Il provvedimento del Garante dei dati personali appena reso noto con il quale è stato dichiarato illecito l’utilizzo di Google Analytics da parte di un’azienda evidenzia i “buchi” del Gdpr, il tentativo di tapparli a tutti i costi e l’incapacità (o la mancanza di volontà) di perseguire fino in fondo la scelta politica di tutelare la sovranità digitale europea di Andrea Monti – Inizialmente pubblicato su Strategikon – un blog di Italian Tech
Il provvedimento è efficace, almeno formalmente, nei confronti della sola azienda che è stata oggetto di verifica. In realtà, tuttavia, è applicabile in termini più generali quindi costituisce una sorta di Faq per capire se si può continuare o meno a utilzzare Google Analytics sul proprio sito.
Senza girarci attorno, la posizione del Garante italiano è esplicita: Google Analytics non si può usare perché il modo in cui è progettato il servizio consente alla autorità americane di accedere anche ai dati personali degli utenti europei e non ci sono “misure di sicurezza” che il cliente di Google possa utilizzare o pensare di imporre contrattualmente alla multinazionale statunitense.
Che lo strapotere di Google – e delle Big Tech – sui nostri dati sia un problema molto serio, è evidente. Che l’accumulazione massiccia di dati dei cittadini, pardon, utenti europei sia un elemento distorsivo del mercato è altrettanto chiaro. Come è fuori discussione che la politica americana sulla sicurezza nazionale si appoggi anche sull’industria tecnologica privata. Tuttavia, la nobiltà del fine – arginare il travaso di dati personali verso gli USA – difficilmente giustifica l’uso di un mezzo improprio, cioè la forzatura del Gdpr.
Il ragionamento dell’Autorità, infatti, è basato su una interpretazione del Regolamento al quale si fa dire ciò che, in realtà, non è scritto da nessuna parte, e cioè che sarebbero dati personali pure quelli del tutto anonimi per il gestore di un sito ma che possono essere deanonimizzati in totale autonomia da Google. Dunque, sarebbero “dati personali” “gli identificatori online unici che consentono sia l’identificazione del browser o del dispositivo dell’utente che visita il sito web, sia del gestore stesso del sito (attraverso l’ID account Google); indirizzo, nome del sito web e dati di navigazione; indirizzo IP del dispositivo utilizzato dall’utente; informazioni relative al browser, al sistema operativo, alla risoluzione dello schermo, alla lingua selezionata, nonché a data e ora della visita al sito web”. Tuttavia, basta fare un esperimento molto semplice per capire la debolezza dell’interpretazione del Garante. Accedendo a un qualsiasi blog basato su WordPress senza registrarsi, e poi osservando quali dati si riescono ad ottenere usando Matomo, il concorrente “data protection friendly” di Google Analytics, si scoprirebbero due cose molto chiare: la prima è che non c’è modo di sapere chi ci sia dietro il terminale usato per la connessione. Quindi, non stiamo parlando di dati personali e il GDPR non si applica. La seconda è che Matomo raccoglie, sostanzialmente, gli stessi dati di Google Analytics, con la differenza che il primo non incrocia i dati anonimi con altre informazioni, il secondo, quasi certamente si.
Tutto questo evidenzia i limiti di impianto del Gdpr.
A tutto voler concedere, infatti, per applicare la norma a chi usa Google Analytics senza identitificare gli utenti sarebbe necessario dimostrare la consapevolezza che ogni singolo IP inviato a Google viene effettivamente deanonimizzato, perché il Gdpr si applica a singole persone fisiche e non a generiche categorie di soggetti. Inoltre, si dovrebbe superare il fatto che il Gdpr si applica a chi tratta dati personali e non a chi raccoglie dati anonimi e li inoltra, in quanto tali, a un terzo che invece potrebbe deanonimizzarli. Dovrebbe essere invece quest’ultimo ad essere sottoposto a verifiche e controlli perché l’ipotesi è che sia esso a riaggregare le informazioni e dunque ad eseguire dei trattamenti regolati dalla norma europea.
Ma se questo è il punto, allora nel valutare la posizione dell’azienda italiana l’Autorità avrebbe dovuto aprire anche un procedimento nei confronti di Google per verificare, ad esempio, se come Matomo, abbia previsto di utilizzare la piattaforma di analytics senza incrociare i dati anonimi ricevuti con quelli che già possiede e se consenta all’utente del servizio di proteggere autonomamente i dati in questione in modo da scongiurare l’incrocio con altre informazioni. Se così fosse, infatti, i dati anonimi inviati dai vari web in giro per l’Europa rimarrebbero certamente tali e il problema sarebbe risolto.
Diversamente, sarebbe Google a dover rispettare obblighi e prescrizioni impartiti dalle autorità nazionali di protezione interagendo direttamente con ciascun individuo del quale tratta i dati.
Il tema del chi sia soggetto direttamente al Gdpr, però, non riguarda soltanto Google ma coinvolge anche le imprese Big Tech che partecipano alle strategie per la digitalizzazione dei servizi pubblici come Cloud PA.
Sarebbe dunque lecito aspettarsi – anzi, esigere – che l’Autorità continui il percorso coraggioso appena iniziato con questo provvedimento e apra un’istruttoria complessiva su tutti gli strumenti di raccolta e analisi dei dati utilizzati dalle Big Tech e che fornisca indicazioni chiare a istituzioni e imprese invece di lasciarle in preda a paura, incertezza e dubbio. Se, invece, il Garante rimanesse inerte, sarebbe troppo forte la tentazione di pensare a un gioco al ribasso, che tutto sommato le cose vanno bene così e che, come si dice a Roma, a chi tocca, nun se ’ngrugna.
Possibly Related Posts:
- Chi ci protegge dal dossieraggio tecnologico?
- Webscraping e Dataset AI: se il fine è di interesse pubblico non c’è violazione di copyright
- Perché Apple ha ritirato la causa contro la società israeliana dietro lo spyware Pegasus?
- Le sanzioni UE ad Apple e Google aprono un altro fronte nella guerra contro Big Tech (e incrinano quello interno)
- La rottura tra Stati e big tech non è mai stata così forte