Indice dei contenuti dell'articolo:
Abbiamo parlato pochi giorni fa in merito alla email massiva di tale Federico Leva e delle polemiche sollevate dalla sua iniziativa dimostrativa che ha richiesto la rimozione di Google Analytics dai siti italiani menzionando le specifiche direttive del Garante della Privacy Italiano ed i dovuti riferimenti al regolamento GDPR Europeo che di fatto ha dichiarato Google Analytics illegale.
Abbiamo pertanto assistito a diverse polemiche online sui principali social che hanno visto figure celebri in tema di Analytics (in primis Matteo Zambon fondatore di Tag Manager Italia) nonchè altre figure con competenze in merito al diritto internet che hanno in qualche modo consigliato di implementare Google Analytics 4 o GA4 che garantisce una migliore privacy e discrezionalità e non ha bisogno di inviare l’IP.
Perchè sia chiaro una volta per tutte il concetto e le implicazioni di base in merito ad IP e Google Analytics.
Il fulcro del problema gira intorno al fatto che l’IP sia un dato personale, e che il GDPR vieta di fatto l’invio di dati personali verso server non europee.
Dunque la commissione Europea, considerando l’IP come un dato personale (a nostro avviso un errore grossolano da parte loro), non è consentito esportarlo verso paesi extraeuropei come USA in cui risiedono i server di Google Analytics.
L’IP viene interpretato come dato personale persino se anonimizzato, ovvero oscurato l’ultimo ottetto, ad esempio 192.168.0.1 diventa 192.168.0.* con * un range da 0 a 255.
Per cui si tende a pensare e ragionare nell’ottica che non inviando l’IP tramite Google Analytics 4 si possa essere GDPR compliant e al riparo del problema.
Peccato perchè ogni conoscitore di reti sa che per instaurare una comunicazione a livello TCP/IP bisogna presentare il proprio IP al servizio a cui ci si vuol connettere e completare il famoso Three Way Handshake che richiede necessarimente tramite la conoscenza di sequence number random l’instaurazione di una canale comunicativo.
Quindi anche se Google Analytics 4 potrebbe farne a meno di inviare l’IP del visitatore in modo esplicito, Google avrebbe la facoltà di ricavarlo in modo implicito tramite la lettura della veriabile server REMOTE_ADDR che a prescindere dal webserver in uso e dal linguaggio di programmazione server side è perfettamente accessibile.
Ad esempio volendo parlare a scopo puramente accademico, PHP dice questo :
$_SERVER è un array contenente informazioni come intestazioni, percorsi e posizioni di script. Le voci in questo array vengono create dal server web. Non vi è alcuna garanzia che ogni server web fornisca qualcuno di questi; i server possono ometterne alcuni o fornirne altri non elencati qui. Detto questo, un gran numero di queste variabili è considerato nella » specifica CGI/1.1 , quindi dovresti essere in grado di aspettarti quelle.
‘REMOTE_ADDR‘ : L’indirizzo IP da cui l’utente sta visualizzando la pagina corrente.
In parole semplici è inutile che Google Analytics 4 non ci invii l’indirizzo IP del visitatore IP se effettivamente il visitatore col suo browser si connette al sito di Google Analytics per scaricare il file JS.
Questo è già sufficiente per venir far venir meno le buone intenzioni di Google Analtics 4 e di chi consiglia Google Analytics 4 conforme alla GDPR.
Ma il problema non è solo questo, ma c’è di ben più grave e strutturale.
Patriot ACT : il motivo per cui Datacenter e succursali in Europa non sono sufficienti.
Inerentemente alla problematica sollevata in merito a Google Analytics da Federico Leva, molti addetti ai lavori (tra cui in prima istanza anche noi) hanno pensato che fosse bastato per un’azienda come Google o Facebook dotarsi di filiali europee e datacenter europei su cui confinare i dati degli utenti europei per essere perfettamente compliant ai requisiti imposti dal GDPR.
Tuttavia sebbene questa interpretazione si de facto corretta, si scontra inevitabilmente con il Patriot ACT statunitense e tutti gli obblighi che ne implica in maniera diretta o indiretta ed anche solo potenziale in linea prettamente teorica.
Cos’è il Patriot ACT statunitense ?
Lo USA PATRIOT Act (acronimo di Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism Act of 2001 traducibile in italiano come Legge per Unire e rafforzare l’America fornendo strumenti adeguati necessari per intercettare e ostacolare il terrorismo), è una legge federale statunitense controfirmata dal presidente statunitense George W. Bush il 26 ottobre 2001. Si ritiene che l’acronimo sia stata opera di Chris Cylke, ex-membro dello staff dell’House Judiciary Committee.
Lo scopo dello USA PATRIOT Act è dissuadere e punire gli atti terroristici negli Stati Uniti e in tutto il mondo, per migliorare gli strumenti investigativi delle forze dell’ordine e altri scopi, alcuni dei quali includono:
- Rafforzare le misure statunitensi per prevenire, individuare e perseguire il riciclaggio di denaro internazionale e il finanziamento del terrorismo;
- Sottoporre a un controllo speciale giurisdizioni estere, istituzioni finanziarie estere e classi di transazioni internazionali o tipi di conti suscettibili di abusi criminali;
- Richiedere a tutti gli elementi appropriati del settore dei servizi finanziari di segnalare potenziali riciclaggio di denaro;
- Rafforzare le misure per impedire l’uso del sistema finanziario statunitense per guadagno personale da parte di funzionari stranieri corrotti e facilitare il rimpatrio dei beni rubati ai cittadini dei paesi a cui appartengono tali beni.
La norma rinforza il potere dei corpi di polizia e di spionaggio statunitensi, quali CIA, FBI e NSA, con lo scopo di ridurre il rischio di attacchi terroristici negli Stati Uniti, intaccando di conseguenza la privacy dei cittadini.
Quattordici disposizioni su sedici previste da questa legge sono state rese permanenti.
Tra le altre disposizioni promosse dalla votazione, cui una serie di emendamenti ha favorito l’applicazione, vi sono la possibilità di effettuare intercettazioni telefoniche, l’accesso a informazioni personali e il prelevamento delle impronte digitali nelle biblioteche, che sono scadute il 1º giugno 2015. Il giorno successivo è stata definitivamente approvata la loro validità fino al 2019. Nella legge sono inoltre confluiti due disegni di legge precedentemente presentati (lo USA Act ed il Financial Anti-Terrorism Act).
La normativa derivante dall’attuazione del Usa Patriot Act (Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism Act) del 26 ottobre 2001, prorogato fino a giugno 2015, rende obbligatorio per le società statunitensi, nonché per le loro controllate in tutto il mondo, per gli hosting provider americani o hosting provider europei affiliati a società statunitensi, di consentire l’accesso a ogni dato personale da parte delle agenzie di intelligence degli Stati Uniti.
Va ricordato che per dati personali si intende: “(..) Qualsiasi informazione concernente una persona fisica identificata o identificabile, direttamente o indirettamente, in particolare mediante riferimento a un numero di identificazione o a uno o più elementi specifici caratteristici della sua identità. Per determinare se una persona è identificabile, è opportuno prendere in considerazione l’insieme dei mezzi che possono essere ragionevolmente utilizzati dal responsabile del trattamento o da altri per identificare detta persona. Per trattamento dei dati personali si intende qualsiasi operazione o insieme di operazioni svolte su tali dati, a prescindere dal procedimento utilizzato, in particolare la raccolta, la registrazione, l’organizzazione, la conservazione, la consultazione, l’elaborazione, la modifica, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati anche se non registrati in una banca dati. Per archivio dei dati personali si intende qualsiasi insieme di dati personali strutturati e stabili, accessibili secondo specifici criteri. La persona interessata al trattamento dei dati personali è la persona a cui si riferiscono i dati”.
Ed ecco dunque il problema lampante, rende obbligatorio per le società statunitensi, nonché per le loro controllate in tutto il mondo.
Se Google Europa insomma facesse riferimento a Google Inc negli stati uniti d’america, ecco che il problema sarebbe presente ed assolutamente incompatibile col GDPR.
Si parla di Google Analytics, di Facebook ma il problema è molto più grande e praticamente infinito.
Può sembrar normale che la massa si stia soffermando sulla questione sollevata in merito a Google Analytics, in quanto il Garante Italiano abbia di fatto impartito un ordine di 90 giorni per rimuoverlo sui siti italiani, ma è anche vero che il problema del rispetto della GDPR e dell’esportazione dei dati su suolo europeo è molto più vasto e sta toccando in questi giorni anche Facebook con l’Irlanda che si è già pronunciata.
Il problema una volta che è tale, lo è per tutti, lo è Microsoft, per Google, per Facebook, per Netflix, per Amazon, per qualsiasi azienda statunitense insomma che ha anche aziende controllate in europa.
Ciò significa che l’Europa con questa legge assurda dovrebbe a tutti gli effetti bandire ogni azienda non europea dall’intrattenere rapporti di trattamento dati europei e ciò è verosimilmente impossibile sopratutto per il fatto che l’Europa ad oggi non è in grado di garantire molti dei servizi attualmente offerti da aziende statunitensi o comunque non europee.
La soluzione al problema non è tecnica, ma politica.
Per chi si sta scervellando sui virtuosismi tecnici su come rimuovere, rimpiazzare, sostituire Google Analytics, dovrebbe avere lo stesso rigore nel non utilizzare Gmail, non utilizzare Hotmail, non Utilizzare Yahoo, rimuovere software online che permettono di svolgere le funzioni più disparate tra cui molte professionali e lavorative.
E ci sarebbe il problema della propagazione dell’errore, infatti basterebbe che ad esempio un’azienda che si definisce GDPR compliant utilizzi all’interno della sua organizzazione magari ad uso prettamente interno Google Suite magari per gestire tramite un foglio di calcolo la lista dei clienti morosi ed ecco che l’azienda GDPR compliant diventa di fatto un’azienda non più GDPR conforme al regolamento europeo sulla privacy.
L’europa dovrebbe avere pronti dei sostituti degni ed adatti all’altezza di molti software extrauropei, un circuito di advertising come Google Adsense o Google Adwords ad esempio o Fb ADS.
Non vi sembra strano che la problematica si sia focalizzata solo su Google Analytics ? La verità probabilmente era già sotto gli occhi di tutti e tutti (governi e garanti della privacy compresi) erano di fatto ben consci dell’assurdità della norma e chiudevano entrambi gli occhi lasciando correre quella che di fatto sembrava essere la soluzione più saggia e fattibile.
Fino a quando qualche virtuoso delle leggi e regolamenti ha deciso di appellarsi al regolamento GDPR e iniziare dunque ad utilizzare una legge insensata e dannosa per l’economia europea, a proprio tornaconto personale.
Il garante ha necessariamente ricevuto l’esposto protocollandolo e ha dovuto esprimersi (forse suo malgrado) in base a quelli che attualmente sono i regolamenti in vigore, ricordando comunque e tenendo ben presenti la gerarchia delle fonti, secondo cui l’Europa legifera e gli stati membri recepiscono entro 90 giorni.
Se anche per pura ipotesi il Garante per la Privacy Italiano avesse compreso l’assurdita di quanto esposto nel GDPR e avesse (spero) in cuor suo voluto evitare di pronunciarsi in quel modo dichiarando illegale Google Analytics, è anche vero che nel ruolo istituzionale che ricopre non avrebbe potuto far diversamente se non applicare quello che ad oggi è il regolamento.
Il fatto che non abbia sanzionato, ma abbia bonariamente avvisato con 90 giorni di tempo per rimuovere Analytics è un indizio che lascia intendere come ci sia una certa compresione da parte del Garante che comunque è chiamato formalmente in causa ad esprimersi e lo fa nell’unico modo in cui può, o almeno per ora.
Ripristino del Privacy Shield come soluzione di tutti i problemi.
Va considerato in modo diretto che L’Italia è parte dell’Europa, ma l’Italia è più vicina agli Stati Uniti di quanto lo possano essere altri paesi europei come l’Irlanda ad esempio.
La storia non c’è bisogno di ricordarla, sopratutto a ridosso della seconda guerra mondiale e dei motivi perchè come italiani più che come europei siamo più atlantisti degli altri paesi comunitari.
Sarebbe pertanto auspicabile rinnovare un patto di cooperazione con gli Stati Uniti D’America, che fino a poco tempo portave il nome del Privacy Shield prima della sua abolizione a causa anche questa volta di un attivista che ha pensato di fare ricorso.
Cos’era il Privacy Shield ?
Il Privacy Shield,2 ovvero lo “scudo per la privacy” fra UE e USA, è un meccanismo di autocertificazione per le società stabilite negli USA che intendano ricevere dati personali dall’Unione europea. In particolare, le società si impegnano a rispettare i principi in esso contenuti e a fornire agli interessati (i.e. ovvero tutti i soggetti i cui dati personali siano stati trasferiti dall’Unione europea) adeguati strumenti di tutela, pena l’eliminazione dalla lista delle società certificate (“Privacy Shield List”) da parte del Dipartimento del Commercio statunitense e possibili sanzioni da parte della Federal Trade Commission (Commissione federale per il commercio). La Commissione europea ha ritenuto che il sistema offra un livello adeguato di protezione per i dati personali trasferiti da un soggetto nell’UE a una società stabilita negli Stati Uniti e che, pertanto, lo Shield costituisca una fonte di garanzie giuridiche con riguardo ai trasferimenti di dati in
questione. Lo Scudo UE-USA per la privacy è in vigore dal 1 agosto del 2016. Lo Scudo è applicabile a tutte le categorie di dati personali trasferiti dall’UE agli USA, compresi informazioni
commerciali, dati sanitari o relativi alle risorse umane, purché la società USA destinataria di tali dati abbia autocertificato la propria adesione allo schema.
Abolizione del Privacy Shield
La Corte di giustizia dell’Unione europea (CGUE) si è pronunciata il 16 luglio 2020 (c.d. “Sentenza Schrems II”) in merito al regime di trasferimento dei dati tra l’Unione europea e gli Stati Uniti invalidando la decisione di adeguatezza del Privacy Shield, adottata nel 2016 dalla Commissione europea in seguito alla decadenza dell’accordo Safe Harbor.
La CGUE, con sentenza del 16 luglio 2020 (nota anche come “Schrems II”), ha dichiarato invalida la Decisione 2016/1250 della Commissione Europea, smantellando la possibilità di ricorrere al “Privacy Shield” quale base giuridica per i trasferimenti di dati personali dei cittadini europei negli USA.
Di fatto, la Corte ha ritenuto che il “Privacy Shield” non abbia adempiuto all’obiettivo di limitare le ingerenze del governo statunitense sui dati dei cittadini europei.
La Corte ha altresì rilevato l’inadeguatezza della tutela giurisdizionale prevista dal “Privacy Shield”; in particolare, “l’Ombudsperson”, ovvero l’organo a cui è affidata la procedura di mediazione attivabile in caso di lesione della privacy, difetta di poteri decisori vincolanti nei confronti degli organi di intelligence statunitensi e non presenta, rispetto all’amministrazione, un grado di indipendenza tale da garantire l’effettiva tutela dei soggetti interessati.
Parallelamente, la CGUE si è espressa con riguardo alle clausole contrattuali standard, affermandone la validità. Tuttavia la Corte ha subordinato il ricorso a dette clausole ad una previa valutazione, condotta “caso per caso”, che l’esportatore e l’importatore di dati sono chiamati a svolgere prima del trasferimento, tenendo conto delle circostanze relative al trasferimento stesso.
Conclusione e possibili soluzioni
Sembra dunque necessario poter gestire la cosa precisamente in due modi, o l’abilitazione totale del Privacy Shield per le aziende statunitensi e le relative succursali, controllate, branch europee, qualsiasi essere siano.
Oppure poter stilare una lista di aziende ceertificate e cooperanti e dunque autorizzate per il trattamento dati a livello Europeo. La norma potrebbe essere valutata ad esempio su aziende impattanti e che non hanno sostituti europei, pensiamo ad esempio ad Amazon o pensiamo ad esempio a Google Analytics o Google Adsense che ormai ha una diffusione capillare. Potrebbe essere sensato seppur limitante dare una “licenza” a queste aziende che sono ormai compagne di vita professionale e non della totalità dei cittadini europei, valutando come i contro sono sicuramente nettamente inferiori ai pro, sopratutto laddove non esistono alternative pratiche ed implementabili dall’oggi al domani.
E’ dunque alquanto verosimile, a dispetto del titolo di questo post che nessuna azienda tra quelle citate verrà fatta fuori e messa nelle condizione di essere impossibilitata ad operare, in fondo se lo ha fatto per quasi 20 anni senza alcun problema di fatto per quale motivo il problema dovrebbe iniziare proprio ora ?
Oltretutto dopo due anni di crisi dovuta al covid e una nuove recessione economica in vista, focalizzarsi su aspetti marginali come quelli appena citati risulta ancora più limitante per gli scambi commerciali anche interni.
Perchè sia chiaro che anche per un italiano che vende ad un italiano, sono necessari strumenti che passano su server statunitensi, e chi liquida il tutto citando che sia giusto essendo di fatto del mero protezionismo commerciale, dovrebbe ricredersi quando i costi aumentati della pubblicità si ripercuoteranno inesorabilmente sul proprio portafogli con prezzi maggiori.