Per il Garante Austriaco Google Analytics non può essere usato nemmeno se è attiva l’opzione dell’anonimizzazione e i dati personali raccolti anche sotto questa forma non possono essere esportati negli Usa.

---

Ma perché, se il dato è anonimizzato, non può essere trattato da Analytics o qualsiasi altro fornitore USA?

Perché, in buona sostanza, il dato non è veramente anonimo, e seppure criptato, se il destinatario dell’esportazione non ha una normativa GDPR compliance, come succede con le aziende statunitensi, il trasferimento risulta illegale, dal 16 luglio 2020.

Torniamo sempre alla ormai famosa “sentenza Schrems II”, che ha invalidato l’accordo di adeguatezza Privacy Shield tra Unione Europea e Stati Uniti.

I tre punti principali della nuova sentenza:

1. «Ma se è anonimizzato, non si può mica risalire all’utente di cui si è raccolto quel dato». Non è vero. Chi ha in mano la chiave crittografica può decodificare in chiaro, e risalire al dato completo.
2. «Ma il dato raccolto è solo l’IP del terminale, quello mica è un dato personale». Anche questo non è vero. Il GDPR stabilisce che per dato personale si intende qualsiasi tipo di dato che identifica o può far identificare anche indirettamente una persona, e l’IP è un codice identificativo assegnato a quel terminale, che fa capo ad un utente. Anche altri dati, come può essere la lingua di consultazione di un sito, il provider, le caratteristiche di un terminale ecc, possono essere identificativi di un utente, a maggior ragione se combinati con l’IP o con codici identificativi di accesso ad un servizio (in questo caso l’account Google dell’utente con cui si era connesso al sito).
3. «Ok, ma i server di Analytics sono in Europa, quindi non c’è trasferimento effettivo in Usa, e la sentenza Schrems non è applicabile, in questo caso». Falso anche questo. Le aziende statunitensi hanno l’obbligo, in caso di richiesta da parte delle agenzie di intelligence, di fornire i dati in loro possesso anche di banche dati al di fuori del territorio statunitense, facendo ricadere la loro autorità su qualsiasi dato in possesso di un’azienda USA in qualsiasi parte del mondo questa lo detenga. Lo stesso vale per le chiavi crittografiche per la decodifica del dato anonimizzato.

Quindi, cos’è successo, di nuovo, con il Garante Austriaco?

Il titolare di un sito di comparazione di prodotti è stato denunciato al Garante per aver raccolto i dati di un utente che si era connesso al portale, tra l’altro attraverso il proprio account Google, e averli trasferiti in USA tramite il servizio di analisi e statistiche Google Analytics. Il gestore si difende dicendo che aveva però impostato il servizio in forma anonima, quindi il dato non era più riferibile all’utente, e che i server di raccolta e di analisi sono in territorio comunitario, seppur di Google. Inoltre, aveva attivato con Google delle clausole contrattuali standard (le SCCs) per mettere più in sicurezza i dati.

Ma il dato anonimizzato innanzitutto non è realmente anonimo, in quanto chi ha in mano la chiave crittografica può comunque risalire al dato in chiaro, come abbiamo già detto, e in questo caso, chi, tra il gestore del portale e Google Analytics, mette in atto l’anonimizzazione del dato? Ovviamente Google. Infatti, al momento in cui si accede al sito, il dato raccolto da Analytics è in chiaro (insieme ad altri dati raccolti dai cookie, seppur tecnici, e in questo caso anche insieme ai dati identificativi dell’account Google con cui l’utente si era connesso), trasferito ai server di analisi da cui si generano i report richiesti dal gestore del sito, e solo poi anonimizzati per essere trasferiti ai server di conservazione. Seppure per poco tempo, il dato personale è comunque in chiaro, e anche se i server di analisi sono su territorio UE, a richiesta delle agenzie di intelligence questi devono essere forniti. Anche ammettendo fossero subito anonimizzati, se le autorità statunitensi ne richiedono l’accesso, Google deve fornire la chiave crittografica.

Per quello che riguarda invece le SCCs, l’opposizione del gestore non ha valenza, in quanto le clausole standard non possono in alcun modo, per quante e quanto elaborate possano essere, invalidare le leggi USA che hanno giurisprudenza sulle società con sede legale negli Stati Uniti, e non possono considerarsi perciò come misure adeguate alla base di un trasferimento.

Per la seconda volta, quindi, il Garante Austriaco dice no ad Analytics, e stavolta anche in forma anonima. Rimaniamo in attesa di vedere come si muoveranno gli altri Garanti europei, fintanto che non si realizzerà un nuovo accordo UE-USA per il trasferimento dei dati personali.