Una vera e propria bomba sta per scoppiare perché è intervenuto il Garante Privacy affermando che ogni sito web che usa Google Analitycs sarà fuori legge se non usa le garanzie previste dal Regolamento UE per il trasferimento dei dati.
In pratica l’Autority italiana dice che: “un sito web che utilizza il servizio Google Analytics (GA), senza le garanzie previste dal Regolamento Ue, viola la normativa sulla protezione dei dati perché trasferisce negli Stati Uniti, Paese privo di un adeguato livello di protezione, i dati degli utenti”.
In realtà l’Italia non arriva per prima a questa conclusione, ci hanno già pensato precedentemente Francia e Austria dove vi è solo una semplice diffida formale.
In sostanza il punto focale è questo: “Tra i molteplici dati raccolti, indirizzo Ip del dispositivo dell’utente e informazioni relative al browser, al sistema operativo, alla risoluzione dello schermo, alla lingua selezionata, nonché data e ora della visita al sito web. Tali informazioni sono risultate oggetto di trasferimento verso gli Stati Uniti. Nel dichiarare l’illiceità del trattamento è stato ribadito che l’indirizzo Ip costituisce un dato personale e anche nel caso fosse troncato non diverrebbe un dato anonimo, considerata la capacità di Google di arricchirlo con altri dati di cui è in possesso”.
Una complessa istruttoria del Garante scaturita da diversi esposti tra cui 7.833 PEC alle PA che usavano Google Analytics come risulta a MonitoraPA, l’osservatorio che si definisce automatizzato, fa emergere che, i gestori dei siti web che utilizzano GA raccolgono, mediante cookie, informazioni sulle interazioni degli utenti nei siti e, un’importante serie di singole informazioni dalle pagine visitate per i servizi proposti.
La battaglia però non è di oggi, ma è iniziata tempo fa o meglio quando La Corte di giustizia europea nel luglio 2020, ha dato ragione all’attivista austriaco Max Schrems invalidando il cosiddetto Privacy Shield: un meccanismo concordato tra Europa e Usa per inviare dati sugli utenti negli Stati Uniti, utilizzato anche da Facebook e altre migliaia di aziende per il trasferimento di informazioni tra una sponda e l’altra dell’oceano Atlantico.
La pietra miliare di quella sentenza è questo passaggio: “Le limitazioni sulla protezione dei dati personali che emergono dalla legge domestica degli Usa sulla privacy, fanno sì che i dati dei cittadini Ue non siano al sicuro una volta trasferiti nei server al di là dell’Atlantico”.
Quello a cui queste imprese americane ambisco sono i flussi dei dati, perché permettono di conoscere i comportamenti dei consumatori tra diverse economie, in quanto come dichiarava Wilbur Ross, il segretario Usa al Commercio: “Speriamo di limitare le conseguenze negative per le relazioni economiche transatlantiche pari a 7,1 trilioni di dollari che sono così vitali per i nostri rispettivi cittadini, aziende e governi”.
La democrazia americana è nota per essere democratica e, conoscendo in anteprima i comportamenti dei consumatori, può democraticamente, condurli dove meglio desiderano “loro”, sempre democraticamente.
Quindi siamo nel solito limbo normativo e, secondo l’Avvocato Anna Cataleta esperta di privacy, intervistata da: “Il sole24ore”, dichiara che: “Le imprese devono valutare di dismettere questo strumento perché non è chiaro se si possa usare negli Unione Europea e, dovrebbero fare come la Pa italiana, che sta dismettendo Google Analytics. Per legge, infatti, la PA deve valutare strumenti alternativi a Google Analytics, open source, per legge; dotati con meccanismi di anonimizzazione forte, by design e non solo ex post come fa Google”.
Mentre qui non si sa che pesci pigliare Google, ha rilasciato un nuovo sistema, il GA4 che “accoglie” le istanze UE andando nella direzione richiesta dove in questa realize, ci sarebbero i parametri che permetterebbero agli utenti di gestire i dati personali unitamente ai server di Google situati in Europa con una configurazione che rispetterebbe le indicazioni del GDPR.
Da una parte Google che lavora sulle richieste della UE, dall’altra il problema giuridico che rimane in piedi in quanto latita una soluzione tecnica e politica in quanto, spesso, non sappiamo mai calcolare la portata di una conoscenza tecnica o di un’innovazione, ma ci facciamo prendere da un individualismo personale di come concepiamo la rete e i suoi dati.
Insomma, parliamo sempre di etica, ma siamo sicuri che un altro mondo digitale è possibile, oltre il consumismo privato del “capitalismo della sorveglianza” delle nostre abitudini?
Andrea Caldart
