Di recente diverse scuole hanno ricevuto un’email di diffida da parte di “un gruppo di hacker italiani, attiviste e attivisti, cittadine e cittadini attenti alla privacy ed alla tutela dei diritti cibernetici nel nostro Paese”, con la richiesta di rimuovere con urgenza dai propri siti web istituzionali Google Analytics, in quanto non conforme ai principi del GDPR, in ordine al trasferimento negli Stati Uniti di dati personali.

I contenuti della diffida si basano su due pronunce delle Autorità Garanti Europee (austriaca e francese), le quali avvertono i titolari del trattamento che implementano nei propri portali strumenti come Google Analytics della non conformità degli stessi alla disciplina del GDPR.

Google Analytics e siti web: le pronunce dei Garanti europei

Google Analytics è uno strumento che serve a monitorare il traffico degli utenti all’interno di un sito web: le informazioni raccolte vengono archiviate in Europa, ma – come evidenziano le Autorità – anche inviate negli Stati Uniti.

Il problema deriva perciò dal trasferimento di dati verso Paesi terzi da parte di Google che, nonostante l’attuazione di misure supplementari, non garantisce un’adeguata protezione dei dati.

Il Garante francese (CNIL), con propria pronuncia del 10 febbraio 2022, analizzando tecnicamente il funzionamento di Google Analytics, ha rilevato come questo sia in grado di raccogliere la richiesta http dell’utente, le informazioni sul suo browser e sul sistema operativo, “tra le altre cose. […] una richiesta http, per qualsiasi pagina, contiene dettagli del browser e del dispositivo che effettua la richiesta, come il nome del dominio e il browser informazioni come il tipo, il referer e la lingua”.

Il CNIL ha poi definito tali informazioni dati personali ai sensi dell’art. 4 del GDPR.

Dall’analisi condotta dall’Autorità Garante francese appare dunque evidente come Analytics raccolga dati personali, e come Google non sia in grado di garantire che tali informazioni rimangano sul territorio UE, nonostante l’azienda di Mountain View sostenga che Analytics non tracci le persone su internet e che chi usa questo strumento abbia il pieno controllo dei dati raccolti.

In particolare, il rischio ravvisato dalle Autorità garanti che hanno analizzato la questione è che le informazioni esportate negli Stati Uniti possano essere oggetto di acquisizione anche da parte delle autorità statunitensi, e in particolare dei loro servizi di intelligence.

Sulla base delle stesse considerazioni, la Corte di Giustizia dell’Unione Europea era già intervenuta con la sentenza nella causa C-311/18 del 16 luglio 2020, stabilendo come il Privacy Shield violasse il GDPR.

Ad oggi il Garante della privacy italiano non si è ancora pronunciato sul tema, ma ha precisato che i cookie analytics possono essere “assimilati ai cookie tecnici se utilizzati a fini di ottimizzazione del sito direttamente dal titolare del sito stesso, che potrà raccogliere informazioni di tipo statistico in forma aggregata sul numero degli utenti e su come questi visitano il sito. Qualora, invece, l’elaborazione di tali analisi statistiche sia affidata a soggetti terzi, i dati degli utenti dovranno essere preventivamente minimizzati e non potranno essere combinati con altre elaborazioni né trasmessi ad ulteriori terzi. A queste condizioni, per i cookie analytics valgono le stesse regole, in tema di informativa e consenso, previste per i cookie tecnici” (cfr. provvedimento dell’8 maggio 2014 e Linee guida cookie e altri strumenti di tracciamento del 10 giugno 2021).

Google Analytics e siti web: che cosa deve fare la scuola

Alla luce delle pronunce dei Garanti europei, gli istituti devono perciò valutare attentamente se continuare o meno a utilizzare Google Analytics.

Qualora la scuola decidesse di rinunciare all’uso del servizio, ciò eliminerebbe alla radice il problema, poiché eviterebbe di effettuare trasferimenti di dati verso Paesi terzi che – nonostante l’attuazione di misure supplementari – a parere delle autorità garanti austriaca e francese non sono in grado di garantire una sufficiente protezione dei dati.

In caso contrario, laddove la scuola ritenesse necessario utilizzare Google Analytics (e accettasse dunque il rischio di un trasferimento non conforme al GDPR), resta indispensabile procedere al c.d. “Transfer Impact Assessment” (o TIA), come suggerito dall’EDPS, il Garante Europeo per la Protezione dei Dati, in ossequio al principio del “risk based approach”.

Qualora dall’assessment emergesse che non è possibile assicurare nel Paese in cui si trasferiscono i dati un livello di protezione sostanzialmente equivalente a quello garantito all’interno dell’Unione, il “data exporter” dovrà identificare le misure supplementari da mettere in atto, tenendo a mente le raccomandazioni 01/2020 e 02/2020 proposte in materia dal Comitato europeo per la protezione dei dati.

Per quest’ultima ipotesi appare in ogni caso necessario richiedere e implementare sul sito uno specifico consenso agli interessati dei cookies analitycs e, in via cautelativa, procedere alla anonimizzazione dei dati (quale il mascheramento dell’indirizzo IP) prima di effettuare il trasferimento degli stessi.

Altra possibilità è quella di cercare soluzioni alternative di monitoraggio, esistenti e presenti sul mercato, che siano efficienti, sicure, e che non violino il GDPR.

In merito a questo problema, Google ha in ogni caso dichiarato che attiverà per Analytics 4, alla fine di maggio 2022, un importante aggiornamento per gli utenti europei.

Le scuole devono perciò verificare che il sito web istituzionale usi effettivamente Google Analytics e, in caso affermativo, decidere assieme al Responsabile della Protezione dei Dati se continuare o meno a usufruire di questo servizio.