La Corte di Giustizia dell'Unione Europea (CGUE), con la sentenza del 16 luglio 2020, ha invalidato il Privacy Shield (meccanismo che legittimava i trasferimenti di dati personali tra l'Unione Europea e gli Stati Uniti), in quanto la legislazione statunitense non offre garanzie sufficienti di fronte al rischio di accesso da parte delle autorità, in particolare dei servizi di intelligence, ai dati personali dei residenti europei.

A seguito di questa sentenza, le Autorità Garanti austriaca, francese e italiana (provv. del 9.6.2022) hanno dichiarato, nei casi analizzati, l’illiceità dei trasferimenti extra Ue per il tramite di Google Analytics anche se hanno lasciato aperti spiragli per l’implementazione di soluzioni tecniche in grado di impedire l’accesso e l’esportazione dei dati degli utenti.

Di seguito si riportano le valutazioni e indicazioni tecniche del CNIL (Commission Nationale de l’Informatique et des Libertès)

Molti attori hanno cercato di identificare le impostazioni tecniche e le misure che possono consentire di mantenere l'uso di Google Analytics nel rispetto della privacy degli utenti di Internet.

Tuttavia, la semplice modifica delle impostazioni di elaborazione dell'indirizzo IP non è sufficiente per soddisfare i requisiti richiesti, soprattutto perché questi continuano a essere trasferiti negli Stati Uniti.

Un'altra idea spesso avanzata è l'utilizzo della "crittografia" dell'identificatore generato da Google Analytics, oppure la sua sostituzione con un identificatore generato dal gestore del sito. Tuttavia, in pratica, ciò fornisce poca o nessuna garanzia aggiuntiva contro la possibile reidentificazione degli interessati, principalmente a causa del trattamento persistente dell'indirizzo IP da parte di Google.

Il problema fondamentale che impedisce a queste misure di affrontare il tema dell'accesso ai dati da parte di autorità extraeuropee è quello del contatto diretto, tramite una connessione HTTPS, tra il terminale del soggetto e i server gestiti da Google.

Le richieste risultanti consentono a questi server di ottenere l'indirizzo IP dell'utente Internet e molte informazioni sul suo terminale. Tali informazioni possono realisticamente consentire all'utente di essere re-identificato e, di conseguenza, di accedere alla sua navigazione su tutti i siti che utilizzano Google Analytics.

Solo soluzioni che consentono di interrompere questo contatto tra il terminale e il server possono risolvere questo problema. Al di là del caso di Google Analytics, questo tipo di soluzione potrebbe consentire anche di conciliare l'utilizzo di altri strumenti di analisi con le regole del GDPR sul trasferimento dei dati.

Alla luce dei criteri sopra citati, una possibile soluzione è l'utilizzo di un server proxy per evitare qualsiasi contatto diretto tra il terminale dell'utente Internet ed i server dello strumento di analisi (in questo caso Google). Tuttavia, occorre garantire che questo server soddisfi una serie di criteri per poter ritenere che questa misura aggiuntiva sia in linea con quanto presentato dall'EDPB. In effetti, un tale processo corrisponderebbe al caso d'uso della pseudonimizzazione prima dell'esportazione dei dati.

Come affermato in queste raccomandazioni, tale esportazione è possibile solo se il titolare del trattamento ha stabilito, attraverso un'analisi approfondita, che i dati personali pseudonimizzati non possono essere attribuiti a una persona fisica identificata o identificabile, anche se incrociati con altre informazioni.

È quindi necessario, al di là della semplice assenza di una richiesta dal terminale dell'utente ai server dello strumento di analisi, assicurarsi che tutte le informazioni trasmesse non consentano in alcun modo la reidentificazione della persona, anche in considerazione dei mezzi considerevoli a disposizione delle autorità suscettibili di effettuare tale reidentificazione.

L'attuazione delle misure descritte di seguito può essere costosa e complessa e potrebbe non soddisfare sempre le esigenze operative dei professionisti. Per evitare queste difficoltà, è anche possibile per i professionisti utilizzare una soluzione che non trasferisce dati personali al di fuori dell'Unione Europea.

Le misure necessarie da porre in essere per la validità della delega

Il server che effettua la delega deve quindi mettere in atto una serie di misure per limitare i dati trasferiti. La CNIL ritiene, in linea di principio, necessario:

1. l'assenza di trasferimento dell'indirizzo IP ai server dello strumento di analisi. Se una localizzazione viene trasmessa ai server dello strumento di misura, questa deve essere effettuata dal server proxy e il livello di precisione deve garantire che tale informazione non permetta di reidentificare la persona (ad esempio, utilizzando un mesh garantendo un numero minimo di utenti Internet per cella);
2. la sostituzione dell'identificativo utente da parte del server proxy. Per garantire una pseudonimizzazione efficace, l'algoritmo che esegue la sostituzione deve garantire un livello sufficiente di collisione (ovvero una probabilità sufficiente che due identificatori diversi diano un risultato identico dopo un hash) e includere una componente variabile nel tempo (aggiungendo un valore ai dati hash che evolve nel tempo in modo che il risultato dell'hash non sia sempre lo stesso per lo stesso identificatore);
3. la rimozione dal sito di informazioni su referenti esterni;
4. la rimozione di eventuali parametri contenuti negli URL raccolti (es. UTM, ma anche parametri URL che consentono il routing interno del sito);
5. rielaborazione delle informazioni che possono essere utilizzate per generare un'impronta digitale, come gli user-agent, per rimuovere le configurazioni più rare che possono portare alla reidentificazione;
6. l'assenza di raccolta di identificatori cross-site o durevoli (ID CRM, ID univoco);
7. la cancellazione di ogni altro dato che possa comportare una reidentificazione.

Il server proxy deve inoltre essere ospitato in condizioni tali da garantire che i dati che elabora non vengano trasferiti al di fuori dell'Unione Europea in un Paese che non fornisce un livello di protezione sostanzialmente equivalente a quello previsto all'interno dello Spazio Economico Europeo.

In ogni caso, e in accordo con le raccomandazioni dell'EDPB, spetterà ai titolari del trattamento svolgere un'analisi su questo punto e mettere in atto le misure necessarie qualora volessero utilizzare questo tipo di soluzioni, nonché verificare il mantenimento di tali misure nel tempo, in funzione dell'evoluzione dei prodotti.

DPO-Avv. Marco Pagliara

*fonte CNIL