Buonasera
La problematica si inserisce chiaramente in quella più ampia delle conseguenze relative alla sentenza Schreems II, e la mail arrivata (che ho avuto occasione di leggere per alcuni miei clienti) ha un costrutto giuridico non errato ma che può essere ad oggi oggetto di interpretazione almeno in Italia.
L'uso di GA è finito nel mirino delle autorità Garanti Europee ed in particolar modo, dell'autorità Austriaca e di quella Francese.
In Italia il Garante non si è ancora espresso e l'unico documento da cui si potrebbero trarre delle indicazioni, seppur generiche, è quello relativo alle linee guida in materia di cookies.
La prima domanda da porsi è quindi se il sito è conforme a quanto indicato dalle linee guida. Per la parte di cookie di "analitycs", si ricorda che le linee guida forniscono interessanti considerazioni e una di queste è quella per cui l'anonimizzazione (con le specifiche caratteristiche indicate nelle linee) rende il cookie un cookie tecnico e che quindi, non necessita del consenso. E qui subentra anche una analisi che non può, a mio avviso, prescindere dal principio di minimizzazione. Mi serve realmente conoscere il dato personale per le statistiche che andrò a fare, o posso ottenere lo stesso risultato con dati anonimi?
Se la risposta è che lo stesso risultato si può ottenere con dati anonimi (ed è questo il caso più frequente) i cookies vanno anonimizzati.
Ma veniamo ora al nocciolo della questione. Una volta anonimizzati i cookies di GA, può l'ente ritenersi a posto?
L'Autorità Francese esprime dei dubbi in tal proposito affermando che "non è chiaro se
se l'anonimizzazione avviene prima del trasferimento o se l'intero indirizzo IP viene trasmesso agli Stati Uniti e abbreviato solo dopo il trasferimento".
Ma ancor più netta è la DSB Austriaca che, se nella prima decisione di gennaio sembrava far apparire che l'anonimizzazione era sufficiente per rendere legittimo l'utilizzo di GA, in una seconda decisione del 22/04/2022 afferma chiaramente che l'anonimizzazione da sola non è sufficiente e ciò in quanto "l'indirizzo IP completo viene elaborato sul server di Google LLC per un certo periodo di tempo, anche se molto breve. Questo breve periodo di trattamento dei dati è sufficiente per soddisfare i requisiti dell'articolo 4, paragrafo 2, del GDPR." E ancora afferma che "anche supponendo che l'indirizzo IP sia stato trattato solo da server nel SEE durante il periodo di tempo, si deve notare che google può comunque essere obbligato dai servizi segreti statunitensi statunitensi a consegnare l'indirizzo IP in base alla legge statunitense in materia".
Pertanto GA sarebbe comunque illegittimo.
Possono le linee guida gel Garante far propendere per una visione diversa della nostra Autorità?
Non si può averne certezza. Le linee guida infatti non parlano di GA ma in generale di analitycs.
Non affrontano quindi la tematica.
All'interno quindi di questa "mancata presa di posizione", sta al DPO e/o al consulente ai sensi del principio di accountability, prendere una decisione e motivarla in base ad una approfondita analisi tecnico giuridica che, qualora porti al mantenimento di GA seppur anonimizzato, possa essere portata al Garante in caso di contestazioni. Detta analisi non potrà prescindere dalle varie interpretazioni anche transnazionali (altri garanti comunque non si sono espressi) e dalle normative americane ed Europee, per trarre una conclusione che sia motivata e giustifichi la scelta.
Non da ultimo va tenuto in considerazione che UE e US stanno lavorando ad un nuovo accordo per la trasferibilità dei dati e si sperano a breve novità
Confidando di aver contribuito al dibattito.
Auguro una buona serata a tutti
L.B
