Quando è esploso il caso Google Analytics, ossia quando le motivazioni del caso che ha coinvolto Caffeina sono state rese pubbliche gettando la Rete nel caos, abbiamo scelto di sentire un esperto in materia (Ernesto Falcone, consulente privacy e Privacy Officer certificato TUV) per provare a fare un po’ di chiarezza (trovate l’articolo completo a questo link).
Tra i commenti che ci sono arrivati, il nostro lettore Luca ha commentato in calce all’articolo:
Il Garante afferma che Google Analytics , ANCHE IMPOSTANDO l’ANONIMIZZAZIONE IP, non si può considerare ANONIMO ma solo PSEUDONIMIZIZZATO in quanto a Google basta incrociare i dati per risalire all’utente e individuarlo (banalmente con i cookie di sessione gmail) di conseguenza pone un DIVIETO categorico all’utilizzo del servizio GA3 (è scritto persino nel titolo del comunicato!).
Vi rendete conto che state dando disinformazione? La società in questione è stata AMMONITA dal Garante per l’utilizzo di Google Analytics con IP anonimizzato, e le sono stati dati 90 giorni di tempo per adeguarsi a seguito dei quali il Garante procederà con attività ispettive a verificare la conformità al Regolamento Ue. A cui è seguito un comunicato, TUTTE LE AZIENDE PUBBLICHE E PRIVATE SONO TENUTE AD ADEGUARSI!Per quanto riguarda la mail inviata in modo automatico da Federico Leva, come da lui ammesso in una intervista pubblica, era puramente a scopo divulgativo.
Luca
Abbiamo spiegato a Luca le nostre ragioni, ma per completezza d’informazione abbiamo chiesto al dottor Falcone una replica, un ulteriore chiarimento in merito, che pubblichiamo integralmente in questo articolo per darne maggior visibilità possibile. Il dottor Falcone si rivolge quindi direttamente al lettore. Riportiamo integralmente.
“Gentile lettore,
nel rispondere alle domande postemi durante l’intervista sull’utilizzo del solo strumento Google Analytics (GA), in riferimento al provvedimento dell’Autorità Garante per la Protezione dei Dati Personali (GPDP) n° 224 datato 9 giugno 2022 (https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9782890), sono partito dallo studio del contesto cui il suddetto provvedimento faceva riferimento, per il quale verificavo i seguenti due elementi fondamentali, ovvero:
- la distinzione netta dei soggetti coinvolti:
- Azienda, destinataria del provvedimento in quanto proprietaria/editrice del sito;
- Google LLC/Google Ireland Limited, in quanto fornitore dello strumento di analytics (GA).
- l’adozione dell’opzione denominata “IP-Anonymization” – messa a disposizione dallo strumento GA che azzera dell’ultimo ottetto di cui si compone un Indirizzo IP – che l’Azienda ha dichiarato (si veda l’ultimo periodo del Punto 1 del Provvedimento) di aver adottato.
In ordine a tali elementi di contesto, dal momento in cui l’Azienda adotta l’opzione di anonimizzazione dell’Indirizzo IP, i dati raccolti da GA e messi a sua disposizione sono NON PERSONALI, in quanto in alcun modo l’Azienda è in grado di deanonimizzarli ed identificare la Persona Fisica a cui l’Indirizzo IP si riferisce, e pertanto non soggetti al Regolamento UE 679/2016.
L’assunto precedentemente esposto trova conferma nel fatto che, nel caso un qualsiasi visitatore del sito aziendale facesse richiesta di accesso ai propri Dati Perosnali trattati dall’Azienda per il tramite di GA (come realizzato dall’ormai famosa e-mail di Federico Leva – altro che per scopo divulgativo), l’Azienda dovrà (entro e non oltre 30 giorni dalla data di ricezione) rispondere che NON TRATTA DATI PERSONALI; di qui le mie risposte fornite alle domande successive poste nella medesima intervista.
L’occasione mi è favorevole, per ribadire che l’illecito trattamento di dati personali è commesso da Google nel momento in cui, attraverso gli strumenti inferenziali posti nella sua esclusiva disponibilità, è in grado di deanonimizzare l’Indirizzo IP rendendo PERSONALI tutti quei dati che per l’azienda sono e rimangono NON PERSONALI; si consideri che proprio dal momento in cui quei dati NON PERSONALI diventano PERSONALI si concretizza da parte di Google anche l’illecito trasferimento verso Paesi non riconosciuti adeguati a quanto previsto dal GDPR; aggiungo anche che nel caso specifico l’Ordinamento Giuridico statunitenze, nell’applicare i propri programmi di Sicurezza Nazionale sui cittadini europei – in estrema ratio – realizza qualcosa che porterebbe essere portata all’attenzione della Corte dei Diritti dell’Uomo.
Chi scrive trova alquanto singolare che questioni di incompatibilità scaturenti dal confronto tra Ordinamenti Giuridici (UE vs USA), come quelle evidenziate dalla Corte di Giustizia Europea nel Luglio 2020 (c.d. Sentenza SCHREMS II) sul trasferimento di dati personali (giustamente dichiarato illecito a seguito delle argomentazioni esposte) verso gli USA, debbano essere poste in carico (vedi le “Valutazioni di Adeguatezza di Ordinamenti Costituzionali e del livello di Rispetto dei Diritti e delle Libertà fondamentali delle persone”) alle aziende ed alle pubbliche amministrazioni dell’Unione, anche quando predispongono misure tecniche ed organizzative tali da non trattare dati personali.
Concludo rimanendo in attesa di leggere le valutazioni della nostra Autorità su quanto l’Azienda avrà predisposto entro i 90 giorni dalla notifica del Provvedimento, per cogliere i fattori derimenti su quanto realizzabile in termini di accountability, ed auspicando, anzi pretendendo, che le Autorità UE Garanti la Protezione dei Dati Personali aprano e concludano rapidamente un’istruttoria complessiva su tutti gli strumenti prodotti ed utilizzati dalle Big Tech USA ( i c.d. GAFAM – Google, Apple, Facebook, Amazon, Microsoft), in modo da fornire indicazioni chiare e precise ai politici di Bruxelles e Washington che avranno il compito (complicatissimo) di trovare un bilanciamento tra i due Ordinamenti Giuridici o financo delle modifiche ai suddetti ordinamenti, tali da sbloccare l’intera questione dei trasferimenti verso gli USA.
Ringraziandola per l’attenzione manifestata, porgo distinti saluti”.