Privacy&

2022/2

Augusta Iannini

Google Analytics: riflessioni sulla competenza delle Autorità Garanti nazionali e sui relativi effetti

Scarica articolo in PDF

La sentenza dell’Autorità Garante austriaca del 14 gennaio 2022 e quelle successive di altre Autorità, l’ultima delle quali quella italiana ( cfr. provv.to del 9 giugno 2022 n.224 doc. web.9782890) hanno sanzionato i titolari di alcuni  siti web ( nella specie  un portale dedicato alla divulgazione di temi sanitari e, per il caso oggetto di reclamo dinanzi all’Autorità italiana     , un  sito di “news”) per aver utilizzato Google Analytics : queste decisioni ripropongono temi assai spinosi già affrontati con le sentenze Schrems I e Schrems II (che hanno determinato prima il passaggio dal Safe Harbour al Privacy Shield  e poi la successiva invalidazione dello stesso Privacy Shield), segnalano interessanti questioni sulla competenza ed inducono a riflessioni sul ruolo determinante delle autorità nazionali  quando non si verta in tema di “ controversia transfrontaliera”, aspetto quest’ultimo insussistente nel caso di specie e comunque mai preso in considerazione dalle Autorità Garanti neppure con riferimento all’ipotesi di cui all’art 4 n.23 lettera b), GDPR .

Le modalità con le quali sono state gestite le regole sulla competenza da parte delle diverse autorità, si traggono dai fatti oggetto della procedura.

Nel caso dell’Autorità austriaca il ricorrente, fondandosi sulle argomentazioni della Schrems II, ha individuato i convenuti nel proprietario del sito web e in Google perché il titolare del sito ne utilizzava i servizi per elaborare le sue statistiche

L’utilizzo di questo strumento era stato sottoposto a termini e condizioni e, per i fini che qui interessano, era stato individuato Google come responsabile del trattamento, ex art.28 GDPR.

La circostanza che i titolari avessero i loro stabilimenti negli Stati europei ha radicato la competenza nelle rispettive Autorità Garanti nazionali, considerando, peraltro, che il trattamento dei dati personali si svolgeva in “data center” situati alcuni in Europa ma altri anche al di fuori dello spazio economico europeo.

Dunque, certamente la giurisdizione si è radicata in capo all’autorità garante europea che, per prima, ha deciso su un reclamo proposto da un interessato potenzialmente leso dall’utilizzo di quel servizio.

L’autorità austriaca cui si era rivolto il ricorrente individuava la sua competenza esclusiva, tanto che la questione non pare sia   stata iscritta nella piattaforma IMI.

L’art.55 par 1), GDPR, citato come fonte della propria competenza dall’autorità austriaca, prevede genericamente che ogni autorità di controllo è investita delle valutazioni sui comportamenti commessi nel rispettivo Stato Membro. Conseguentemente, in applicazione letterale dell’art.77 GDPR, l’interessato ha proposto ricorso all’autorità dove il titolare ha lo stabilimento, nel caso di specie l’Austria, indirizzando però le sue doglianze non solo nei confronti del titolare, ovvero sia il proprietario del sito, ma anche nei confronti di Google.

Analoghe iniziative sono state intraprese da interessati risiedenti in altri S.M. ed hanno determinato pronunzie di contenuto analogo a quella austriaca che hanno interessato il solo titolare del trattamento, ovvero i proprietari dei siti.

Google, infatti, ha sostenuto che il suo ruolo nella vicenda è solo quello di importatore di dati personali, soggetto al quale non si estende il capo V del GDPR che si applica ai soli esportatori e quindi ai proprietari del sito che utilizzano i servizi di Google Analytics.

L’Autorità austriaca, condividendo questa impostazione, ha ritenuto che il Capo V del GDPR imponga obblighi legali all’esportatore di dati ma non all’importatore. Conseguentemente ha cessato di agire contro Google ma ha annunciato un’indagine per emettere una decisione separata su Google per violazione degli artt. 5 e sgg. del GDPR in relazione all’art.28 e 29 del medesimo regolamento.

L’Autorità Garante italiana nel suo provvedimento - che ricalca quello delle altre Autorità - non si è neppure posta il problema della propria competenza perché, in estrema sintesi, ha ritenuto che il sito italiano utilizzi Google Analytics nella sua versione gratuita, agendo in qualità di titolare del trattamento e ha designato Google responsabile ex art.28 GDPR. Più specificamente in questo caso Google LLC ha rivestito sino al 30 aprile 2021 il ruolo di responsabile del trattamento dei dati raccolti tramite Google Analytics Terms of Service. A partire dal 1° maggio 2021, come controparte contrattuale dei medesimi Google Analitycs Terms of Service, è subentrata Google Ireland Limited che può avvalersi di altri soggetti, in qualità di sub- responsabili del trattamento, tra i quali Google L.C.C. con sede negli Stati Uniti. Da qui la conclusione che l’utilizzo di Google Analitycs da parte dei gestori dei siti web comporta trasferimento di dati personali dei visitatori dei suddetti siti verso Google LLC con sede negli Stati Uniti, paese terzo che non garantisce un livello di protezione adeguato: nessun riferimento al ruolo di responsabile di Google e di Google Ireland Limited.

L’evidente autonomia delle diverse Autorità nazionali di protezione dati ha però tenuto conto delle prescrizioni del considerando 123, nella parte in cui raccomanda che le autorità di controllo dovrebbero verificare la corretta applicazione delle disposizioni del regolamento e contribuire alla sua coerente applicazione nell’ambito della tutela del dato ma anche della sua circolazione, cooperando tra loro. Risulta infatti che il Comitato ha formato una task force sui casi portati all’attenzione delle diverse autorità per arrivare a decisioni uniformi.

Decisioni che sino ad ora continuano a riguardare solo i titolari dei siti ma dovranno prima o poi considerare anche Google, individuato, nella ricostruzione dei ruoli operata dalle diverse Autorità, come responsabile del trattamento, con una rivalutazione probabile della competenza dell’Autorità irlandese.

Il terreno diventa dunque un po’ scivoloso perché in questa vicenda emerge l’ampiezza del potere  delle Autorità Garanti  nazionali   che,  benché  sia noto che esistono indagini comuni e scambi di informazione, procedono in ordine sparso, con differenti tempistiche, esercitando i propri ruoli formalmente  nei confronti del titolare del trattamento ma sostanzialmente  valutando le tecnologie utilizzate da Google  e ponendo l’autorità di controllo che dovesse  pronunziarsi nei confronti del “responsabile” Google in un angolo dal quale sarebbe difficile uscire con una posizione che non fosse adesiva rispetto alle argomentazioni già avanzate dalle  autorità di controllo dei diversi S.M.

Il Garante italiano per esempio non ha mancato di “richiamare all’attenzione di tutti i gestori italiani di siti web, pubblici e privati, l’illiceità dei trasferimenti effettuati verso gli Stati Uniti attraverso Google Analitycs”, invitando “ tutti i titolari del trattamento a verificare la conformità delle modalità di utilizzo dei cookie e altri strumenti di tracciamento…” determinando in tutte le aziende che utilizzano i servizi di Google una forte incertezza perché l’unica vera strada per offrire garanzie è che si dia corso ad un nuovo accordo sul trasferimento dei dati personali sostitutivo del Privacy Shield o che si possa far ricorso ad uno degli strumenti contrattuali di cui all’art.46 GDPR, opzione non semplice viste le indicazioni limitative contenute nei provvedimenti delle diverse Autorità Garanti.

Dunque, la lezione “politica” che si trae da questa vicenda è che, al di là degli obblighi di cooperazione e delle ipotesi di conflitti tra autorità, in cui intervengono organi e procedure per la rilevanza “transnazionale” dei casi singole Autorità di controllo, quando operano in situazioni di “certezza” sulla propria competenza esclusiva (come nei casi ora esaminati), non hanno istituzionalmente neppure obblighi informativi sul contenuto dei loro provvedimenti. Con la conseguenza che la prima autorità garante nazionale investita dal reclamo di un interessato può emettere una decisione che travalica ampiamente, per i suoi effetti, i confini della sua competenza territoriale. Ed è una realtà ormai codificata anche da un passaggio della sentenza Schrems nella quale la stessa Corte di giustizia ha precisato che “le autorità nazionali di controllo investite da una persona di una domanda relativa alla protezione dei suoi diritti e libertà con riguardo al trattamento dei dati personali che la riguardano, devono poter verificare in piena indipendenza, se il trasferimento di tali dati rispetti i requisiti fissati dalla (direttiva)”. Dunque, non concertazione delle decisioni ma soltanto auspicabile applicazione del principio di coerenza nella doverosa ottemperanza alle determinazioni di ogni singola autorità di controllo. Come è avvenuto appunto nel caso  di Google Analytics  in cui un’ autorità nazionale, agendo legittimamente  nei confronti di un  titolare del trattamento con sede nel proprio territorio, ha determinato  conseguenze dirompenti  nei confronti di  altri soggetti utilizzatori dei servizi di Google, non ancora raggiunti dalle sanzioni delle Autorità ma ad esse potenzialmente esposti  e nei confronti della stessa Google che sarà costretta ad adeguamenti della sua tecnologia per essere non solo  compatibile con le indicazioni del GDPR ma anche affidabile per gli utenti europei.