Domande e risposte sulle diffide della CNIL relative all'uso di Google Analytics

Pubblichiamo di seguito una traduzione italiana delle FAQ concernenti Google Analytics recentemente pubblicate dal Garante della Privacy francese.
(a cura di Ivo Grimaldi)

07 giugno 2022

La CNIL ha ammonito diverse organizzazioni a mettersi in regola rispetto all'uso di Google Analytics, a causa del trasferimento di dati negli Stati Uniti senza garanzie sufficienti per i diritti degli utenti europei. Quali sono le conseguenze per gli enti coinvolti?

Screenshot da Google Analytics

Queste domande frequenti riguardano solo le decisioni di costituzione in mora della CNIL in merito all'uso di Google Analytics a seguito dell'invalidazione del Privacy Shield.

La dichiarazione congiunta della Commissione europea e degli Stati Uniti nel marzo 2022 in merito a una futura decisione volta a fornire un quadro soddisfacente per i flussi di dati verso gli Stati Uniti è in questa fase solo un annuncio politico. Il 6 aprile il GEPD ha pubblicato una dichiarazione in cui ha chiarito che tale dichiarazione non costituisce un quadro giuridico su cui le organizzazioni possono fare affidamento per trasferire i dati negli Stati Uniti.

Sulle diffide

Il contesto
Il 16 luglio 2020 la Corte di Giustizia dell'Unione Europea ha emesso un'importante sentenza: il Privacy Shield, che disciplinava i trasferimenti di dati tra l'Unione Europea e gli Stati Uniti, è stato invalidato perché non offriva garanzie adeguate contro il rischio di abusi accesso da parte delle autorità statunitensi ai dati personali dei residenti in Europa. Solo l'istituzione di ulteriori misure di protezione tecnica, giuridica e organizzativa da parte delle organizzazioni per impedire tale accesso potrebbe, in pratica, consentire tali trasferimenti. Ad agosto 2020 l'associazione NOYB ha presentato 101 reclami alle diverse autorità europee per la protezione dei dati personali riguardanti siti web utilizzando in particolare il diffusissimo strumento di analisi dell'audience Google Analytics, la cui casa madre si trova negli Stati Uniti.

La decisione
Nella diffida pubblicata il 10 febbraio 2022 relativa a uno di questi organismi, la CNIL ha ritenuto che: le misure messe in atto da Google non sono sufficienti ad escludere la possibilità di accesso ai dati dei residenti europei; i dati degli utenti Internet europei vengono quindi trasferiti illegalmente tramite questo strumento.

Una delle comunicazioni formali relative all'uso di Google Analytics è stata pubblicata in forma anonima sul sito web della CNIL il 16 febbraio 2022.
La decisione è stata anonimizzata perché non sembrava utile citare il nome di un particolare editore di siti web, dato che l'uso di questo strumento è molto diffuso.

L'obiettivo è che tutti i responsabili del trattamento dei dati che utilizzano questo strumento si rendano conformi.

Le organizzazioni a cui è stata data formale diffida hanno un periodo di un mese per conformarsi e giustificare tale conformità alla CNIL. Tale periodo di un mese può essere rinnovato, su richiesta delle organizzazioni interessate.

Tutti i titolari del trattamento dei dati che utilizzano Google Analytics in modo simile a queste organizzazioni devono ora considerare questo utilizzo illegale ai sensi del GDPR.

Devono quindi rivolgersi a un prestatore di servizi che offra sufficienti garanzie di conformità.

Al fine di armonizzare le decisioni e offrire certezza del diritto per le parti interessate, le autorità europee a cui sono state deferite denunce dall'associazione NOYB (nessuno dei tuoi affari in inglese) in materia di trasferimenti da parte di Google Analytics si sono organizzate in un gruppo di lavoro insieme per esaminare le questioni legali sollevate in questi fascicoli e coordinare le loro posizioni e decisioni.

La decisione della CNIL non è quindi la prima a livello europeo: un mese prima della CNIL, l'autorità austriaca per la protezione dei dati ha emesso a gennaio una prima decisione che va nella stessa direzione di quella francese.

Tutte le denunce presentate dall'associazione NOYB riferite alla CNIL sono state oggetto di un'indagine coordinata: le situazioni sono state però esaminate caso per caso e sulla base delle risposte fornite dalle organizzazioni.

Tutte le organizzazioni in Francia il cui utilizzo di Google Analytics è stato oggetto di reclami da parte di noyb sono state ora oggetto di diffide formali.

Sull'utilizzo dello strumento Google Analytics

Le organizzazioni notificate avevano stabilito con Google clausole contrattuali standard, che Google offre per impostazione predefinita agli utenti di questa soluzione. Tali clausole contrattuali standard non possono, da sole, garantire un livello di protezione sufficiente in caso di richiesta di accesso da parte di autorità estere, in particolare se tale accesso è previsto da leggi locali.

Nella sua risposta alle richieste della CNIL, Google ha indicato di aver posto in essere ulteriori misure legali, organizzative e tecniche, ritenute tuttavia insufficienti a garantire l'effettiva protezione dei dati personali trasferiti, in particolare contro le richieste di protezione dei dati. dai servizi di intelligence statunitensi.

No.

In risposta al questionario inviato dalla CNIL, Google ha indicato che tutti i dati raccolti tramite Google Analytics erano ospitati negli Stati Uniti.

Anche in assenza di trasferimento, l'utilizzo delle soluzioni offerte da società soggette a giurisdizioni extraeuropee rischia di porre difficoltà in termini di accesso ai dati. In effetti, le organizzazioni possono essere obbligate dalle autorità di paesi terzi a divulgare dati personali ospitati su server situati nell'Unione Europea.

L'articolo 48 del GDPR limita tali comunicazioni ai soli casi in cui il Paese terzo richiedente e l'Unione Europea o lo Stato membro interessato siano parti di un accordo internazionale che prevede tali comunicazioni.

Come parte dell'avviso formale, Google ha indicato di utilizzare misure di pseudonimizzazione, ma non l' anonimizzazione. Google offre una funzione di anonimizzazione dell'indirizzo IP, ma non è applicabile a tutti i trasferimenti. Inoltre, gli elementi forniti da Google non consentono di determinare se tale anonimizzazione avvenga prima del trasferimento negli Stati Uniti.

Inoltre, il solo uso di identificatori univoci per differenziare le persone può aiutare a rendere i dati identificabili, specialmente se combinati con altre informazioni come i metadati del browser e del sistema operativo. Questi dati consentono il tracciamento preciso degli utenti, in alcuni casi su più dispositivi separati. Se il GEPD lo ammette nelle sue raccomandazioni del 18 giugno 2021 la possibilità di utilizzare la pseudonimizzazione come misura aggiuntiva, il utilizzo è subordinato ad un'analisi sua volta aguarantee che tutte le informazioni trasmesse non consentano in alcun modo una reidentificazione della persona, anche tenendo conto delle ingenti risorse a disposizione delle autorità potrebbe volta effettuare una tale reidentificazione.
Infine, l'uso di Google Analytics insieme ad altri servizi Google, compreso il marketing, può amplificare il rischio di tracciamento. In effetti, questi servizi, ampiamente utilizzati in Francia, possono consentire il controllo dell'indirizzo IP e quindi tracciare la cronologia di navigazione della maggior parte degli utenti di incroci Internet su un gran numero di siti.

Differenza tra anonimizzazione e pseudonimizzazione

La pseudonimizzazione è il trattamento dei dati personali in modo tale che i dati relativi a una persona fisica non possono più essere assegnati senza ulteriori informazioni. In pratica la pseudonimizzazione consiste in un data set con dati direttamente identificabili (cognome, nome, ecc.) di un data set con dati indirettamente identificabili (alias, numero progressivo, ecc.).

L'anonimizzazione consiste nell'utilizzare un insieme di tecniche in modo da rendere impossibile, in pratica, identificazione della persona con qualsiasi mezzo ed irreversibilmente. I dati anonimi non sono più soggetti al GDPR.

Sì, ma a determinate condizioni.
L'implementazione della crittografia dei dati da parte di Google si è rivelata una misura tecnica insufficiente in quanto Google LLC crittografa i dati stessi e ha l'obbligo di concedere l'accesso o fornire i dati importati di cui è in possesso, comprese le chiavi di crittografia necessarie per effettuare il dati intelligibili. Google LLC conserva la possibilità di accedere in chiaro ai dati delle persone fisiche, tali misure tecniche non possono ritenersi efficaci in questo caso (si vedano le raccomandazioni dell'European Data Protection Board sulle misure aggiuntive per i trasferimenti, punto 85).

La crittografia è quindi una garanzia aggiuntiva insufficiente se l'organizzazione soggetta alle richieste delle autorità statunitensi può accedere ai dati personali in chiaro.

Affinché la crittografia possa essere considerata una sufficiente garanzia aggiuntiva, le chiavi di crittografia dovrebbero in particolare essere mantenute sotto il controllo esclusivo dell'esportatore di dati, o di altri soggetti stabiliti in un territorio che offra un livello di protezione adeguato (cfr. raccomandazioni 01/2020 del Comitato europeo per la protezione dei dati, punto 84).

Nessuna delle ulteriori garanzie presentate alla CNIL nell'ambito della costituzione in mora impedirebbe o renderebbe inefficace l'accesso dei servizi di intelligence statunitensi ai dati personali degli utenti europei quando utilizzano il solo strumento Google Analytics.

Tuttavia, si può ipotizzare una soluzione che permetta di coinvolgere un server proxy (o “proxy”) per evitare qualsiasi contatto diretto tra il terminale dell'utente Internet ed i server dello strumento di misura. Tuttavia, occorre garantire che questo server soddisfi una serie di criteri per poter ritenere che questa misura aggiuntiva sia in linea con quanto previsto dal GEPD nelle sue raccomandazioni del 18 giugno 2021.

Il consenso esplicito degli interessati è una delle possibili deroghe previste in alcuni casi specifici dall'articolo 49 del GDPR. Tuttavia, come indicato nelle linee guida del Comitato europeo per la protezione dei dati su tali deroghe, possono essere utilizzate solo per trasferimenti non sistematici, e non possono costituire una soluzione duratura e a lungo termine, il ricorso a una deroga non può non diventare la regola generale.

Sulle soluzioni alternative disponibili

La CNIL ha pubblicato un elenco di strumenti di misurazione dell'audience che possono essere esentati dal consenso se correttamente configurati.

Tale elenco comprende gli strumenti che hanno già dimostrato alla CNIL di poter essere configurati in modo da essere limitati a quanto strettamente necessario per l'erogazione del servizio, e quindi non richiedono il consenso dell'utente, ai sensi dell'articolo 82 del Codice in materia di protezione dei dati personali Atto.

Tuttavia, questo elenco non esamina attualmente le questioni sollevate dai trasferimenti internazionali, in particolare le conseguenze della sentenza “Schrems II”.

Nel caso in cui lo strumento previsto trasferisca dati al di fuori dell'Unione Europea o quando la società che pubblica lo strumento abbia legami patrimoniali o organizzativi con una società controllante situata in un Paese che preveda la possibilità per i servizi di intelligence di richiedere l'accesso a dati personali ubicati in un altro territorio, è necessario valutare il quadro giuridico del paese terzo.

Tale valutazione può basarsi su:

le decisioni della CGUE o della Corte europea dei diritti dell'uomo, che hanno potuto valutare la conformità di determinate normative agli standard europei in materia di protezione dei dati. le raccomandazioni della CNIL europea, che hanno ad esempio dettagliato le garanzie essenziali che devono essere riscontrate, in termini di sorveglianza, nel paese terzo per valutare il livello di protezione dei dati.
Si può anche considerare di utilizzare il metodo di proxyification, che consente, quando è ben configurato, di inviare solo dati pseudonimizzati a un server situato al di fuori dell'Unione Europea.

No.

I dati personali trasferiti in un Paese al di fuori dell'Unione Europea devono beneficiare di un livello di protezione "sostanzialmente equivalente" a quello garantito nell'UE.

In particolare, la possibilità di accesso illecito ai dati personali che va al di là di quanto necessario e proporzionato in una società democratica da parte delle autorità pubbliche lede gravemente i diritti e le libertà fondamentali degli interessati.

Nel caso in cui tale accesso sia possibile (e non solo quando l'accesso sia probabile) e le garanzie che regolano l'emissione delle richieste di accesso ai dati non consentano di garantire un livello di protezione dei dati sostanzialmente equivalente a quello garantito nell'Unione Europea (si vedano le raccomandazioni del GEPD sulle salvaguardie essenziali), è necessario adottare misure tecniche aggiuntive per rendere impossibile o inefficace tale accesso.

Tali misure sono previste nelle raccomandazioni del Comitato europeo per la protezione dei dati sulle misure aggiuntive ai trasferimenti.


Traduzione di Ivo Grimaldi: Telegram | BandCamp | openSUSE