Nella tarda mattinata di ieri, un vero e proprio terremoto si è abbattuto sull’ecosistema dei siti web italiani. Il Garante della Privacy ha pubblicato un documento in cui dava conto del risultato di un’istruttoria – partita dal caso di Caffeina Media srl – che evidenziava violazioni sul trasferimento dei dati personali per il sito web che utilizza il tracciamento di Google Analytics. È un problema vasto, che interessa la quasi totalità dei siti web italiani, vista la posizione dominante sul mercato dello stesso servizio di analitica di Google. Per cercare di capire qualcosa in più su quanto accaduto, abbiamo chiesto a Guido Scorza, componente del collegio del Garante per la protezione dei dati personali, la ratio dietro a questa decisione.

LEGGI ANCHE > Il Garante: «Utilizzare Google Analytics senza garanzia sulla protezione dei dati è violazione»

Garante e Google Analytics, l’intervista a Guido Scorza

«Il contesto è quello dell’ormai famosa decisione della Corte di Giustizia dell’Unione Europea che ha di fatto annullato il Privacy Shield che garantiva l’export di dati verso gli Stati Uniti d’America – ha spiegato Guido Scorza a Giornalettismo -. La Corte di Giustizia ha evidenziato che tra i due ecosistemi non ci sono le stesse garanzie di tutela: negli Usa, le condizioni per i dati personali importanti dall’Europa non sono le stesse. In particolare, le agenzie di intelligence possono accedere con più facilità ai dati dei cittadini europei e i cittadini europei, in casi di violazioni, non possono appoggiarsi a una autorità garante della privacy che possa offrire loro tutela. Google Analytics, come un sacco di altri servizi americani, presuppone un trasferimento di dati dall’Europa agli Stati Uniti, dati potenzialmente utili a identificare gli utenti che visitano un sito internet che è cliente di Google Analytics: indirizzi IP, identificativi di browser, connessione e tempo di connessione. Essendo, ad oggi, vietato il trasferimento dei dati verso gli Usa, ed avendo ricevuto dei reclami nei confronti di questo aspetto, ci siamo adeguati. La nostra intenzione non era quella di trovare il cattivo del gruppo».

E infatti, l’effetto potrà diffondersi a cascata. L’orizzonte è quello dei 90 giorni che il Garante ha concesso per effettuare le opportune verifiche. Ma la questione non può risolversi in alcun modo “in casa”. Si tratta di un problema politico, che deve giocarsi tra Bruxelles e Washington. Esattamente come accaduto a marzo dell’anno scorso, quando il presidente Usa e quella della commissione europea avevano trovato un’intesa sull’annoso problema del trasferimento dei dati personali a parità di garanzie.

«Il vero nodo non si può sciogliere a valle, ma a monte – conferma Guido Scorza -. Significa passare dall’impegno politico che a marzo Joe Biden e Ursula von der Leyen hanno preso per uniformare l’allineamento americano a quello comunitario, rendendo semplice e legittimo il trasferimento dei dati agli Stati Uniti. Quello che manca a quell’accordo politico è un accordo giuridicamente vincolante. Noi stiamo giocando di supplenza, in un tratto specifico della filiera, legata a un singolo episodio: ma il problema è molto più ampio».

Cosa fare, ora, se si è utenti di Google Analytics?

Il problema pratico che, adesso (o comunque tra 90 giorni), riguarderà tutti i gestori di siti web italiani che usano Google Analytics è rappresentato da un’unica domanda: cosa fare? Nella community c’è fermento, si moltiplicano richieste e si propongono fantasiose soluzioni. Al momento, secondo il collegio del Garante, ci sono pochi punti fermi: «Il trasferimento dei dati negli Stati Uniti non è vietato a prescindere. Il dubbio che ora è diffuso – il nostro provvedimento segue quello dei colleghi austriaci e francesi – da parte delle autorità di protezione è che esista allo stato una modalità di Google Analytics conforme, su cui si possano applicare le garanzie legate al trattamento dei dati. Dire se questo è possibile o non è possibile sta ai vari siti e a Google. Il nostro provvedimento non è un semplice blocco: nel documento si dice al gestore del sito se nei 90 giorni successivi riuscirà a usare questo servizio a norma di GDPR; in caso contrario bisogna fermarsi».

Una speranza può essere rappresentata dall’ormai imminente passaggio alla versione di Google Analytics 4, che sta già creando più di un grattacapo ai gestori dei siti web: «In teoria può esistere un modo per usare in maniera conforme Google Analytics, in pratica è legittimo dubitarne – dice Scorza -. Capire su quale sponda ci troviamo è compito dei titolari del trattamento. Una volta che sapremo di più su Google Analytics 4, bisognerà fare una verifica di conformità. Sicuramente sul versante degli indirizzi IP ci sarà una semplificazione, il punto è capire se la quantità di dati personali, che comunque anche con questa nuova versione passeranno da una parte all’altra, sarà tale da dichiarare risolto il problema o no».

L’unica certezza è che la portata di questa decisione potrebbe essere epocale e che, in assenza di un provvedimento politico, si possa fare ben poco. «La portata del problema – conclude Guido Scorza – è tanto vasta quanto è la posizione di un leader di mercato come Google Analytics. È realistico supporre che la più parte o la totalità degli utenti italiani di Google Analytics si trovino esattamente nella stessa condizione in cui si è trovato il titolare del trattamento oggetto del nostro provvedimento. La nostra principale speranza è che nei prossimi 90 giorni intervenga un accordo giuridicamente vincolante tra Europa e Stati Uniti. In caso contrario, si configura lo scenario peggiore: il moltiplicarsi di provvedimenti di blocco in relazione ai quali poco si potrà fare. Andranno adottati e saranno destinati ad estendersi a macchia d’olio anche fuori dal perimetro di Google Analytics». E, in quel caso, non sarà un bel momento per la maggior parte dei siti e dei servizi online in Italia.