La recente pronuncia del Garante per la Privacy contro l’utilizzo di Google Analytics innesca una riflessione sul tema della protezione dei dati personali in un mercato sempre più dominato dalla profilazione degli utenti.
Nel mondo della sicurezza dei dati, sta alimentando una nutrita e copiosa discussione il provvedimento adottato di recente dall’autorità italiana Garante per la protezione dei dati personali, con cui è stato messo al bando (anche se con riferimento alla sola azienda interessata dalla pronuncia) il noto strumento di analisi del traffico di rete Google Analytics anche nella sua versione anonimizzata: l’intento è garantire una gestione in sicurezza delle informazioni evitando che le agenzie di intelligence statunitensi possano accedere ai dati dei cittadini europei.
A essere oggetto di discussione sono il reale coinvolgimento del titolare del trattamento dei dati (l’azienda che possiede il sito) e la concreta applicazione del Regolamento Europeo per la tutela dei dati personali al servizio offerto da Google (responsabile del trattamento dei dati).
Cosa non funziona
Secondo quanto previsto dall’ordinamento italiano, al responsabile di un qualsiasi illecito civile o penale deve poter essere addebitata quantomeno una condotta censurabile in termini di negligenza, imprudenza, imperizia (elementi costitutivi della colpa) o un’azione cosciente e volontaria nell’arrecare ad altri un danno o nel procurarsi un ingiusto profitto.
Si tratta di elementi che non sembrano potersi rinvenire nell’uso di Google Analytics: per prima cosa, la stessa società di Mountain descrive lo strumento come idoneo alla raccolta di soli dati aggregati, escludendo la possibilità di risalire all’identità dei singoli soggetti tracciati; in secondo luogo, le attività del titolare del trattamento dei dati e quella di Google come responsabile del trattamento, anche se funzionalmente collegate, risultano non dipendenti l’una dall’altra, dal momento che per introdurre la possibilità di tracciamento è necessaria l’esistenza di un rapporto diretto tra Google e l’utente, che solo collegandosi a Internet tramite un account della società americana mette l’azienda nella condizione di poter analizzare i suoi comportamenti tramite l’incrocio dei dati di Google Analytics con quelli dell’account.
In sostanza, il titolare del trattamento sarebbe responsabile di un utilizzo illecito dei dati da parte di un terzo, che, a sua volta, dovrebbe comunque eseguire un’operazione di allineamento con le informazioni derivanti dall’autenticazione eseguita sul profilo Google - peraltro non è neppure certo che questa circostanza si verifichi, giacché l’utente potrebbe non eseguire l’autenticazione o utilizzare dei meccanismi di elusione del tracciamento.
GLI ATTORI IN GIOCO
Il titolare del trattamento dei dati è la società che possiede il sito web interessato dal provvedimento e che ha deciso di analizzare il traffico del proprio portale per comprendere da dove provengano gli utenti, quali browser utilizzino, quanto tempo trascorrano sul sito e quali pagine consultino maggiormente.
L’obiettivo non è approfondire l’attività del singolo, ma migliorare l’efficienza e l’efficacia del sito: nessuna profilazione, in sostanza, né trattamento di dati dei singoli utenti. Il responsabile del trattamento dei dati è Google Inc., che offre il servizio Analytics, evidenziando nella licenza d’uso di fornire esclusivamente dati aggregati nell’anonimità degli indirizzi IP.
Google dichiara inoltre di rispettare il GDPR 679/2016 e di assumere il ruolo di responsabile del trattamento dei dati, ai sensi dell’art. 28 del suddetto provvedimento. L’utente può collegarsi a Internet tramite un account Google, mettendo l’azienda nella condizione di poter analizzare i suoi comportamenti in rete tramite l’incrocio dei dati di Google Analytics con quelli dell’account - anche una semplice casella di posta Gmail, infatti, dà accesso all’intero ecosistema costruito dalla società americana.
Un problema generalizzato
Un’altra riflessione, di natura prettamente giuridica, può essere fatta circa la reale applicabilità del GDPR al caso concreto, che andrebbe disciplinato piuttosto tenendo conto dei principi della Direttiva UE 680/2016, ammesso che un’autorità amministrativa, per quanto indipendente, possa effettivamente incidere sull’attività delle agenzie di sicurezza nazionale di uno stato sovrano ed esterno al territorio dell’UE, come sono gli Stati Uniti.
Non si comprende inoltre come interpretare il concetto secondo cui la possibilità di autenticazione, mediata da un altro soggetto giuridicamente autonomo, può impattare sul trattamento dei dati personali operato dal titolare: se si obietta all’utilizzo di Google Analytics perché, attraverso l’autenticazione di Google, ogni utente può essere tracciato, è questa l’operazione che deve ssere messa in discussione (piuttosto che l’analisi del traffico in forma anonima).
In tal caso, la questione si estende a qualsiasi strumento extra-UE che prevede un’autenticazione, dal momento che nessuno può impedire a una società di acquistare, da altri operatori del settore, i dati di navigazione degli utenti (per non parlare di cookie, tracker ecc.) e metterli in relazione con i propri.
Il problema, quindi, non riguarderebbe solo Google Analitycs e i profili di Google Workspace, ma anche Facebook e gli altri social network, i cui profili sono spesso utilizzati dagli utenti per collegarsi ad altri servizi; risulterebbero potenzialmente pericolose anche le autenticazioni di Microsoft 365 (che ha un proprio motore di ricerca, Bing) e quelle di Apple iCloud (che gestisce un intero ecosistema di dati, anche di natura sanitaria, attraverso gli AirTag e gli Apple Watch).
Allo stesso modo, non si potrebbe mettere la mano sul fuoco per gli smartphone di Huawei e Samsung (cui corrispondono altrettanti account, con la possibilità di tracciare gli utenti tramite i loro device e i cosiddetti dispositivi indossabili); neppure colossi come Oracle e Amazon potrebbero trattare, mediante i loro potentissimi database, i dati di navigazione dei cittadini europei e ricollegarli a quelli degli account dei rispettivi servizi.
Il nocciolo della questione
Rispetto alle pronunce isolate dei Garanti europei - che appaiono sempre più distanti dalla realtà e arroccati su principi di diritto condivisibili, ma attualmente applicabili solo in parte per la mancanza di soluzioni percorribili (almeno nel breve periodo) - emerge dunque un nuovo problema, quello del funzionamento globale del mercato dei dati personali.
Se non è stato possibile risolvere la questione attraverso le clausole contrattuali standard della Commissione Europea, non è pensabile neppure che un accordo internazionale possa fornire una soluzione in merito: alla sicurezza nazionale di uno stato sovrano, infatti, non si può opporre alcuna limitazione basata su regole scritte per una tutela di tipo aziendalistico, certamente non riconducibili agli ambienti militari o dell’intelligence governativa. Risulta quindi utopistico pensare a una soluzione che impedisca alle agenzie di sicurezza di analizzare i profili dei cittadini per finalità di contrasto al terrorismo o di costruzione di strategie di prevenzione dei conflitti internazionali; allo stesso modo, non è possibile ipotizzare che il mondo intero rinunci improvvisamente alla profilazione degli utenti per organizzare le attività economiche senza trovare un’alternativa in grado di compensarne il gettito, anche erariale.
La strada più agevole e percorribile appare quindi quella di investire sull’educazione, con l’obiettivo di rendere il cittadino medio meno superficiale, inducendolo a non distribuire allegramente i suoi dati tra social, web e dispositivi, senza curarsi troppo della privacy e senza dare alla sicurezza alcun valore.