Google Analytics: i nodi (del GPDR) vengono al pettine

Privacy e sicurezza - Manlio Cammarata – 27 giugno 2022

Si legge nel comunicato del 23 giugno che il Garante "ha adottato il primo di una serie di provvedimenti con cui ha ammonito [la società che gestisce un sito web], ingiungendo alla stessa di conformarsi al Regolamento europeo entro novanta giorni". Il provvedimento è stato adottato "a conclusione di una complessa istruttoria avviata sulla base di una serie di reclami e in coordinamento con altre autorità privacy europee. Dall'indagine del Garante è emerso che i gestori dei siti web che utilizzano GA raccolgono, mediante cookie, informazioni sulle interazioni degli utenti con i predetti siti, le singole pagine visitate e i servizi proposti...". 

Il problema è noto da sempre ed è stato oggetto di ben due sentenze della Corte di giustizia UE, che hanno invalidato nel 2015 l'accordo Safe Harbor e nel 2020 il Privacy Shield, che la Commissione aveva ritenuto idonei a proteggere i dati dei cittadini europei trattati negli USA.
Nell'attesa di un nuovo, problematico accordo, tutti i siti che usano Google Analytics violerebbero il GDPR (articolo 44 e seguenti), perché il sistema trasferisce i dati personali degli utenti verso un "paese terzo" che non offre le garanzie previste dalla normativa europea.

Dunque il Garante italiano "ammonisce" l'operatore e gli concede novanta giorni per mettersi in regola. Scaduto il termine, "il Garante procederà, anche sulla base di specifiche attività ispettive, a verificare la conformità al Regolamento Ue dei trasferimenti di dati effettuati dai titolari", si legge ancora nel comunicato. "Titolari", al plurale, perché l'Autorità "richiama all'attenzione di tutti i gestori italiani di siti web, pubblici e privati, l'illiceità dei trasferimenti effettuati verso gli Stati Uniti attraverso GA, anche in considerazione delle numerose segnalazioni e quesiti che stanno pervenendo all'Ufficio".

Inoltre il Garante "invita tutti i titolari del trattamento a verificare la conformità delle modalità di utilizzo di cookie e altri strumenti di tracciamento utilizzati sui propri siti web, con particolare attenzione a Google Analytics e ad altri servizi analoghi, con la normativa in materia di protezione dei dati personali".
E' quanto basta a suscitare un allarme tra gli operatori di tutta Europa, anche alla luce della precisazione del comunicato: "in coordinamento con altre autorità privacy europee".

Tuttavia la lettura del  provvedimento del 9 giugno suscita qualche perplessità. Il funzionamento di Google Analytics è noto: nei browser dei visitatori di un sito sono depositati dei cookie che raccolgono una serie di informazioni sulla navigazione dell'utente, informazioni che possono essere anche dati personali, in quanto l'utente stesso può essere "identificato o identificabile".

Il primo problema è capire chi è il titolare del trattamento. A un primo esame non sembra che il gestore di un sito possa essere considerato "titolare del trattamento", come definito dal GDPR (art. 4). Infatti il titolare è "la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali", dunque parrebbe logico attribuire a Google il ruolo del titolare.

Ma, allora, qual è il ruolo del fornitore del servizio, colpevole (secondo il Garante) di trattamento illecito? Sulla scorta del GDPR è difficile farlo rientrare nella definizione di "contitolare" (art. 26), né di "responsabile" (art. 28). La normativa in vigore non contempla la figura di un soggetto che tratta dati personali senza essere titolare, contitolare o responsabile. Secondo la difesa dell'accusato, sarebbe "titolare" del trattamento lo stesso fornitore del servizio, mentre Google sarebbe "responsabile". Tutto questo applicando le istruzioni date da Google. Il Garante accoglie queste affermazioni.

A una lettura attenta del GDPR sembra vero il contrario: chi dà le istruzioni è il titolare, chi le deve mettere in atto è il responsabile (sempre l'art. 28, in particolare il paragrafo 3, lettera a).
Questo è solo uno dei punti che non torna (per un esame più approfondito è utile leggere l'articolo di Andrea Monti Google Analytics, il Garante e i buchi del Gdpr su Repubblica del 23 giugno).

Un pasticcio che conferma l'idea che l'insieme della normativa sulla protezione dei dati sia del tutto inadeguata alla difesa della vita privata delle persone, dalla direttiva del 1995 al regolamento del 2016.

La protezione consiste soprattutto di adempimenti burocratici. Basta ricordare la legge 675/96, che prescriveva non un "piano di sicurezza" (ovvio in qualsiasi azienda), ma un "documento programmatico sulla sicurezza". Mescolando il giuridichese col politichese, occorreva un gran lavoro per produrre un pezzo di carta che non serviva a nulla. Ma che si poteva comperare per pochi soldi, prefabbricato da furbi "consulenti". Come succede oggi con la "informativa sui cookie".

Proprio i cookie sono (giustamente) sul banco degli accusati, insieme ad altre tecniche invasive della vita privata. I Garanti europei sono intervenuti più volte sul problema, con indicazioni subito aggirate dai predatori dei dati personali (non solo Google). Da ultimo il Garante italiano ha emanato, il 10 giugno 2021, le Linee guida cookie e altri strumenti di tracciamento: trentuno pagine di contorsioni in legal-burocratese, tanto che lo stesso Garante ha ritenuto di dover allegare una Scheda di sintesi (tre pagine!).

Da queste linee-guida si deduce, faticosamente, che all'apertura di un sito deve essere presentato un avviso sul trattamento dei dati personali che preveda: a) un "comportamento attivo" dell'utente per esprimere il consenso al trattamento – non basta la chiusura dell'avviso o far scorrere la pagina; b) la presenza di un pulsante per negare il consenso all'uso di tutti o di parte degli strumenti di tracciamento.
Quanti sono i siti che rispettano queste semplici prescrizioni? Non certo la maggioranza, come si può verificare in qualche minuto di navigazione. Senza contare i più furbi, che danno maggiore rilievo grafico al pulsante per l'accettazione e rendono meno immediato trovare quello per il rifiuto.

Non basta. E' noto che la raccolta dei dati personali serve anche per la "profilazione" delle persone. Il GDPR detta regole stringenti sulle informazioni che devono essere rese dal titolare in questi casi. Ebbene, trovare un sito che dichiari di operare la profilazione e fornisca "informazioni significative sulla logica utilizzata, nonché l'importanza e le conseguenze previste di tale trattamento per l'interessato" (art. 14) è come cercare un ago in un pagliaio.

Ancora. Sono passati venticinque anni dall'entrata in vigore della legge 675/96 e aspettiamo ancora la soluzione della piaga del marketing telefonico. Ora sembra che dal prossimo 27 luglio sarà operativo il "registro delle opposizioni" che ci libererà (forse) da questo strazio (vedi La storia infinita del "Regolamento opposizioni").

Sarebbe lungo elencare le situazioni in cui il GDPR si rivela inadeguato o addirittura un freno alle attività pubbliche o private. Basti pensare ai problemi di "privacy" connessi al contrasto alla pandemia da Covid-19 (vedi Il GDPR è un ostacolo nella lotta alla pandemia?).

In ultima analisi, il problema è questo: il sistema è centrato sulla protezione del dato invece che sulla protezione della persona. Il GDPR regola nel dettaglio il "ciclo di vita" del dato personale, nella finzione giuridica che il trattamento "legittimo" protegga la vita privata della persona. Con effetti anche paradossali, perché è possibile violare la riservatezza del cittadino con trattamenti all'apparenza inattaccabili: con informative e richieste di consenso fatte ad arte è possibile trattare qualsiasi dato personale senza incorrere in palesi violazioni delle norme.

In sostanza, da venticinque anni dobbiamo fare i conti con una sterminata quantità di regole, che hanno come effetto diretto adempimenti burocratici, procedure infinite, divieti, cavilli di ogni genere e che solo indirettamente, e non sempre, definiscono il perimetro della riservatezza di cittadini, la cosiddetta privacy.
La normativa sui dati personali ha venticinque anni, il vostro cronista si occupa della materia da più di trenta. E se qualcuno gli chiede che cosa pensa delle regole "sulla privacy", a volte ha la tentazione di rispondere con le stesse parole del ragionier Fantozzi a commento dell'ennesima proiezione della Corazzata Kotiomkin...

La Corazzata Kotiomkin – Articoli precedenti
1. Il GDPR, i Garanti e La corazzata Kotiomkin - 29 luglio 2021
2. Il GDPR è un ostacolo nella lotta alla pandemia? - 6 settembre 2021
3. I bambini hanno perso la faccia: è la privacy, bellezza! - 20 settembre 2021
4. "Informazioni": come accettare i cookie e vivere felici - 14 ottobre 2021