Le criticità su Google Analytics ci sono, ma prima di rimuoverlo seguendo le minacce degli hacker è opportuno fare valutazioni caso per caso
“Siamo un gruppo di hacker italiani, attiviste e attivisti, cittadine e cittadini attenti alla privacy ed alla tutela dei diritti cibernetici nel nostro Paese . . . “ così cominciava il 12 maggio scorso una pec indirizzata a numerosi soggetti pubblici da parte di un gruppo hacker con la quale si invitavano gli enti a rimuovere il noto cookie analitico di Google in favore di Web Analytics Italia minacciando una “ . . . segnalazione al Garante per la Protezione dei Dati e al Difensore Civico Digitale”.
(Nella foto: l'Avv. Marco Soffientini, Data Protection Officer di Federprivacy)
L’episodio è interessante perché oltre aver gettato scompiglio tra molti Data Protection Officer ci consente di fare il punto sullo stato dell’arte dopo la nota sentenza della Corte di Giustizia Europea del 16 luglio 2020 (C-311-18,EU:C:2020:559), c.d. Scherms II, dal nome dell’attivista Max Scherms, che ha dichiarato invalido il “Privacy Shield” , lo scudo normativo che legittimava lo scambio di dati personali tra USA e Unione Europea.
In particolare, la CGUE, ritenendo che un trasferimento a fornitori statunitensi che rientrano nell’articolo 702 della Foreign Intelligence Surveillance Act (FISA) e in programmi di sicurezza quali l’Executive Order (EO) 12333 violano le regole sui trasferimenti internazionali di dati nel GDPR, ha annullato l'accordo di trasferimento "Privacy Shield", dopo aver sciolto il precedente accordo "Safe Harbor" nel 2015.
Sulla scia di questa pronuncia, il Garante Austriaco (Datenschutzbehörde) con un provvedimento del 22 Dicembre 2021 ha dichiarato illegale l’uso di Google Analytics per violazione delle norme del Regolamento (UE) 2016/679 sui trasferimenti transfrontalieri, in quanto nel caso di specie un sito web aveva esportato negli USA dati dei naviganti come indirizzi IP e gli ID univoci memorizzati nei cookie.
Tutte le misure adottate da Google (Clasuole Contrattuali Standard e particolari misure tecniche) sono state considerate insufficienti a realizzare una reale protezione dei dati personali esportati oltre oceano.
Anche il Garante francese (CNIL) a Febbraio 2022 ha emesso una pronuncia con la quale dichiara non conforme alla disciplina europea sulla protezione dei dati Google Analytics.
A questo punto la domanda nasce spontanea: cosa fare? Non c’è dubbio che se da un lato la minaccia degli attivisti hacker di passare a Web Analytics Italia non può essere seguita sic et simpliciter ma richiede valutazioni tecniche da farsi caso per caso, dall’altro è altrettanto vero che la soluzione non potrà che essere politica magari attraverso il “varo” del Trans-Atlantic Data Privacy Framework, il nuovo accordo tra Unione Europea e USA.
Come noto lo scorso 25 marzo in occasione della visita del Presidente Statunitense in Europa, è stato assunto l’impegno reciproco di addivenire a nuovo accordo che consenta il trasferimento dei dati tra USA e UE, nel rispetto (si legge nel Comunicato) di:
1) un nuovo insieme di regole e di garanzie vincolanti per limitare l'accesso ai dati da parte delle autorità di intelligence statunitensi che sia necessario e proporzionato per proteggere la sicurezza nazionale; Le agenzie di intelligence adotteranno procedure per garantire un controllo efficace della del diritto alla protezione dei dati e delle libertà fondamentali. (A new set of rules and binding safeguards to limit access to data by U.S. intelligenceauthorities to what is necessary and proportionate to protect national security; U.S.intelligence agencies will adopt procedures to ensure effective oversight of new privacyand civil liberties standards);
2) un nuovo sistema di ricorso a due livelli per indagare e risolvere i reclami dei cittadini europei sull’accesso ai dati da parte delle autorità di intelligence statunitensi, che prevede anche il coinvolgimento di una apposita Corte di Riesame sulla protezione dei dati (A new two-tier redress system to investigate and resolve complaints of Europeans on access of data by U.S. Intelligence authorities, which includes a Data Protection Review Court);
3) obblighi stringenti per le aziende che trattano i dati trasferiti dall’UE, che dovranno sempre autocertificare la propria adesione ai Principi formulati dal Dipartimento del commercio degli Stati Uniti. (Strong obligations for companies processing data transferred from the EU, which will continue to include the requirement to self-certify their adherence to the Principles through the U.S. Department of Commerce);
4) Particolari meccanismi di monitoraggio e revisione dell’accordo (Specific monitoring and review mechanisms).
In conclusione, possiamo dire che se da un lato il comunicato non ci fornisce dettagli tecnici sul contenuto dell’accordo, è altrettanto vero che qualunque sia il tipo di accordo finale sarà difficile che gli USA, soprattutto dopo il ben noto 11 settembre (vedi prima il Patriot Act del 2001 e poi il Freedom Act del 2015) decida di rinunciare anche a solo una parte della propria sicurezza nazionale.