Pochi giorni fa molte Pubbliche Amministrazioni hanno ricevuto una PEC nella quale si invitava alla rimozione dei cookie di Google Analytics. Ma Google Analytics potrà mai violare il GDPR?
Premessa: qualche giorno fa, in via del tutto inaspettata, un gruppo di hacker italiani ha inviato una diffida via PEC a diverse Pubbliche Amministrazioni (PA).
Una mail nella quale veniva richiesta la rimozione dei cookie di Google Analytics da tutti i siti della PA. A sostegno della richiesta vi era il fatto che, secondo questo gruppo, tali cookie violino la normativa GDPR. Non a caso, infatti, all’interno della stessa e-mail veniva espressa anche la volontà di segnalare tale violazione al Garante per la protezione dei dati personali (che ancora non si è espresso sulla questione).
L’episodio, ça va sans dire, ha fatto discutere. Al di là della comunicazione alle Pubbliche Amministrazioni, il contenuto della mail ha aperto un vaso di pandora che ha messo in dubbio quel che in dubbio non dovrebbe essere mai: Google! Sarà davvero mai possibile che proprio Google, il colosso della comunicazione, si sia fatto trovare impreparato riguardo la normativa in tema di privacy?
Proviamo a spiegare…
Per analizzare la questione, dobbiamo partire dalla decisione Europea sulla inadeguatezza del privacy shield USA (per approfondire la questione leggi qui), a seguito della quale il trasferimento dei dati personali negli USA non è più supportato da una decisione di adeguatezza europea. La conseguenza è che qualsiasi tipo di trasferimento di dati negli USA deve essere soggetto a particolari accortezze (non facilmente raggiungibili).
In questo senso, Google analytics è un tool (uno strumento) che raccoglie dati personali (indirizzo IP, località, etc) per creare statistiche utili per i siti web, soprattutto con riguardo al numero di visite, durata della visita, pagine visitate, luogo di connessione, etc. La domanda, quindi, sorge spontanea: Google Analytics è illegittimo?
Google Analytics è illegittimo?
Il trasferimento di dati all’estero è una questione molto complessa, soprattutto nel caso in cui il Paese ricevente non sia oggetto di una decisione di adeguatezza Europea (leggi anche: Il trasferimento di dati personali al di fuori della UE), che avrebbe bisogno di un libro per essere analizzata e ricevere una risposta chiara e precisa.
Siamo davanti al tipico caso di uno studente che è bravo, ma non si applica? Forse sì. Per semplificare la risposta, potremmo dire che Google analytics non è illegittimo, ma se non si seguono determinate accortezze lo può diventare.
Il trasferimento dei dati all’estero può avvenire SOLO ED ESCLUSIVAMENTE se l’interessato (in questo caso l’utente) vi ha prestato consenso. Pochi mesi fa il garante per la protezione dei dati personali ha emanato delle linee guida sui cookie che prevedono che qualsiasi cookie che non sia tecnico/necessario debba essere spento di default e attivato direttamente dall’utente con un’azione positiva (che non può essere, quindi, un semplice scrolling down).
I cookie di Google Analytics rientrano appieno nella definizione di cookie non tecnico, di conseguenza se sono presenti devono essere disattivati e attivati dall’utente, che in tal modo presta il consenso al loro uso e al trasferimento dei dati (leggi anche: Nuove regole sui Cookie: tutto quello che c’è da sapere [Privacy]).
Un altro passaggio fondamentale, infine, è che l’utente sia pienamente informato che i dati raccolti da quel cookie possono essere trasmessi all’estero (più precisamente negli USA).
Una volta che questi due passaggi sono stati rispettati, l’uso di Google analytics, potrebbe essere definito legittimo.
E la Pubblica Amministrazione?
Altro punto della questione riguarda i siti delle PA che non si sono ancora adeguati alle linee guida del garante. Per queste non c’è ma che tenga, l’uso di tali cookie risulta illegittimo (e quindi sanzionabile). Infatti le linee guida del garante devono essere seguite da tutti i siti web senza eccezioni, compresi quelli delle PA.
Per stringere, queste linee guida prevedono che qualsiasi cookie che non sia tecnico o necessario al funzionamento del sito debba essere disattivato e attivato su richiesta dell’utente. Se il sito utilizza Google Analytics, questo deve essere disattivato e, tramite il banner o altro strumento facilmente raggiungibili, deve essere data la possibilità di attivazione all’utente e, molto importante, deve essere fornita adeguata informativa privacy.
Ultimo punto, è necessario capire dove siano localizzati i server utilizzati dal tool in questione, in quanto se fossero all’interno dell’Unione Europea la questione non avrebbe molto spazio di appiglio, mentre, in caso contrario, i server fossero locati al di fuori dell’UE, allora ci sarebbe spazio per eventuali sanzioni.
I punti a cui adempiere sono tanti, non sempre di facile comprensione. Per questo è cosa buona e giusta affidarsi ai consulenti esperti. Attraverso la presenza costante e il monitoraggio delle attività, il professionista ha la tranquillità che tutti i punti della normativa siano presidiati e che la conformità sia mantenuta nel corso del tempo.