Google Analytics 4 – novità
11 Ottobre 2022
Ritorniamo sul dibattito UE-USA relativo allo strumento di Google Analytics. Nello specifico, proviamo a dare ulteriori indicazioni in merito alla possibilità di utilizzo di GA4 e alle modalità operative esistenti, anche a seguito delle FAQ dell’Autorità danese pubblicate il 21 settembre scorso.
Sono stati prospettati i seguenti scenari:
Configurare GA4, evitando che ci sia un trattamento di dati personali
Si ribadisce che GA4 non anonimizza di default gli indirizzi IP. Avevamo già chiarito il punto in un precedente articolo (Google Analytics 4: il sostituto di Universal Analytics (mondoprivacy.it)), in quanto Google Support dichiara che “L’anonimizzazione degli indirizzi IP in Google Analytics 4 non è necessaria, poiché gli indirizzi IP non vengono registrati né archiviati”.
Alla luce di ciò, seppur GA4 consenta di minimizzare la raccolta di dati personali non essenziali, lo strumento associa a ciascun utente un «unique identifier» che, sebbene non riesca a garantire un’identificazione precisa dell’utente (es. nome e cognome), consente di individuare un soggetto all’interno di un gruppo. Tale possibilità, come ribadito più volte dalle autorità europee[1], è sufficiente a configurare un trattamento di dati personali.
Configurare GA4, evitando che ci siano trasferimenti negli Stati Uniti
Sul punto, Google riferisce che gli IP degli utenti europei non saranno più registrati, ma saranno solo utilizzati in maniera volatile per recepire altri metadati, come per esempio il luogo fisico di collegamento. In questo contesto, Google utilizza l’indirizzo IP del visitatore del sito web per determinare la posizione del data center più vicino. Una volta ottenute queste informazioni, l’Internet Protocol di collegamento viene del tutto ignorato.
A fronte dell’analisi di quanto dichiarato da Google, l’autorità danese afferma che nel caso in cui un utente accede al sito web di un’azienda europea da uno Stato terzo, il server di connessione più vicino non sarà un server europeo bensì un server statunitense, se questo server è più vicino alla posizione del visitatore.
In altre parole, a seconda della posizione dell’interessato, potrebbe esserci una connessione diretta, tra le altre cose, ai server statunitensi prima che l’indirizzo venga scartato.
Possibili soluzioni
Constatando dunque che si tratta di un trattamento di dati personali e che esiste un trasferimento dei dati negli Stati Uniti, si ritiene essenziale, in aggiunta alla sussistenza di una condizione di legittimità ai sensi del Capo V del GDPR, implementare misure aggiuntive, così come definito dall’EDPB[2].
Nello specifico, Google dichiara di utilizzare le SCC (clausole contrattuali standard della Commissione Europea) che però non sono ritenute sufficienti per scongiurare il rischio di accesso da parte delle autorità USA e per garantire una protezione adeguata.
Infatti, pur tenendo conto delle misure contrattuali e organizzative adottate, il trasferimento è stato considerato illegittimo da parte di varie autorità europee, compreso il nostro Garante privacy che ha ribadito in un Provvedimento del 21 luglio 2022 adottato nei confronti di Fastweb:
«[…] si rileva che, come considerato dall’EDPB, in assenza di misure tecniche idonee – circostanza accertata nel caso di specie – le misure contrattuali e organizzative sopra indicate, di per sé, non possono ridurre o impedire le possibilità di accesso ai dati oggetto di trasferimento da parte delle Autorità statunitensi (cfr. Raccomandazione 1/2020, cit., par. 53)».
Pertanto, le aziende che intendono continuare a utilizzare Google Analytics dovranno adottare delle misure supplementari, così come precisato di seguito:
Cifratura
Al fine di definire la crittografia come una misura complementare efficace, occorre assicurare che “le chiavi di crittografia siano detenute esclusivamente dall’esportatore di dati o da un terzo all’interno dell’UE/SEE o in un paese terzo sicuro”.
Nel nostro caso, è Google ad applicare e detenere negli Stati Uniti le chiavi di cifratura dei dati, vanificandone, quindi, la sicurezza.
La stessa autorità italiana ha affermato che «in ordine ai meccanismi di cifratura dei dati sopra evidenziati, esse, infatti, non sono sufficienti ad evitare i rischi di un accesso, ai fini di sicurezza nazionale, ai dati trasferiti dall’Unione europea da parte delle Autorità pubbliche degli Stati Uniti, in quanto le tecniche di cifratura adottate prevedono che la disponibilità della chiave di cifratura sia in capo a Google LLC che la detiene, in qualità di importatore, in virtù della necessità di disporre dei dati in chiaro per effettuare elaborazioni e fornire servizi».
Pseudonimizzazione
Un’altra ipotesi prospettata dall’EDPB è la pseudonimizzazione dei dati personali prima che questi ultimi vengano trasmessi nel paese terzo. Una possibilità operativa è quella di implementare un server proxy che funge da intermediario tra il terminale dell’utente e i server Google di analisi.
Chiaramente le organizzazioni che decidessero di attuare questa modalità devono essere consapevoli che il server proxy deve essere configurato in modo tale da soddisfare le condizioni per una pseudonimizzazione efficace.
Sul punto, l’autorità francese CNIL ha sviluppato una guida dettagliata a supporto delle aziende, alla quale si rinvia[3].
Che cosa deve fare, quindi, un’azienda che voglia continuare ad utilizzare Google Analytics 4?
Alla luce di quanto descritto, sembrerebbe che l’unica possibilità sia quella di utilizzare un server proxy come misura aggiuntiva per il trasferimento negli USA dei dati personali degli utenti che visitano il sito. La configurazione del server dovrebbe essere tale da rendere difficile o impossibile a Google di re-identificare gli utenti con ulteriori informazioni in suo possesso.
A che punto siamo con l’accordo UE-USA?
Il Presidente degli Stati Uniti ha firmato lo scorso 7 ottobre un Executive Order con il quale vengono introdotte delle modifiche all’ordinamento statunitense, nell’ambito della ridefinizione dei limiti di accesso da parte dell’intelligence statunitense ai dati personali e dell’istituzione di un meccanismo di ricorso indipendente.
Si auspica, quindi, un avvicinamento all’ordinamento eurounitario, che possa garantire una protezione adeguata ai dati personali trasferiti dall’Unione Europea.
Se tali integrazioni e modifiche fossero ritenute sufficienti, la Commissione Europea potrebbe adottare una nuova Decisione di Adeguatezza ai sensi dell’art. 45 del Regolamento UE 679/2016, rendendo nuovamente possibili i trasferimenti verso gli Stati Uniti senza garanzie aggiuntive.
Purtroppo, in attesa di ulteriori sviluppi, le aziende devono considerare il panorama regolatorio attualmente in vigore, poiché l’Executive order non è un elemento risolutivo in punto di diritto. L’avv. Scorza ha dichiarato in un intervento di venerdì che le autorità «dovranno valutare in maniera serena se, avute garanzie sulla celerità del processo di analisi dell’Executive Order e, più in generale, sull’accordo tra UE-USA, non valga la pena di parlarne tra uno o due mesi».
Il processo di rivalutazione è ancora lungo, ma ci auguriamo che possa essere completato entro la fine dell’anno.
[1] Sul punto, si rinvia al Parere 05/2014 sulle tecniche di anonimizzazione del Working Party ex art. 29.
[2] Cfr. Raccomandazioni 01/2020 relative alle misure che integrano gli strumenti di trasferimento al fine di garantire il rispetto del livello di protezione dei dati personali dell’UE.
[3] Cfr. Google Analytics and data transfers: how to make your analytics tool compliant with the GDPR? | CNIL
