[GDPR e Cookies] Perché l’uso di Google Analytics non è automaticamente illegittimo

Negli ultimi giorni si è riacceso il dibattito attorno all’asserita illegittimità automatica dell’utilizzo di cookie del comparto Google Analytics, a causa dell’inoltro massivo di comunicazioni via PEC alle Pubbliche Amministrazioni italiane, nelle quali i mittenti invitavano i titolari del trattamento ad abbandonare tale sistema, considerando come “oramai pacifico che questo strumento non sia conforme ai principi del GDPR in ordine al trasferimento transfrontaliero di dati personali”.

Benché sia sicuramente corretto affermare come alcune Autorità straniere (prima il Garante Privacy austriaco, poi quello francese) abbiano evidenziato l’illegittimità del trattamento dei dati effettuato da Google Analytics, è necessario però ricordare come ognuna delle pronunce abbia analizzato una fattispecie concreta che non può portare ad un’identificazione generalizzata di non conformità dello strumento, soprattutto in Italia.

Di seguito cerchiamo di capire perché.

Le origini del problema

Con provvedimento del 22.12.2021 (pubblicato il 14.01.2022) il Garante Privacy austriaco (Datenschutzbehörde o DSB) sanzionava il gestore di un sito web, titolare del trattamento, per l’illecito trattamento di dati personali operato tramite l’uso di Google Analytics, strumento che viola, secondo l’Autorità, le norme in materia di trasferimento extra-UE di dati personali previste dall’art. 45 ss Reg. (UE) 2016/679.

La vicenda affonda le radici nella sentenza “Schrems II”, con la quale la Corte di Giustizia Europea, nel luglio 2020, revocava di fatto la decisione di adeguatezza sul Privacy Shield, l’accordo che permetteva appunto lo scambio di dati personali tra Paesi UE e Stati Uniti, aprendo una lacuna ad oggi non ancora propriamente colmata in tema di trasferimento di dati al di fuori dell’Unione Europea.

Sulla base di tale sentenza, infatti, il DSB affermava come, nel caso sottoposto alla sua attenzione, il trattamento di dati effettuato tramite il sito internet fosse illegittimo, considerato l’uso di Google Analytics in modalità che non permettevano di anonimizzare indirizzo IP e User ID di Google faceva sì che tali dati fossero trasferiti negli Stati Uniti in assenza di adozione delle garanzie adeguate, e quindi in violazione dell’art. 45 e ss Reg. (UE) 2016/679.

Non, quindi, una dichiarazione generalizzata di non conformità, bensì un provvedimento (come quello francese del febbraio 2022) riferito ad un caso specifico nel quale è stata rilevata l’assenza di un’idonea base giuridica per il trasferimento dei dati e un’informativa non conforme alle previsioni normative.

I cookie analytics nelle fonti italiane

Per capire però come queste pronunce possono impattare nel nostro ordinamento, è necessario analizzare la gestione dei cookie analytics come regolata e prevista dalle fonti italiane.

In primo luogo, quando si parla di cookie è necessario valutare lo strumento che si intende utilizzare alla luce delle Linee Guida “Cookie e altri strumenti di tracciamento” adottate dal Garante per la Protezione dei Dati Personali con il provvedimento n. 231 del 10 giugno 2021. Nelle menzionate Linee Giuda il Garante dedica una parte specifica all’analisi di analytics, affermando che questi strumenti “sono equiparabili ai cookie e agli altri identificatori tecnici solo se:

  • vengono utilizzati unicamente per produrre statistiche aggregate e in relazione ad un singolo sito o una sola applicazione mobile;
  • viene mascherata, per quelli di terze parti, almeno la quarta componente dell’indirizzo IP;
  • le terze parti si astengono dal combinare i cookie analytics, così minimizzati, con altre elaborazioni (file dei clienti o statistiche di visite ad altri siti, ad esempio) o dal trasmetterli ad ulteriori terzi. È tuttavia consentita alle terze parti la produzione di statistiche con dati relativi a più domini, siti web o app che siano riconducibili al medesimo publisher o gruppo imprenditoriale
  • L’analisi completa del documento permette poi di comprendere come, laddove i cookie analytics non assumano le caratteristiche citate, questi non sono considerati automaticamente non conformi, bensì vengono fatti ricadere nell’insieme di cookie di tracciamento, per l’utilizzo dei quali è necessario raccogliere correttamente il consenso (tematica già ampiamente affrontata qui [GDPR e Cookies] Una procedura operativa).

A conferma dell’interpretazione data dal Garante si deve ricordare anche quanto previsto da AgID nelle “Linee guida di design per i servizi web della Pubblica Amministrazione”, nelle quali si ribadisce come l’uso di analytics andrà ponderato e analizzato sulla base delle caratteristiche di funzionamento e impostazione dello strumento.

Così si conferma la suddivisione in due gruppi per i cookie analytics:

  • quelli che possiedono strumenti in grado di ridurre il potere identificativo dei cookie ricadranno nel sottogruppo dei cookie tecnici, per i quali non sarà necessario richiedere il consenso;

Cosa fare per adempiere alla normativa sui cookie

  • quelli invece che mantengono intatto il potere identificativo dei cookie, che, in quanto tali, ricadono nel sottogruppo dei cookie di tracciamento, i quali per poter funzionare conformemente al GDPR dovranno essere accompagnati da una corretta richiesta e raccolta dei consensi dei visitatori del sito internet.

Nessuna delle fonti citate, per primo il Garante, identifica quindi come automaticamente illegittimo o non conforme l’utilizzo di analytics per i siti internet: analytics diverrà illegittimo solamente nel momento in cui non permetta l’anonimizzazione dei dati raccolti e, contemporaneamente, non sia richiesto al visitatore del sito internet alcun consenso nelle modalità identificate dall’Autorità.

La gestione di analytics in Italia e il trasferimento di dati extra-UE

Non si può fare a meno di concludere evidenziando quindi come oggi l’utilizzo di Google Analytics (sistema che, peraltro, in alcuni casi è assolutamente essenziale e performante tenuto conto degli obiettivi del titolare del trattamento) non comporti automaticamente la violazione del Reg. (UE) 2016/679.

Lo strumento sarà utilizzabile nei limiti e nelle modalità previste dal Garante per la Protezione dei Dati Personali, e, considerato che il consenso ben rappresenta una base giuridica valida per il trasferimento dei dati extra-UE ai sensi dell’art. 45 GDPR, anche l’uso di analytics in una modalità che non anonimizzi i dati raccolti potrà essere considerata coerente, sempre che l’informativa rilasciata evidenzi correttamente anche questa tipologia di trattamento.

Valentina De Nicola

Valentina De Nicola

Nata a Venezia, si è laureata presso l’Università degli studi di Padova presentando una tesi in diritto penale d’impresa dal titolo “Gruppo d’impresa e D.Lgs. 231/2001: problemi e prospettive”. Dopo la laurea ha svolto il praticantato ed è stata abilitata al patrocinio, continuando ad approfondire il tema dei modelli organizzativi che l’hanno progressivamente avvicinata alla materia della data protection. È stata privacy consultant presso una primaria società di consulenza, sviluppando progetti di compliance per società private e pubbliche amministrazioni. È stata abilitata alla professione forense nel 2019, ed è iscritta all'Albo degli Avvocati di Venezia dal 2021, è certificata privacy specialist secondo la norma UNI ISO 11697:2017 presso AICQ SICEV, e sta continuando il suo percorso di specializzazione ultimando il Master di II livello in “Responsabile della protezione dei dati personali: Data Protection Officer e Privacy Expert” presso l’Università di Roma Tre; è interessata allo sviluppo di sistemi di gestione aziendali e nel tempo libero si dedica alla musica e alla lettura.