La gestione di un sito web o di un'applicazione mobile richiede l'utilizzo di statistiche sul traffico e/o sulle prestazioni, che sono spesso essenziali per la fornitura del servizio. Lo standard di mercato, in questo settore, è Google Analytics (GA), che dovrà presto cambiare perché è stato dichiarato illecito.

Il Garante Privacy italiano ha di recente sanzionato il gestore di un sito web, con un provvedimento del 9 giugno 2022. Il suo sito utilizzava il servizio GA che trasferisce i dati degli utenti europei negli Stati Uniti, paese privo di un adeguato livello di protezione. Un autorevole membro del collegio del Garante ha inoltre confermato che sono partiti una serie di controlli a tappeto su questa tematica (come da programmazione del Garante).

Dall’istruttoria del Garante privacy italiano è emerso che i gestori dei siti web che utilizzano GA raccolgono, mediante cookie, informazioni sulle interazioni degli utenti con i predetti siti, le singole pagine visitate e i servizi proposti. Tra i molteplici dati raccolti, indirizzo IP del dispositivo dell’utente e informazioni relative al browser, al sistema operativo, alla risoluzione dello schermo, alla lingua selezionata, nonché data e ora della visita al sito web. Tali informazioni (che sono dati personali) sono risultate oggetto di trasferimento verso gli Stati Uniti. Pertanto, il trattamento è stato dichiarato illecito.

Ciò è potuto avvenire perché la Corte di giustizia dell'Unione europea, con sentenza del luglio 2020, ha dichiarato nullo il Privacy Shield, un trattato internazionale che regolava i trasferimenti di dati tra l'Unione europea e gli Stati Uniti. Tale trattato non offriva garanzie adeguate contro il rischio di accesso illecito ai dati personali dei residenti europei da parte delle autorità americane.

Nel marzo 2022 la Commissione europea e gli Stati Uniti hanno adottato una dichiarazione congiunta su una futura decisione di regolamentare adeguatamente i flussi di dati verso gli Stati Uniti. Si tratta solo un annuncio politico, senza alcun valore giuridico. Infatti, il 6 aprile 2022 il l’European Data Protection Board (l’EDPB ovvero il comitato che riunisce le autorità privacy europee) ha rilasciato una dichiarazione in cui ha chiarito che tale dichiarazione non costituisce un quadro giuridico su cui le organizzazioni possono fare affidamento per trasferire i dati negli Stati Uniti.

Il contributo della CNIL

L’autorità privacy che, ad oggi, ha analizzato questi aspetti in maniera più “pratica” è quella francese.

L’autorità privacy francese (CNIL) ha precisato che l’utilizzo di GA è considerato illecito ai sensi del GDPR e rimane tale anche ricorrendo a pratiche di preventiva pseudonimizzazione o crittografia dei dati oggetto di trasferimento.

Sorge allora spontanea una domanda. È possibile continuare a trasferire i dati fuori UE utilizzando la base giuridica del consenso degli interessati?

Il consenso esplicito degli interessati è una delle possibili deroghe previste per alcuni casi specifici dall'articolo 49 del GDPR. Tuttavia, come indicato nelle linee guida del EDPB queste deroghe possono essere utilizzate solo per trasferimenti non sistematici e, in ogni caso, non possono costituire una soluzione permanente di lungo termine, in quanto il ricorso a una deroga non può diventare la regola generale.

Non potendo validamente utilizzare il consenso esplicito (e neppure GA), esistono degli strumenti alternativi che siano legittimi?

La CNIL ha pubblicato un elenco di software che possono essere esentati dal consenso se opportunamente configurati.

Questo elenco comprende strumenti che hanno già dimostrato alla CNIL di poter essere configurati in modo da limitarsi a quanto strettamente necessario per la fornitura del servizio, senza quindi richiedere il consenso dell'utente.

Qualsiasi sia il software utilizzato, è sempre necessario verificare, per quanto possibile, che la società che lo produce non abbia legami patrimoniali o organizzativi con una società madre situata in un paese che consente ai servizi di intelligence di richiedere l'accesso a dati personali situati in un altro territorio (ad esempio: Stati Uniti ma anche Cina) ed è necessario valutare il quadro giuridico del paese di esportazione dei dati.

L’elenco dei software suggeriti dalla CNIL

Senza scendere nel dettaglio della configurazione richiesta per utilizzare legittimamente questi software (che dipende da parecchie variabili) indichiamo di seguito l’elenco indicato dalla CNIL:

• Analytics Suite Delta di AT;
• SmartProfile di Net Solution Partner;
• Wysistat Business di Wysistat;
• Piwik PRO Analytics Suite;
• Abla Analytics di Astra Porta;
• BEYABLE Analytics di BEYABLE;
• etracker Analytics (Basic, Pro, Enterprise) di etracker;
• Web Audience di Retency;
• Nonli;
• CS Digital di Contentsquare;
• Matomo Analytics di Matomo;
• Wizaly di Wizaly SAS;
• Compass di Marfeel Solutions;
• Statshop di Web2Roi;
• Eulerian di Eulerian Technologies;
• Thank-You Marketing Analytics di Thank-You;
• eStat Streaming di Médiamétrie;
• TrustCommander di Commanders Act.

Per la redazione del presente articolo sono state utilizzate le seguenti fonti, a cui si rinvia per ogni approfondimento.

• Google: Garante privacy stop all’uso degli Analytics. Dati trasferiti negli Usa senza adeguate garanzie
• The Court of Justice invalidates Decision 2016/1250 on the adequacy of the protection provided by the EU-US Data Protection Shield (PDF, 322 ko) – CJEU
• Alternatives to third-party cookies: what consequences regarding consent?
• [FR] Utilisation de Google Analytics et transferts de données vers les États-Unis : la CNIL met en demeure un gestionnaire de site web

Di seguito analizziamo le nuove linee guida sui cookies del Garante Privacy

1. Le Linee Guida Cookies e altri strumenti di tracciamento

Con Provvedimento n. 231 del 10 giugno 2021, pubblicato sulla Gazzetta Ufficiale n. 163 del 9 luglio 2021 il Garante privacy ha fornito le proprie linee guida per a) indicare ai gestori di siti web le regole da applicare per l’utilizzo dei cookies e degli altri strumenti di tracciamento e b) per specificare le corrette modalità di fornitura dell’informativa e per l’acquisizione del consenso online degli interessati (le “Linee guida”). Le Linee guida si propongono quindi di integrare le precedenti indicazioni del Garante Privacy (Provvedimento n. 229 del 2014) precisando che la manifestazione di volontà dell’interessato sia “inequivocabile” oltre che libera e informata e richiedendo che la protezione dei dati sia assicurata sin dalla progettazione e attraverso impostazioni predefinite (privacy by default e by design).

2. Cosa bisogna fare dal 10 gennaio?

Sintetizziamo qui di seguito gli obblighi stabiliti dalle Linee guida, riferiti in modo particolare alle modalità di acquisizione del consenso e alle caratteristiche dell’informativa Cookies

a) L’acquisizione del consenso

In primo luogo, il Garante ribadisce che non sono ammesse, come forme di acquisizione del consenso, le pratiche:

• del c.d. “scrolling” (ossia, lo spostamento in basso del cursore), che possa essere qualificato come azione positiva idonea a manifestare in maniera inequivoca la volontà di prestare un consenso al trattamento, salvo eccezioni da vedere caso per caso;
• del c.d. “cookie wall”, ossia un meccanismo vincolante (c.d. take it or leave it) in cui l’utente sia obbligato, per accedere al sito, ad esprimere il proprio consenso alla ricezione di cookies o di altri strumenti di tracciamento, salvo eccezioni da valutare caso per caso.

Da un punto di vista operativo, il Garante richiede le seguenti caratteristiche per acquisire validamente il consenso del navigatore:

• al momento del primo accesso di un utente al sito web, nessun cookie o altro strumento diverso da quelli tecnici sarà posizionato all’interno del dispositivo e non sarà utilizzata alcuna tecnica attiva o passiva di tracciamento;
• al primo accesso alla pagina web, apparirà un’area o un banner di dimensioni adeguate e tali da non indurre l’utente ad effettuare scelte indesiderate;
• tale banner dovrà consentire all’utente di esprimere il proprio consenso, attraverso un’azione positiva;
• occorre quindi consentire all’utente di mantenere le impostazioni di default e di proseguire la navigazione senza prestare alcun consenso, cliccando sul comando di chiusura del banner contraddistinto da una “X” posizionata in alto e a destra all’interno del banner;
• occorre inserire (oltre al link all’informativa completa) una informativa minima relativa all’utilizzo dei cookies tecnici e - previo consenso, al fine di inviare messaggi pubblicitari ovvero di fornire il servizio in modo personalizzato - di cookies di profilazione o di altri strumenti di tracciamento;
• sarà inoltre presente un comando attraverso il quale sia possibile esprimere il proprio consenso accettando il posizionamento di tutti i cookie o l’impiego di eventuali altri strumenti di tracciamento e il link ad una ulteriore area dedicata nella quale sia possibile selezionare le funzionalità, i soggetti cd. terze parti ed i cookie al cui utilizzo l’utente scelga di acconsentire

Il Garante precisa inoltre che il banner non dovrà essere ripresentato ad ogni nuovo accesso e che la scelta dell’utente dovrà essere debitamente registrata e non più sollecitata per almeno 6 mesi, salvo modifiche rilevanti nelle condizioni di trattamento.

b) L’informativa

L’informativa Cookies dovrà indicare i soggetti destinatari dei dati personali raccolti e i tempi di conservazione delle informazioni e potrà essere resa anche su più canali e con diverse modalità (ad esempio, con pop up, video, interazioni vocali). Se si utilizzano solo cookies tecnici, l’informativa Cookies potrà essere inclusa nell’informativa generale. Il Garante raccomanda poi che i cookie analytics, usati per valutare l’efficacia di un servizio, siano utilizzati solo a scopi statistici.

Quello sopra riportato è il quadro generale delle Linee guida del Garante privacy che – con adeguato supporto legale – dovrà essere implementato su ogni sito web.