Una premessa e i fatti
Le pronunce del Garante privacy francese (CNIL) sono utili anche per noi in Italia, stante l’assenza di provvedimenti specifici dell’autorità italiana, dato che interpretano una normativa, il GDPR, che è comune in tutta l’Unione europea.
La CNIL ha emesso avvisi formali a diverse aziende affinché cessino l’uso di Google Analytics, a causa del trasferimento dei dati negli Stati Uniti in assenza delle necessarie garanzie per i diritti degli utenti europei. La Corte di giustizia dell'Unione europea ha emesso un'importante sentenza nel luglio 2020. Il Privacy Shield, che regolava i trasferimenti di dati tra l'Unione europea e gli Stati Uniti, è stato dichiarato nullo perché non offriva garanzie adeguate contro il rischio di accesso illecito ai dati personali dei residenti europei da parte delle autorità americane.
La dichiarazione congiunta della Commissione europea e degli Stati Uniti del marzo 2022 su una futura decisione di regolamentare adeguatamente i flussi di dati verso gli Stati Uniti è al momento solo un annuncio politico, senza alcun valore giuridico. Il 6 aprile 2022 il l’European Data Protection Board (l’EDPB ovvero il comitato che riunisce le autorità privacy europee) ha rilasciato una dichiarazione in cui ha chiarito che tale dichiarazione non costituisce un quadro giuridico su cui le organizzazioni possono fare affidamento per trasferire i dati negli Stati Uniti.
In sintesi, secondo la CNIL, l’utilizzo di Google Analytics è considerato illecito ai sensi del GDPR e rimane tale anche ricorrendo a pratiche di preventiva pseudonimizzazione o crittografia dei dati oggetto di trasferimento.
Tuttavia, potrebbe essere possibile una soluzione che preveda un server proxy per evitare il contatto diretto tra il terminale dell'utente e i server del software che opera la profilazione. Tuttavia, occorre garantire che questo server soddisfi una serie di criteri tecnici per poter ritenere che questa misura aggiuntiva sia in linea con quanto previsto dal EDPB nelle sue raccomandazioni del 18 giugno 2021.
Sorge allora spontanea una domanda. È possibile continuare a trasferire i dati fuori UE utilizzando la base giuridica del consenso degli interessati? Il consenso esplicito degli interessati è una delle possibili deroghe previste per alcuni casi specifici dall'articolo 49 del GDPR. Tuttavia, come indicato nelle linee guida del EDPB queste deroghe possono essere utilizzate solo per trasferimenti non sistematici e, in ogni caso, non possono costituire una soluzione permanente di lungo termine, in quanto il ricorso a una deroga non può diventare la regola generale.
Non potendo validamente utilizzare il consenso esplicito (e neppure Google Analytics), esistono degli strumenti alternativi che siano legittimi? La CNIL ha pubblicato un elenco di software che possono essere esentati dal consenso se opportunamente configurati.
Questo elenco comprende strumenti che hanno già dimostrato alla CNIL di poter essere configurati in modo da limitarsi a quanto strettamente necessario per la fornitura del servizio, senza quindi richiedere il consenso dell'utente.
Qualsiasi sia il software utilizzato, è sempre necessario verificare, per quanto possibile, che la società che lo produce non abbia legami patrimoniali o organizzativi con una società madre situata in un paese che consente ai servizi di intelligence di richiedere l'accesso a dati personali situati in un altro territorio (ad esempio: Stati Uniti ma anche Cina) ed è necessario valutare il quadro giuridico del paese di esportazione dei dati.
Si può anche prendere in considerazione l'uso della “proxyficazione” del flusso di dati, che consentirebbe, se opportunamente configurata, di inviare solo dati pseudonimizzati a un server al di fuori dell'UE, ma tali strumenti richiedono una specifica competenza sia tecnica che giuridica.
I software suggeriti dalla CNIL
Senza scendere nel dettaglio della configurazione richiesta per utilizzare legittimamente questi software (che dipende da parecchie variabili) indichiamo di seguito l’elenco indicato dalla CNIL:
- Analytics Suite Delta di AT;
- SmartProfile di Net Solution Partner;
- Wysistat Business di Wysistat;
- Piwik PRO Analytics Suite;
- Abla Analytics di Astra Porta;
- BEYABLE Analytics di BEYABLE;
- etracker Analytics (Basic, Pro, Enterprise) di etracker;
- Web Audience di Retency;
- Nonli;
- CS Digital di Contentsquare;
- Matomo Analytics di Matomo;
- Wizaly di Wizaly SAS;
- Compass di Marfeel Solutions;
- Statshop di Web2Roi;
- Eulerian di Eulerian Technologies;
- Thank-You Marketing Analytics di Thank-You;
- eStat Streaming di Médiamétrie;
- TrustCommander di Commanders Act.
Per la redazione del presente articolo sono state utilizzate le seguenti fonti, a cui si rinvia per ogni approfondimento.
The Court of Justice invalidates Decision 2016/1250 on the adequacy of the protection provided by the EU-US Data Protection Shield (PDF, 322 ko) – CJEU
Alternatives to third-party cookies: what consequences regarding consent?
[FR] Utilisation de Google Analytics et transferts de données vers les États-Unis : la CNIL met en demeure un gestionnaire de site web
Andrea Antognini