I cookie di Google tornano nel mirino della Commission Nationale de l’Informatique et des Libertés (CNIL) con la recente pronuncia del 10 febbraio 2022. A poco più di un mese dalla sanzione record da 150 milioni di euro comminata dall’autorità francese riguardo le tutt’altro che agevoli modalità con cui l’utente può gestire il rilascio dei “biscottini (utente cui occorrono diversi click per rifiutare tutti i cookie, mentre ne basta uno solo per accettarli tutti), questa volta l’oggetto della censura è il trasferimento oltreoceano dei dati personali riconnesso all’utilizzo del servizio Google Analytics.

Come noto ai più, Google Analytics è un servizio che può essere integrato da siti web per misurare il numero di visite degli utenti di Internet. Grazie alle sue funzionalità, alle sue performance, ai costi competitivi, è lo strumento di analisi del traffico online di gran lunga più utilizzato dai webmaster di mezzo mondo e per innumerevoli operatori dell’economia digitale è un’irrinunciabile presupposto per ottimizzare qualsiasi strategia di business. Il nodo di privacy è che – sebbene sia mirato all’analisi statistica e impersonale – Google Analytics assegna un identificatore ad ogni visitatore (tale ID univoco costituisce un dato personale) e le informazioni derivanti dall’interazione tra utente continentale e il sito sono trasferite da Google negli Stati Uniti dove i dati personali non sono protetti in modo conforme ai principi UE secondo quanto stabilito dalla sentenza “Schrems II” del 16 luglio 2020 della Corte di giustizia dell’Unione europea (CGUE). Bene ricordarlo, la sentenza Schrems II, in estrema sintesi (qui un analisi più esaustiva del portato), aveva:

  • dichiarata invalida la decisione di esecuzione (UE) 2016/1250 della Commissione europea del 12 luglio 2016, sull’adeguatezza delle tutele offerte dal regime del Privacy Shield, l’accordo UE-USA per la protezione dei dati personali oggetto di trasferimento transatlantico;
  • confermato la validità delle standard contractual clauses (SCC) previste dalla Commissione, precisando tuttavia che resta imposto all’esportatore ed all’importatore dei dati l’obbligo di verificare, attraverso un audit/due diligence, prima di qualsiasi trasferimento, se nel paese terzo in questione sia rispettato un livello di protezione sostanzialmente analogo a quello garantito dal GDPR nell’Unione europea;
  • reso di fatto inutilizzabili le SCC per legittimare i trasferimenti negli Stati Uniti, quantomeno per i destinatari/importatori che sono soggetti ai programmi di sorveglianza governativa descritti in sentenza (come il cd. FISA702).

E proprio l’avvocato/attivista austriaco Maximillian Schrems, tramite l’associazione NOYB (None Of Your Business) di cui è leader, sta ottenendo l’attenzione delle Data Protection Authority continentali a valle di una strategia lanciata nei postumi della sentenza CGUE del 2020 che porta il suo nome: oltre 100 reclami – identici tra loro – sono stati presentati ai vari “garanti privacy” europei nei confronti di diversi titolari continentali in merito al loro utilizzo di servizi di Google e Facebook che comportano il trasferimento di dati personali di cittadini UE verso gli USA.

Il pronunciamento del CNIL del 10 febbraio scorso sugli Analytics di Big G ricalca quanto sancito in primis un paio di settimane fa dall’Autorità di controllo austriaca, anch’essa sollecitata da NYOB,  riguardo un sito che utilizza il servizio. In linea con il giudizio del watchdog viennese, il ben più influente CNIL ha stabilito che i trasferimenti verso gli Stati Uniti non sono sufficientemente regolamentati a tutela dell’utente del sito web francese oggetto della decisione. Secondo i meccanismi del GDPR, in assenza di una decisione di adeguatezza UE (che stabilisca che gli USA come paese destinatario offrono un livello sufficiente di protezione) il trasferimento di dati può avvenire solo se – con riguardo al flusso specifico – le parti, e in specie l’importatore, forniscono garanzie adeguate: per il CNIL non è questo il caso. Infatti, sebbene si dia atto al colosso di Mountain View di aver adottato misure supplementari per regolare i trasferimenti di dati nell’ambito della funzionalità di Google Analytics, queste non sono ritenute sufficienti per escludere la criticità fondamentale: tenuto conto che la parent company di Google, Alphabet Inc. rientra chiaramente tra gli operatori economici soggetti alle leggi di sorveglianza degli Stati Uniti, come la FISA 702, i servizi segreti americani hanno ex lege facoltà di accedere ai dati degli Analytics. Esiste quindi un rischio per gli utenti di siti web francesi che utilizzano questo servizio e i cui dati vengono esportati oltreoceano. Al titolare del sito francese in questione è stato dunque intimato di cessare l’utilizzo di Google Analytics entro un mese (se le condizioni del servizio non dovessero cambiare tempestivamente) e suggerito di ricorrere a soluzioni che non comportino un trasferimento di dati extra UE. Altri siti d’oltralpe stanno ricevendo la medesima ingiunzione cui dovranno conformarsi se non intendono violare – oltre l’ordine del CNIL – gli artt. 44 e ss. del GDPR.

Per quanto riguarda i servizi di misurazione e analisi del pubblico dei siti web, il CNIL raccomanda che questi strumenti “siano utilizzati solo per produrre dati statistici anonimi, consentendo così una deroga al consenso se il titolare del trattamento dei dati garantisce che non ci sono trasferimenti illegali”. La commissione francese ha, a tal proposito, lanciato un piano di valutazione per determinare quali soluzioni sul mercato consentano di non raccogliere il consenso dell’interessato.

Il CNIL, infine, si riserva di indagare altri strumenti utilizzati dai siti continentali che comportano il trasferimento di dati degli internauti europei verso gli Stati Uniti. E lo fa prospettando minacciosamente che “misure correttive in questo senso potrebbero essere adottate nel prossimo futuro”.