In sede di redazione delle cookie policy, mi sono spesso trovato a discutere con il cliente il dettaglio dei dati raccolti, le finalità e destinazione. Nove volte su dieci non ho ottenuto risposta e, quando l’ho ottenuta, difronte alle perplessità sull’utilizzo senza consenso di Google Analytics, mi sono sentito dire: «ma lo utilizzano tutti!».
Arriva oggi il Garante con un comunicato stampa per dirci ciò che era alla luce del sole, e cioè che Google Analytics (GA) trasferisce i dati in USA senza che vi sia lì una protezione adeguata per i dati dei cittadini UE.
Continua quindi la “guerra” tra i due lati dell’Atlantico con il Vecchio Continente che prova ad arginare l’emorragia di dati presso compagnie nordamericane che dominano il mercato digitale.
Sarebbe ora che anche in Europa avessimo il nostro motore di ricerca, e le nostre piattaforme sociale di content sharing. Non è campanilismo, ma coltivo la speranza che l’oro del futuro (qui) che generiamo rimanga nei nostri confini, e che anzi riuscissimo ad attirare questa preziosa risorsa dall’estero.
Il comunicato
È interessante leggere quel che scrive il Garante per almeno due aspetti.
Innanzi tutto, apprendiamo che per mezzo dei cookie di GA sono raccolte informazioni sulle interazioni degli utenti, le singole pagine visitate (compresa data e ora della visita) e i servizi proposti, nonché informazioni relative al browser, al sistema operativo, alla risoluzione dello schermo, alla lingua selezionata.
In secondo luogo, apprendiamo che tali dati sono associati all’indirizzo IP del dispositivo dell’utente, ancorché troncato, e così trasferiti verso gli Stati Uniti.
Nel dichiarare l’illiceità del trattamento è stato ribadito che l’indirizzo IP costituisce un dato personale anche se troncato, in quanto in tal modo non diverrebbe anonimo, considerata la capacità di Google di arricchirlo con altri dati di cui è in possesso e, con essi, poter risalire all’identità dell’utente.
Il Garante ha sottolineato che, alla luce delle indicazioni fornite dall’EDPB con la Raccomandazione n. 1/2020 del 18 giugno 2021, le Autorità governative e le agenzie di intelligence statunitensi possono accedere ai dati personali trasferiti nel loro paese senza che sia garantito un livello adeguato di protezione dei dati personali degli utenti.
E adesso?
Il comunicato ammonisce chiunque utilizzi GA di verificare l’ambito di trattamento e, se del caso, sospendere il servizio. Né vale – come pure qualcuno si è affrettato a commentare – che si tratta di un abbaglio dell’Autorità poiché difficilmente si può considerare titolare del trattamento il gestore o il proprietario del sito.
Invero, in questo caso rileva quanto scritto dall’EDPB con le Guidelines 8/2020 on the targeting of social media users (qui) il cui contenuto ho riassunto ed esaminato in tre contributi (Parte I: il trattamento senza dati; Parte II: siamo tutti osservati; Parte III: ci conoscono meglio di noi stessi).
Il Board ha chiaramente scritto che anche il committente del fornitore dei servizi via cookie è contitolare del trattamento poiché, in una prospettiva di massima tutela degli utenti (soggetti interessati), la definizione di titolare va estesa al soggetto che, ancorché non abbia la disponibilità dei dati in chiaro, determina o concorre a determinare «le finalità e i mezzi del trattamento di dati personali» (art. 4, punto 7, GDPR).
E non v’è dubbio che il proprietario o gestore di un sito web sia il soggetto che seleziona i dati personali, imprime la finalità del trattamento e sceglie evidentemente anche i mezzi del trattamento, ancorché questi siano di Google.
Francesco Rampone – f.rampone@lascalaw.com
© RIPRODUZIONE RISERVATA
31.01.2025
