Cookies, Garante della Privacy, Google Analytics, Federico Leva, Caffeina Media s.r.l., Iubenda e altre amenità estive (in realtà poco amene)

Questo post – un po’ prolisso rispetto al solito – illustra la curiosa e complicata situazione legata al più noto e più diffuso sistema di statistiche, Google Analytics, il Garante della Privacy e l’azienda Caffeina Media s.r.l. A questa particolare situazione si è unita un’altrettanta complessa attività di un certo Federico Leva; è necessario citare anche altri due interessanti attori: Iubenda e Matomo.

Vediamo di capire di più in merito a questo tema tecnico/giuridico molto controverso, facendo un po’ di chiarezza; questa è la mia interpretazione, ottenuta dal buon senso e dopo aver parlato con colleghi ed esperti di privacy.

Capitolo 1 – Cosa sono i cookies?

Cercando di semplificare, i cookies sono piccole informazioni che permettono al sito di avere funzionalità aggiuntive e permettere, teoricamente, una migliore navigabilità. Ad esempi, se accediamo al sito della nostra banca e il browser (Chrome, Firefox, Edge) si ricorda chi siamo e ci chiede solo la password, questo lo dobbiamo anche ai cookies. Ma ci sono altri tipi di cookies che sono utilizzati da Google ad esempio: se cercate “scarpa da trekking XYZ”, noterete che le pubblicità sui siti, per qualche tempo, vi proporranno prodotti di questo tipo. Tutto questo avviene tramite i cookies. L’associazione persona/interessi è detta profilazione.

Capitolo 2 – Non tutti i cookies sono nocivi o minano la nostra privacy

Sempre per semplificare il discorso, distinguiamo i cookies tecnici, i cookie tecnici analitici e i cookies di profilazione. I primi sono generalmente necessari e non minano la nostra privacy; i secondi sono argomento di questo post, e la trattazione è assai delicata; i terzi, quelli più personali, permettono ai big del web (Google, Amazon, Facebook, Instagram,YouTube, tanto per citarne alcuni) di capire e carpire i nostri gusti e fornire pubblicità mirata in base alle nostre ricerche o alla nostra navigazione.

Capitolo 3 – Il banner dei cookies del 10 gennaio 2022

Entro il 10 gennaio 2022 tutti i siti web si sarebbero dovuti dotare di un banner dei cookies adeguato che rispondesse ad una serie di regole che provo a riassumere in termini semplici:

deve essere presente un banner (che si attiva la prima volta che si accede al sito) che permetta la scelta per ciascun tipo di cookies: questo significa che deve essere presente un tasto “Rifiuta tutto”, “Accetta cookies selezionati” o “Accetta tutti i cookies”;
non deve essere bloccante e molesto: non si deve proporre in maniera assillante, bloccando la navigazione: “Cookie wall” è il termine usato;
non deve essere disabilitato con lo scrolling;
deve prevedere la possibilità di modificare le mie scelte sui cookies;
se l’utente non ha preso una decisione, non può salvare cookies di nessun tipo;
deve essere possibile accedere alla pagina della gestione dei cookies.

Capitolo 4 – Google Analytics

Google Analytics, servizio gratuito fornito da Google LLC, è uno degli strumenti più utilizzato, in tutto il mondo, per ottenere statistiche sul sito: come si comporta il navigatore quando arriva sul sito, quanto sta su una pagina, quale browser e sistema operativo adopera, da quale paese, ad esempio.

Capitolo 5 – Caffeina Media S.r.l., Garante della Privacy, Google Analytics, UE e USA

A partire dal 23 giugno 2022 è comparso un articolo, sul sito del Garante della Privacy, che ha destato perplessità e lasciato tanti a bocca aperta:
https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9782874

Viene evidenziato quanto segue.

“Il sito web che utilizza il servizio Google Analytics (GA), senza le garanzie previste dal Regolamento Ue, viola la normativa sulla protezione dei dati perché trasferisce negli Stati Uniti, Paese privo di un adeguato livello di protezione, i dati degli utenti.”

Il Garante per la privacy, a seguito di una complessa istruttoria avviata sulla base di una serie di reclami e in coordinamento, con altre autorità privacy europee, ha stabilito che i dati utilizzati da Google Analytics sono inviati negli Stati Uniti, ove non è previsto un adeguato livello di protezione. Anche l’utilizzo anonimizzato dei cookie di Google Analytics rientra in questa situazione: l’indirizzo IP costituisce un dato personale e anche nel caso fosse troncato non diverrebbe un dato anonimo, considerata la capacità di Google di arricchirlo con altri dati di cui è in possesso.

All’esito di tali accertamenti il Garante ha adottato il primo di una serie di provvedimenti con cui ha ammonito Caffeina Media S.r.l. che gestisce un sito web, ingiungendo alla stessa di conformarsi al Regolamento europeo entro novanta giorni. Il tempo indicato è stato ritenuto congruo per consentire al gestore di adottare misure adeguate per il trasferimento, pena la sospensione dei flussi di dati effettuati, per il tramite di GA, verso gli Stati Uniti.

E non solo:

“Con l’occasione l’Autorità richiama all’attenzione di tutti i gestori italiani di siti web, pubblici e privati, l’illiceità dei trasferimenti effettuati verso gli Stati Uniti attraverso GA, anche in considerazione delle numerose segnalazioni e quesiti che stanno pervenendo all’Ufficio. E invita tutti i titolari del trattamento a verificare la conformità delle modalità di utilizzo di cookie e altri strumenti di tracciamento utilizzati sui propri siti web, con particolare attenzione a Google Analytics e ad altri servizi analoghi, con la normativa in materia di protezione dei dati personali.

Allo scadere del termine di 90 giorni assegnato alla società destinataria del provvedimento, il Garante procederà, anche sulla base di specifiche attività ispettive, a verificare la conformità al Regolamento Ue dei trasferimenti di dati effettuati dai titolari.

Capitolo 6 – Federico Leva e le sue email

Nello stesso periodo, ossia a fine giugno 2022, alcuni clienti, collaboratori e diverse istituzioni hanno ricevuto la famigerata email da parte di Federico Leva, “attivista, sviluppatore e consulente ICT di Milano/Helsinki” il quale ha sviluppato un sistema per inviare migliaia di email nelle quali chiedeva la rimozione dei dati relativi al suo IP inerenti Google Analytics.

Capitolo 7 – Matomo

Un’email simile, arrivata al 90% degli enti pubblici italiani, informava che Google Analytics era da ritenersi illegale e suggeriva di spostarsi ad un sistema alternativo di reportistica e analisi italiana: Matomo/Web Analytics Italia.

Capitolo 8 – Iubenda: “Google Analytics è illegale in Europa?”

Anche Iubenda, società che offre servizi in ambito legale per app e web, negli stessi giorni, ha pubblicato un post sull’argomento (https://www.iubenda.com/it/help/72106-google-analytics-illegale-in-europa-cosa-devi-sapere); eccone un piccolo estratto:

“Google Analytics è illegale in Europa? Ecco cosa devi sapere

Le Autorità per la protezione dei dati: Google Analytics viola le normative sulla privacy perché mancano le misure di sicurezza per il trasferimento dei dati.

Ultimo aggiornamento sull’uso di Google Analytics in Europa

Diverse Autorità per la protezione dei dati europee, il Garante Privacy italiano, la CNIL francese, la DSB austriaca e il Datatilsynet danese, hanno scoperto che l’uso di Google Analytics potrebbe risultare in un trasferimento di dati illegale al di fuori dell’Europa, perché mancano le misure di sicurezza fornite dal Regolamento UE. Queste decisioni sono state prese in merito a Google Analytics 3.”

Capitolo 9 – Papershield Google e Governo Italiano

Sulla base di confidenze fornite da esperti nel settore, un documento di intesa, un cosiddetto “Papershield” era in via di definizione tra Google e il Governo Italiano; l’approvazione di tale documento sarebbe dovuta avvenire a metà luglio, se non fosse stato per la crisi di Governo che ha, di fatto, arenato l’annosa questione.

Capitolo 10 – La soluzione che non c’è (ad oggi)

Tra le diverse soluzioni, più o meno drastiche, ecco quelle ipotizzate:

eliminare Google Analytics
rendere anonimo l’IP di Google Analytics
adoperare Matomo o altro sistema per le statistiche
passare dalla versione 3 alla versione 4 di Google Analytics
consultare il proprio legale, DPO o esperto di privacy
attendere una soluzione politica tra Google e i diversi governi europei

Capitolo 11 – Ma se Google Analytics è illegale, allora…?

Ragionando in questa maniera, allo stato attuale, Google Analytics è illegale. Alla stessa maniera, se lo sono i dati personali trasferiti negli USA sono illegali, allora lo sono tutti i servizi (app, dati e social network) che tutti i giorni utilizziamo, poiché le webfarm che rendono possibili questi servizi potrebbero trovarsi fisicamente negli Stati Uniti. E questo punto, il problema non è più Google Analytics ma deve essere affrontato con una soluzione politica da parte dell’Europa.

La questione non è chiusa, e ne riparlo nel post scritto il 27 agosto 2022, relativo alla risposta da fornire a Federico Leva e alla presunta irregolarità nell’utilizzo, sui sito di Google Fonts.

L’immagine dei cookies è di Bernadette Wurzinger dal sito Pixabay

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.