presidente degli Stati Uniti e della Presidente della Commissione Europea di raggiungimento di un’intesa politica sul punto è apparso come il punto di svolta facendo sperare in una celere soluzione, tuttavia ad oggi non risulta ancora pubblicato alcun testo giuridico e pertanto le attività di trattamento che comportano il trasferimento dei dati al di fuori dello spazio giuridico europeo devono essere attuate e valutate sulla base delle norme a disposizione.

Riassumendo rispetto al tema del trasferimento dei dati nei Paesi extra-UE:

  • La Sentenza della Corte di Giustizia Europea non vieta in assoluto i trasferimenti tra Europa e Stati Uniti (quindi in generale non dichiara illegittimi i trasferimenti) ma annulla la decisione di adeguatezza adottata dalla Commissione europea (Privacy Shield) ritenendo che le condizioni stabile nell’accordo non fossero pienamente in linea con il GDPR.
  • Il Trasferimento dei dati verso un paese terzo, compresi gli Stati Uniti, può essere effettuato sulla base delle misure indicate nel Capo V del GDPR, occorre tuttavia un’approccio analitico, caso per caso, al fine di valutare il contesto di riferimento, l’adeguatezza e il mantenimento dei livelli di protezione richiesti.
  • Per determinare e incrementare le misure è possibile ricorrere alle indicazioni fornite dall’EDPB attraverso le Raccomandazioni 1/2020.
  • Il Titolare del trattamento, seguendo l’approccio di Accountability, è tenuto a verificare l’adeguatezza delle misure adottate per quel determinato trasferimento / utilizzo di un servizio e, nel caso in cui dovessero risultare non sufficienti o non adeguate, è tenuto a sospendere il trasferimento, compreso l’utilizzo dei Servizi che possono determinare il trasferimento.

Le conseguenze del Provvedimento e le misure da adottare. Il punto con Guido Scorza

Alla luce dei brevi cenni sopra sviluppati è chiaro ed evidente come la decisione dell’Autorità abbia impatti per un numero indeterminato di imprese. Allo stato dei fatti la domanda ricorrente da parte delle imprese è: “Cosa fare, Analytics si può utilizzare?”. La questione è estremamente complessa e occorre chiarire sin da subito come non sia possibile fornire una risposta univoca, affermativa o negativa.

Dalla breve ricostruzione emergono alcuni aspetti centrali del provvedimento, il quale:

  • pur non dichiarando illegittimo Google Analytics in termini assoluti, così come non intervenendo nei confronti di uno specifico provider, dichiara che nel caso di specie il suo utilizzo non è stato conforme stante il trasferimento dei dati posto in essere, previsto nel settaggio dello strumento;
  • interessa l’utilizzo di Google Analytics – che costituisce di fatto uno standard di riferimento nell’ambito elle attività di digital marketing – ma le stesse considerazioni valgono per altri strumenti di tracciamento similari presenti sul mercato offerti da altri providers e per tutti i servizi presenti sul web che, potenzialmente, nel settaggio presuppongono il trasferimento dei dati al di fuori del territorio europeo;
  • ribadisce che l’indirizzo IP è un dato personale ed è potenzialmente idoneo, se associato ad altre informazioni, a identificare un interessato; occorre altresì rilevare che il problema non sia riferito solo nell’indirizzo IP di per se ma in tutte quelle informazioni in grado, come anzidetto, di identificare la persona.
  • tenuto conto che la maggior parte di tali strumenti e servizi utilizzati dagli utenti sono erogati da providers con sede negli Stati Uniti, l’attenzione è stata posta sul trasferimento dei dati tra i due Paesi (UE e USA), tuttavia, si ribadisce ancora una volta, potrebbe valere anche per trasferimenti che interessano altri paesi terzi; pertanto a seguito della Sentenza della Corte di Giustizia Europea, è onere del Titolare verificare l’adeguatezza delle specifiche misure e degli strumenti adottati per il trasferimento;
  • considerato l’attuale quadro normativo, il Garante riconosce all’impresa interessata dal provvedimento – e potenzialmente a tutte le imprese – di utilizzare il periodo concesso di novanta giorni per verificare le proprie misure intervenendo con le eventuali azioni correttive;
  • la decisione, seppur adottata nei confronti di una singola azienda, ha una portata che va oltre il singolo caso poiché migliaia di aziende si avvalgono di servizi similari con modalità di utilizzo sovrapponibili.

Come ricordato da Guido Scorza, Componente del Garante per la Protezione dei Dati, nell’intervista concessa a Netcomm, nella fattispecie in esame il problema sostanzialmente è regolamentare e allo stato l’unico strumento che può e potrà garantire la liceità del trattamento in relazione al tema del Trasferimento dei dati tra Unione Europea e Stati Uniti è costituito da una nuova Decisione di adeguatezza della Commissione Europea a seguito di un accordo politico con gli Stati Uniti che garantisca un livello di protezione in linea con quello applicato in Europa.

Nel frattempo le imprese, compresa la natura del problema, applicando il principio di responsabilizzazione sono tenute a verificare caso per caso, trattamento per trattamento, l’adeguatezza delle misure adottate o disponibili. Se saranno in grado di trovare soluzioni tecniche/tecnologiche in grado di proteggere il dato prima che sia oggetto di trasferimento all’estero, impedendo quindi la re-identificazione dell’interessato, potranno continuare ad utilizzare i servizi (nella specie, Analytics, ma in linea di principio vale anche per gli altri servizi presenti sul web) diversamente dovranno astenersi dall’utilizzo per non incorrere nelle violazioni del GDPR.

L’Avv. Scorza ha inoltre ricordato come le Autorità non possano “validare” una determinata soluzione presente sul mercato per evidenti ragioni di concorrenza.

Un supporto ma solo di principio può essere fornito come nel caso del CNIL, l’autorità francese che sta valutando l’utilizzo di determinati strumenti (in particolare, un server “proxy”) che se correttamente configurati potrebbero rappresentare uno strumento utile ad impedire l’identificazione univoca del singolo interessato.

Conclusioni

Alla luce delle considerazioni sopra svolte emerge un quadro estremamente complesso che pone le aziende in grande difficoltà poiché l’utilizzo di tali soluzioni rappresentano un elemento imprescindibile per lo sviluppo delle proprie attività commerciali. Anche l’eventuale ricorso a nuovi strumenti e nuovi fornitori è una scelta non semplice perché implica il sostenimento di costi, non sempre sostenibili da parte delle PMI e un investimento in termini di tempo e nuove implementazioni tecniche, in un contesto nel quale siamo in attesa di una nuova decisione che possa risolvere molti dei punti in discussione.

Provando a rispondere alla domanda iniziale su “cosa fare in attesa della nuova decisione di adeguatezza”, si riportano alcune indicazioni di orientamento:

  • L’Utilizzo di Analytics è illegale? No, ma occorre verificare nel concreto, caso per caso, il tipo di settaggio applicato, quali conseguenze comporta e quali tipologie di trattamento sono effettuate altrimenti vi è il concreto rischio che possa dare luogo a trattamenti non conformi (come nel caso in esame).
  • Trasferire i dati negli USA è illegale? No in termini assoluti ma non avendo una decisione di adeguatezza occorre prestare estrema attenzione nello strutturare correttamente le attività di trattamento sulla base delle specifiche esigenze dell’azienda e il tipo di dati oggetto di trasferimento.
  • La pronuncia si estende anche a GA4? No, la decisione del Garante in esame non considera Analytics 4. L’Autorità non si è ancora pronunciata su tale soluzione.
  • Le Linee Guida cookie e altri strumenti di tracciamento del giugno 2021 forniscono indicazioni importanti sulla struttura delle attività di trattamento ma necessitano di essere integrate e applicate in coerenza con l’intero quadro normativo, soprattutto nel caso in cui l’utilizzo di tali strumenti comporti il trasferimento dei dati.
  • Il capo V del GDPR riporta alcune misure come le clausole contrattuali standard ma, ad esempio, nel provvedimento in esame non sono risultate idonee a garantire quel livello di protezione richiesto, così come le ulteriori misure poste in essere dal titolare.
  • La crittografia può essere una soluzione efficace? Dipende. La crittografia in termini generali è una misura di protezione ulteriore e valida che può contribuire ad assicurare un buon livello di tutela, tuttavia nel caso di specie è stato ritenuto non adeguata6 per il tipo di settaggio previsto. Anche in questo caso occorre valutare di volta in volta come viene implementata del concreto (ad esempio, uno degli aspetti da esaminare è la tenuta delle “chiavi” di accesso).
  • In relazione al consenso esplicito degli interessati, che costituisce una delle possibili deroghe previste dal GDPR (articolo 49), occorre ricordare che questa deroga può trovare applicazione in determinati casi e soprattutto in occasione di trasferimenti occasionali e non sistematici7. In altre parole, occorre prestare molta attenzione anche all’utilizzo di eventuali deroghe per legittimare determinati trattamenti.
  • Sul mercato esistono soluzioni tecniche applicabili che possono essere risolutive? Al momento non è possibile dare questa risposta, certamente il mercato sta lavorando allo sviluppo di nuove soluzioni che potranno rappresentare un valido aiuto ma al momento non esistono strumenti dichiarati risolutivi.

Da ultimo, la valutazione di strumenti e soluzioni deve essere svolta caso tenendo conto delle specifiche caratteristiche del trattamento e tenendo in considerazione le argomentazioni sopra esposte.

SCARICA IL DOCUMENTO COMPLETO CON LA POSIZIONE DI NETCOMM

NOTA: IL PRESENTE DOCUMENTO HA SOLO FINALITÀ INFORMATIVE E DIVULGATIVE, NON COSTITUISCE E NON SOSTITUISCE UNA CONSULENZA MIRATA.

 

__________________________________________________________________________________________

[1] Il provvedimento è disponibile al seguente link: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9782890
[2] Il Privacy Shield è la decisione di adeguatezza della Commissione Europea per il trasferimento dati UE-USA del 2020, decisione di adeguatezza che fa seguito al precedente accordo denominato “Safe Harbor”, del 2015, anch’esso invalidato dalla CGUE attraverso la Sentenza “Schrems I”.

[3] Si veda l’articolo pubblicato sul Sito di Netcomm disponibile al seguente Link: https://www.consorzionetcomm.it/il-trasferimento-di-dati-nel-contesto-post-schrems-ii/
[4] Si veda: https://edpb.europa.eu/our-work-tools/documents/public-consultations/2020/recommendations-012020-measures-supplement_it
[5] Proprio per la portata della questione Netcomm nel mese di novembre 2021 ha condotto una campagna di sensibilizzazione sul tema cercando di mantenere viva l’attenzione, per approfondimenti si veda: https://www.consorzionetcomm.it/servizi/trasferimento-internazionale-dei-dati/
[6] In relazione alla crittografia si vedano le indicazioni fornite dall’EDPB nelle Raccomandazioni 01/2020).
[7] In relazione all’utilizzo del consenso si vedano le indicazioni dell’EDPB nelle Linee Guida 2/2018.