Una vera e propria rivoluzione, quella subita dal mondo del digital marketing: dalla necessità di raggiungere gli utenti in maniera sempre più personalizzata (principalmente grazie ai cookie di terze parti) fino al superamento di questo modello a tutela della privacy e di un web più trasparente, qualcosa sta cambiando.
In questa vicenda trova spazio il provvedimento del Garante della Privacy inerente alla sospensione di Google Universal Analytics, lo strumento più utilizzato per ottimizzare l’advertising online.
Per i web marketers e tutte le aziende che vivono di online advertising è stata determinante l’illegittimità di una specifica configurazione di GA3, risalente al 2020. È stato dunque necessario rimuovere il software dai siti su cui è installato.
La vicenda
Con provvedimento del 9 giugno 2022, il Garante della Privacy italiano ha intimato alla società Caffeina Media Srl la sospensione dell’utilizzo di Google Analytics (nello specifico, di Google Analytics 3). L’utilizzo di questo tool presuppone il trasferimento negli Stati Uniti dei dati europei e, secondo il GDPR, questo deve avvenire sulla base di alcuni meccanismi che garantiscano un analogo livello di protezione dei dati personali.
Fino al 2019 il “Privacy Shield”, ossia la decisione di adeguatezza tra Europa e USA, garantiva tale livello di protezione; con la sua abrogazione è necessario che il titolare del trattamento utilizzi altri sistemi, tra cui spiccano le clausole contrattuali standard. Nel caso specifico, tuttavia, il Garante non le ha ritenute sufficienti perché non riescono ad impedire l’accesso delle intelligence USA ai dati conservati da Google.
Il problema, emerso a seguito di questa specifica decisione ha, tuttavia, una portata più ampia poiché ad essere coinvolte sono tutte le società che esportano dati in USA o anche società europee che conservano i dati in Europa ma che di fatto sono controllate da società americane.
Il tavolo di confronto
4eCom, l’Associazione di Soluzioni Digitali per eCommerce, ha scelto di intervenire e fare chiarezza sul tema di Google Analytics, partendo dal recente provvedimento e dando risposte concrete attraverso un tavolo di confronto live, moderato dalla presidente dell’associazione, Marianna Chillau e tenuto da esperti del settore. Tra questi gli avvocati di Polimeni.legal Angela Lo Giudice e Antonino Polimeni, i legali di Legalblink e di Ecommerce digitale rispettivamente Lorenzo Grassano e Floriana Capone; Alessandro Fronteddu, Head of Web Analytics di FIND; Roberto Guiotto, Co-Founder di Tag Manager Italia e Daniele Gagliardi, CEO & Co-Founder di Bitbull. Ospite d’eccezione del tavolo di confronto è stato l’Avvocato Guido Scorza, Componente del Collegio del Garante per la Protezione dei Dati Personali, con il quale i relatori si sono potuti confrontare.
Durante l’incontro è stato affrontato in generale il tema del trasferimento dei dati personali degli utenti negli stati Extra UE che non sono coperti da una decisione di adeguatezza e che, proprio per tale mancanza, potrebbero non offrire un livello di protezione “adeguato”. Nello specifico, sono state discusse le differenze tra Stati Uniti e Unione Europea. Preoccupa la modalità e la grandezza del controllo degli Stati Uniti sulle operazioni di trattamento dei dati, perché di fatto non può essere impedito all’intelligence USA l’accesso ai dati personali di interessati europei.
È possibile delimitare questo “controllo americano”?
Secondo l’Avvocato Scorza, innanzitutto è necessario che si venga a creare un accordo politico vincolante tra Stati Uniti e UE per ribilanciare e riallineare la disciplina americana ed europea; tale accordo verrà siglato attraverso una nuova decisione di adeguatezza. Ora più che mai è necessario che il trasferimento dei dati dall’ Europa agli Stati Uniti avvenga in condizioni di sicurezza. Il Collegio del Garante auspica questo accordo nelle prossime settimane.
L’Avv. Scorza sottolinea, inoltre, un aspetto da non sottovalutare: l’insufficienza dei fornitori di servizi europei rispetto alla domanda digitale in Europa non nasce con la vicenda del Privacy Shield e non può esser risolta in questa parentesi giuridica. Non basta chiudere il traffico verso gli Stati Uniti per rendere più autonoma e indipendente la dimensione digitale europea.
Qual è, adesso, il ruolo dell’indirizzo IP?
Tra i motivi che hanno condotto il Garante Privacy a ritenere illegittimo l’utilizzo di Google Analytics 3 vi è l’inadeguatezza delle misure di sicurezza promosse dagli analytics di Google, come l’anonimizzazione dell’indirizzo IP. Quest'ultimo è considerato a tutti gli effetti un dato personale in quanto in grado di fornire diverse informazioni sulla rete da cui l’utente esegue l’accesso. Secondo il Garante, l’anonimizzazione e la generale cifratura dei dati offerte da Google non possono ritenersi misure adeguate perché: l’IP Anonymization consiste in una troncatura di solo parte dell’indirizzo IP; Google può comunque identificare i client con le informazioni congiunte di indirizzo IP e headers passati dal browser, conservando le chiavi di cifratura dei dati.
Tuttavia, l’indirizzo IP non è tutto. Infatti, secondo il Garante, anche ove non fosse conservato l’indirizzo IP, il problema riscontrato non sarebbe risolto, perché l’IP è solo uno dei dati personali utilizzati dai fornitori di servizi per l'identificazione degli utenti. In generale, bisogna procedere con cautela, fino al raggiungimento di una nuova e solida decisione di adeguatezza.
Se questo non dovesse accadere nei prossimi giorni, dovrà essere interrotto l’utilizzo di qualsiasi servizio che comporta un trasferimento di dati verso i server di una società con sede negli Stati Uniti (a prescindere da dove questi server siano geograficamente allocati) e che non possano essere legittimati attraverso una base giuridica diversa dalla decisione di adeguatezza come, appunto, delle efficaci clausole contrattuali standard.
Questo, perché si è a conoscenza del caso di Google Analytics 3, ma degli altri servizi non è certo se il loro utilizzo sia lecito o meno perché, nella maggior parte dei casi, i titolari del trattamento non sono in grado di sapere, con assoluta certezza, se i fornitori di servizi siano o meno soggetti al controllo USA.
Non solo, dalle affermazioni dell’ Avv. Scorza è emerso che non si può dare per scontato che i dati che vengono trasferiti, ad esempio, utilizzando Teams di Microsoft, siano soggetti alla protezione del GDPR. Ogni caso andrebbe analizzato a sé così come è stato fatto per GA3. È importante garantire un controllo giuridico del soggetto e non controllo giuridico del server.
Cosa succederà se non si troverà un accordo politico tra le due parti?
I titolari del trattamento hanno avuto a disposizione due anni per cercare una soluzione capace di superare il problema dell'inadeguatezza delle norme statunitensi rispetto al GDPR. Si spera, quindi, che i titolari del trattamento abbiano preso le giuste misure per intervenire tempestivamente.
Cosa devono fare le aziende in attesa che venga stipulato questo accordo?
La situazione che stiamo attualmente vivendo risale a due anni fa, perciò le aziende dovrebbero avere già pianificato una alternativa che può consistere nell’utilizzo di uno degli altri meccanismi di trasferimento (purché siano garantiti i diritti degli interessati), o nell’utilizzo di strumenti europei. Per chi non avesse ancora provveduto a tale “piano B”, in attesa della tanto auspicata stipula della nuova decisione di adeguatezza è consigliato non far passare i prossimi giorni senza pensare a una soluzione alternativa. Per le aziende, i consulenti, e le web agency che, invece, basano la loro esistenza su Facebook Ads, Google Ads, YouTube Ads, al momento non è possibile proseguire in alcun modo.
Il titolare del trattamento, infatti, ha l’obbligo giuridico di essere in condizione di sospendere l’esportazione dei dati all’estero e ciò vuol dire proporre soluzioni conformi alle nuove regole. Ad oggi, con ottimismo e speranza aspettiamo che nelle prossime settimane venga finalmente emesso un accordo tra Europa e Stati Uniti e che, lo stesso provvedimento, possa avvenire anche per i Paesi extra UE a cui ad oggi non è stata riconosciuta l’adeguatezza tramite decisione della Commissione Europea.