Nel giugno del 2016, l’Autorità per la protezione dei dati personali (di seguito anche DPA) di Amburgo, in accordo con le altre presenti in Germania, si è occupata della compatibilità di Google Analytics con la normativa nazionale sulla protezione dei dati.
Le indicazioni che sono emerse dal provvedimento dell’Autorità di Amburgo appaiono a un primo sguardo in linea con quanto già disposto dall’Autorità italiana sin dal 2014, ma nonostante la somiglianza apparente potrebbero esserci delle differenze rilevanti, come si avrà modo di evidenziare più avanti. La base giuridica su cui poggiano entrambi i provvedimenti, è la cookie-law che deriva dalla direttiva e-privacy (Direttiva 2002/58/EC, come modificata da Direttiva 2009/136/EC). Tuttavia il provvedimento dell’Autorità tedesca pare essere influenzato dallo scenario post sentenza Schrems (la sentenza che ha fatto saltare il Safe Harbor, per intenderci) mentre per l’Italia dette misure sono quelle originariamente scaturite proprio in fase di attuazione della “cookie law” (più precisamente si tratta di previsioni contenute nel provvedimento del Garante per la protezione dei dati personali “Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie – 8 maggio 2014 [DOC WEB 3118884]” che la attuava, e nei i successivi “chiarimenti”) e non hanno subito modifiche o integrazioni a seguito della sentenza Schrems.
Per chi si stesse domandando come mai in Europa le DPA si adoperino tanto a regolare Google Analitics, sarà bene ricordare che secondo la nostra normativa anche gli indirizzi IP sono dati personali.
L’uso di Google Analytics in Italia
Il Garante italiano aveva infatti evidenziato la necessità che chi faceva uso di Google Analytics si sottoponesse agli stessi adempimenti (si veda qui) di chi utilizzava i cookie profilanti di prima parte: cioè provvedesse a inserire il banner con l’informativa breve e la richiesta di consenso, con il link all’informativa estesa che, a sua volta, avrebbe dovuto riportare le informazioni relative al servizio attraverso il collegamento all’informativa del fornitore del servizio e la possibilità di disattivare il servizio (si veda qui). Inoltre i titolari dei siti di prima parte avrebbero dovuto adempiere all’obbligo di notifica al Garante. Questi obblighi sono ancora vigenti. In alternativa è possibile sottrarsi ai predetti adempimenti, come ha previsto il Garante, a condizione che:
- Google Analytics venga anonimizzato (si veda qui);
- i dati di Google Analytics non vengano incrociati con altri dati (es. Adwords): anzi, per il Garante “L’impiego di tali cookie deve, inoltre, essere subordinato a vincoli contrattuali tra siti e terze parti, nei quali si faccia espressamente richiamo all’impegno della terza parte o a utilizzarli esclusivamente per la fornitura del servizio, a conservarli separatamente e a non “arricchirli” o a non “incrociarli” con altre informazioni di cui esse dispongano”. Si veda qui.
Se l’anonimizzazione di Google Analytics è piuttosto facile da ottenere, non sembra altrettanto semplice soddisfare l’altra condizione: come si può impedire a Google di incrociare i dati?
Innanzi tutto agendo sul pannello si controllo, in modo da dissociare i servizi: in “Condivisioni dei dati” occorre negare la condivisione a “Prodotti e servizi Google”, “Assistenza tecnica”, “Esperti dell’Account”. Anche questo non causa particolari grattacapi. Tuttavia occorre anche subordinare l’impiego di tali cookie a “vincoli contrattuali”.
Ebbene, questo obbligo, ricordiamolo, grava sui gestori dei siti, quindi non grandi player, ma anche blogger o piccoli imprenditori. Come può un blogger qualunque subordinare Google a un vincolo contrattuale sull’uso dei cookie?
In realtà è Google stessa che ha predisposto l’accordo. Chi è stabilito in Europa, infatti, può (anzi, deve, per la normativa italiana, se vuole sottrarsi a buona parte della cookie law) accettare l’emendamento messo a disposizione da Google, accettazione della quale viene dato atto nel pannello di controllo, in “impostazioni dell’account”.
In particolare è rilevante il punto 5 dell’emendamento che si riporta:
5. Processing of Customer Personal Data
5.1. Processor. With respect to Customer Personal Data under the Agreement, the parties acknowledge and agree that Customer shall be the controller and Google shall be a processor. Customer shall comply with its obligations as a controller and Google shall comply with its obligations as a processor under the Agreement. Where a Customer Affiliate is the controller (either alone or jointly with the Customer) with respect to certain Customer Personal Data, Customer represents and warrants to Google that it is legally authorized to instruct Google and otherwise act on behalf of such Customer Affiliate in relation to the Customer Personal Data in accordance with the Agreement, as amended.
5.2 Scope of Processing. Google will process Customer Personal Data only in accordance with Instructions from Customer through the settings of the services, i.e. (a) to operate, maintain and support the infrastructure used to provide the Services; (b) to comply with Customer’s instructions and processing instructions in their use, management and administration of the Services; (c) as otherwise instructed through settings of the Services. Google will only process Customer Personal Data in accordance with the Agreement.
5.3 Other Services. Customer acknowledges that if it installs, uses, or enables Additional Products that interoperate with the Services but are not part of the Services itself, then the Services may allow such Additional Products to access Customer Personal Data as required for the interoperation of those Additional Products with the Services. By using such Additional Products, Customer authorizes Google to share Customer Personal Data with the Additional Products. The Agreement does not apply to the processing of Customer Personal Data transmitted to and from such other Additional Products. Such separate Additional Products are not required to use the Services and may be restricted for use as determined by Customer’s system administrator in accordance with the Agreement.”
Dunque, Google si impegna a non trattare i dati se non per fornire il Servizio, ma tale impegno implica che sia il titolare a non consentire a Google di incrociare i dati con altri servizi. Se infatti il Titolare consente questa condivisione (si veda punto 5.3.) si applicheranno le ordinarie disposizioni contrattuali di Google, dato che l’emendamento non si estende a servizi diversi da Analytics, e di conseguenza si riespanderà la facoltà di Google di “incrociare” o “arricchire” i dati.
Per chi volesse approfondire l’origine dell’emendamento è disponibile questo post:
In origine Google conteneva dei riferimenti anche al Safe Harbor in merito al trasferimento dei dati negli Stati Uniti, ma la versione dell’emendamento diffusa a dicembre 2016 li ha eliminati.
In Italia, nel novembre 2016 è stato comunque autorizzato il trasferimento dei dati sulla base del Privacy Shield (in generale per tutti i trattamenti, non solo in riferimento specifico a Google Analytics), ma il problema del trasferimento si poneva solo per coloro che non usufruiscono della versione anonimizzata di Analytics, dato che il dato anonimato non è più un dato personale (a differenza di quello pseudonimizzato) e, pertanto, non è più soggetto all’applicazione della normativa sulla protezione dei dati. Si veda qui.
Oggi, pertanto, in Italia è possibile utilizzare Google Analytics in entrambe le modalità anonimizzata (dati anonimizzati + accettazione dell’emendamento + dissociazione degli altri servizi) o completa (senza alcun accorgimento particolare) ciò che cambia sono gli adempimenti: solo informativa nel primo caso, informativa estesa con informazioni aggiuntive e link alla terza parte, + banner + notifica, nell’altro caso.
Più specificamente:
Se si utilizza Google Analytics senza anonimizzare gli IP oppure collegandolo ad altri servizi di Google occorrerà:
- provvedere alla notifica all’Autorità Garante prima che il trattamento inizi.
- predisporre un banner idoneo, come descritto nel provvedimento che contenga:
- l’indicazione che il sito utilizza cookie analitici di terze parti:
- il modulo di acquisizione del consenso (si può indicare anche che si acconsente continuando la navigazione);
- l’indicazione che alla pagina dell’informativa estesa è possibile negare il consenso a qualunque tipo di cookie;
- il link all’informativa estesa;
- inserire alcune informazioni specifiche nell’informativa estesa relative a:
- uso dei cookie tecnici e analytics;
- possibilità di scegliere quali specifici cookie autorizzare;
- collegamenti (link) alle pagine web contenenti le informative e i moduli per l’acquisizione del consenso relativo ai cookie delle terze parti
- possibilità per l’utente di manifestare le proprie opzioni in merito all’uso dei cookie da parte del sito anche attraverso le impostazioni del browser, indicando almeno la procedura da eseguire per configurare tali impostazioni.E’ molto importante notare come l’obbligo di reperire e inserire i link riferiti alle informative di terze parti e ai moduli per l’acquisizione del consenso, in Italia gravi esclusivamente sul gestore del sito e sia interamente a suo carico. Tale obbligo grava sul gestore del sito ai sensi dell’articolo 154, comma 1 lettera C) del Codice (ed è l’unica parte del provvedimento munita di questo tipo di forza prescrittiva): “ai sensi dell’art. 154, comma 1, lett. c), del Codice ai fini di mantenere distinta la responsabilità dei gestori di siti web, come meglio specificati in motivazione, da quella delle terze parti prescrive ai medesimi gestori di acquisire già in fase contrattuale i collegamenti (link) alle pagine web contenenti le informative e i moduli per l’acquisizione del consenso relativo ai cookie delle terze parti (con ciò intendendosi anche i concessionari)”. Significa che questo obbligo -compreso il fatto di acquisire tali link “già in fase contrattuale”- è munito di apposita sanzione: ai sensi dell’articolo 162 (“Altre fattispecie”) comma 2-ter del D. Lgs. 196/03 (Codice della Privacy) “In caso di inosservanza dei provvedimenti di prescrizione di misure necessarie o di divieto di cui, rispettivamente, all’articolo 154, comma 1, lettere c) e d), è altresì applicata in sede amministrativa, in ogni caso, la sanzione del pagamento di una somma da trentamila euro a centottantamila euro. ”.Per il resto si applicano le ordinarie sanzioni in tema di informativa, consenso o notifica, ma solo in questo caso vi è anche la sanzione per l’inosservanza del provvedimento.
A differenza dell’Autorità tedesca il Garante italiano non ha dettato una disciplina ad hoc per Google Analytics, e gli obblighi connessi si ricavano dalla disciplina generale. Inoltre nel provvedimento dal punto di vista sistematico, i cookie di analisi non vengono trattati come tipologia autonoma, dato che la differenza è posta solo tra cookie tecnici e cookie profilanti.
I cookie di analisi vengono presi in considerazione solo ove riferiti alla prima parte, per parificarli ai cookie tecnici.
L’altra distinzione operata è tra cookie di prima e di terza parte. L’obbligo di provvedere all’inserimento dei link è posto in capo ai gestori dei siti che utilizzino cookie di terze parti, da cui discende la necessità di compiere tutte queste operazioni anche quando si utilizza Google Analytics.
In Italia, come abbiamo detto, è però anche possibile utilizzare Google Analytics scollegando gli altri servizi di Google e anonimizzando gli IP, e in tal caso non sarà necessario procedere alla notifica o inserire il banner.
Per l’uso di Google Analytics in questa modalità occorre:
- scollegare gli altri servizi dal pannello di controllo;
- Accettare l’emendamento mediante il pannello di controllo;
- Anonimizzare l’IP (si veda qua);
- dare atto nell’informativa dell’uso del servizio.
Il Garante ha precisato che quando il servizio di Google Analytics è anonimizzato come indicato sopra, i cookie di analisi sono trattati alla stregua di cookie tecnici, ma tale equiparazione è stata formalizzata in maniera piuttosto barocca ed ha dato adito a conflitti interpretativi; in un primo tempo infatti il Garante ha previsto che solo i cookie di analisi di prima parte fossero parificati ai cookie tecnici. Tale parificazione implica che è sufficiente inserire l’informazione sull’uso dei cookie anche nella normale privacy policy e ciò che è più significativo, non occorre inserire i link alle informative e alle procedure di disattivazione delle terze parti.
Successivamente nelle FAQ, il Garante italiano alla domanda n. 4 “I cookie analytics sono cookie “tecnici”?” ha risposto “No. Il Garante (cfr. provvedimento dell’8 maggio 2014) ha precisato che possono essere assimilati ai cookie tecnici soltanto se utilizzati a fini di ottimizzazione del sito direttamente dal titolare del sito stesso, che potrà raccogliere informazioni in forma aggregata sul numero degli utenti e su come questi visitano il sito. A queste condizioni, per i cookie analytics valgono le stesse regole, in tema di informativa e consenso, previste per i cookie tecnici.”, parificando ai cookie tecnici (e ponendo le stesse regole per l’informativa) solo i cookie analitici di prima parte. Qualche tempo dopo, nei chiarimenti, dopo aver ribadito che la parificazione con i cookie tecnici riguarda solo i cookie analitici di prima parte, ha precisato che se viene rispettata l’anonimizzazione “si ritiene che i succitati siti non siano soggetti agli obblighi e agli adempimenti previsti dalla normativa (notificazione al Garante in primis)”, e successivamente come detto, ha fatto riferimento alle garanzie contrattuali e alla necessità di non incrociare i dati, ma non ha mai detto apertamente che i cookie analitici di terze parti sono parificati ai cookie tecnici. La stessa impostazione viene riportata in calce al provvedimento di chiarimento:
“I cookie analitici sono assimilati a quelli tecnici solo quando realizzati e utilizzati direttamente dal sito prima parte per migliorarne la fruibilità.
Se i cookie analitici sono messi a disposizione da terze parti i titolari non sono soggetti ad obblighi (notificazione al Garante in primis) qualora:
A) siano adottati strumenti che riducono il potere identificativo dei cookie (ad esempio tramite il mascheramento di porzioni significative dell’IP);
B) la terza parte si impegna a non incrociare le informazioni contenute nei cookies con altre di cui già dispone.”
Successivamente, dati i dubbi manifestati da più parti, il Garante ha diffuso un’infografica, nella quale ha chiarito che non occorre notificare questo tipo di trattamento come non occorre acquisire il consenso o inserire il banner.
Quando il Garante ha diffuso l’infografica in ordine alla sintesi degli adempimenti, però, si è limitato a definire l’obbligo di inserire le informazioni riguardo ai cookie nell’informativa facendo un laconico riferimento alla normativa, senza soffermarsi sulle diverse indicazioni date in ordine alle diverse tipologie di cookie, nei propri provvedimenti, come ad esempio in ordine alla necessità di inserire i link alle informative delle terze parti. Ci si domanda quindi se nel caso di utilizzo di Google Analytics anonimizzato esenza incrocio o arricchimento di dati, sia sufficiente dare atto dell’uso del servizio o sia invece necessario inserire anche i link alle informative e al modulo di disattivazione di Google. Nel dubbio si è affermata la prassi di fornire anche tali indicazioni, inserendo il collegamento all’informativa di Google e al modulo di disattivazione predisposto da Google (prassi corretta a parere di chi scrive), e in ciò la gestione degli adempimenti si avvicina moltissimo a quella suggerita dall’Autorità di Amburgo.
Tuttavia il provvedimento dell’Autorità tedesca (ben sintentizzato qui), non appare completamente sovrapponibile a quello del Garante italiano. Sebbene anche l’autorità tedesca sembri prendere le mosse da un uso di Analytics dissociato dagli altri servizi, ed imponga una serie molto ben definita di adempimenti, tra cui anonimizzare gli IP e fornire informazioni in ordine alla disattivazione, se si legge il provvedimento avendo in mente la distinzione operata in Italia si nota come questi adempimenti non sono completamente identici (anche per le difficoltà di interpretazione che hanno caratterizzato l’Italia e che non sembrano affliggere il provvedimento tedesco, che, invece, contiene un’elencazione piana e schematica degli adempimenti richiesti per il caso specifico del servizio Google Analytics). La differenza più importante pare comunque il riferimento al “processing agreement”, accordo diverso dall’emendamento disponibile in generale per gli utenti UE: si tratta, infatti, di un documento appositamente rilasciato da Google per la Germania (e non è una novità, dato che risale al 2013) che fa espresso riferimento alla normativa nazionale tedesca e che deve essere aderito per iscritto).
Pertanto, è molto importante distinguere i testi contrattuali e la modalità di adesione, che è differente nei due Paesi.
Anche il “data processing agreement”, come l’emendamento che si può aderire dall’Italia, faceva riferimento al Safe Harbor. Pertanto l’Autorità tedesca lo ha ritenuto non più idoneo a tutelare i diritti degli interessati e ha indicato delle misure che, attraverso il ricorso all’anonimato, rendono il trattamento comunque compliance con la normativa nazionale.
E’ chiaro che, data la base traballante su cui poggia il privacy Shield le soluzioni che consentono di limitare i trattamenti saranno sempre più sicure, anche in paesi diversi dalla Germania (come in Italia, ad esempio) sul lungo termine, dal punto di vista della continuità del servizio.
Un’impresa che abbia sede fuori dall’UE ma operi in UE, come dovrà regolarsi se utilizza un servizio di Google Analytics? Quale normativa dovrà applicare?
Ebbene, dipende dallo stabilimento. Anche le imprese che hanno sede fuori dall’UE se hanno uno stabilimento in UE (ed è sufficiente che il trattamento avvenga nel contesto delle attività dello stabilimento, quindi può anche non essere effettuato direttamente dallo stabilimento stesso) dovranno applicare la normativa nazionale dello stato membro in cui sono stabilite. Se sono stabilite in più paesi? In teoria si applicano tutte le normative riferite agli stabilimenti. Quindi ci si può trovare a dover operare con regole differenti e spesso si fatica a far quadrare la compliance con gli aspetti tecnici e la gestione concreta degli adempimenti (che, peraltro, di frequente passa dal pannello di controllo dei servizi interessati).
Non solo: la normativa europea si applica anche a chi operi fuori dall’UE, non essendo stabilito nell’UE, ma utilizzi strumenti situati nel territorio di uno stato membro, e secondo una interpretazione molto stretta della normativa, anche i cookie sono “strumenti” (non tutti gli Stati Membri hanno adottato il termine equipments nel riportare la direttiva 95/46/CE nelle normative nazionali, preferendo il più generico termine “means”, ma l’Italia è tra quelli che hanno utilizzato “strumenti” che corrisponde ad “equipment”).
In particolare nella scheda informativa “Chiarimenti in merito all’attuazione della normativa in materia di cookie” Doc-Web 4006878 del 05.06.2015 la DPA italiana ha ricordato al punto 6. “Applicazione della normativa italiana anche a siti che hanno sede in Paesi extra EU” che
“In merito ai chiarimenti richiesti sull’ambito di applicazione della normativa in materia di cookie, si evidenzia che la stessa riguarda tutti i siti che, a prescindere dalla presenza di una sede nel territorio dello Stato, installano cookie sui terminali degli utenti, utilizzando quindi per il trattamento “strumenti situati sul territorio dello Stato” (cfr. art. 5, comma 2, del Codice privacy).”
Ebbene le schede informative, i chiarimenti e le infografiche volte a sciogliere i dubbi sull’applicazione del Provvedimento dell’8 maggio 2014, “Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie” sono disponibili solo in italiano, mentre solo il provvedimento generale è disponibile in inglese, come si vede anche dalla pagina informativa:
Si tratta di una difficoltà ulteriore per chi volesse adeguare il sito web alle normative dei vari Stati europei, perché spesso le indicazioni pratiche vengono diffuse solo nella lingua nazionale e, a dispetto della vocazione internazionale che si riconosce alla normativa, non vengono tradotte neppure in inglese.
In ogni caso, è importante ricordare che la direttiva E-privacy è attualmente in fase di revisione. Come è già accaduto con il GDPR, sarà sostituita da un regolamento, volto ad armonizzare le normative dei vari Stati UE. Il Regolamento è atteso per il 2018, e dovrebbe regolare anche gli adempimenti riguardo ai cookie.