Biscotti avvelenati che fanno male alla salute dei nostri siti, lo dicono i Garanti. La notizia è ormai vecchia, La Data Protection Authority austriaca in primis, seguita da quelle francese e italiana hanno detto che usare Google Analytics non rispetta i criteri di sicurezza nell’esportazione dei dati personali richiesti dalla Corte di Giustizia Europea nella sentenza Schrems II. Ho preferito rifletterci su qualche giorno prima di dire la mia in proposito.

Il provvedimento in sintesi

Il provvedimento è rivolto a Caffeina S.r.l. azienda che si occupa di marketing e dice in sostanza le seguenti cose:

  1. l’azienda che usa le GA è titolare;
  2. Google Irlanda è responsabile ai sensi dell’articolo 28 del GDPR e Google USA sub responsabile;
  3. non interessa la percezione soggettiva di quanto sia possibile che le autorità del paese importatore possano spulciare quelle informazioni;
  4. Google rimpolpa il dato che di fatto è solo pseudonimizzato (e nemmeno troppo), eliminando con facilità la pseudonimizzazione;
  5. non basta la foglia di fico delle Clausole Contrattuali Tipo (lo dicemmo ormai due anni fa…);
  6. non vengono cifrati i dati E2E e quindi sebbene Big G abbia certificazioni di sicurezza a palate, non è compilano con le richieste di protezione della persona fisica della CJEU.

Facciamo alcune considerazioni su questi aspetti.

1. Azienda titolare

Sarò netto, e probabilmente impopolare, io qui non concordo minimamente con il Garante. Riprendiamo la definizione di Titolare?

la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali

Perché io che uso le GA devo essere titolare per la finalità di marketing di Google stessa? Probabilmente non ci arrivo, il caldo mi crea un blocco di sistema e devo riavviare il cervello, ma non ha alcun senso. La finalità di de-anonimizzare i dati e usarli per farci marketing non è mia. Io voglio solo sapere se il mio articolo va bene o male, non me ne frega niente di fare altre operazioni.

Avrebbe assai più senso dire “Azienda tu sei titolare per il tuo pezzo e Google per quel pezzo è il tuo Responsabile, per il resto è Google a essere titolare” del trattamento in quanto è lei a definire mezzi e finalità. Ma questo implicherebbe mettersi pesanemten di traverso nei riguardi di Google.

2. Percezione soggettiva

Qui c’è poco da dire o da fare, la CGEU è stata categorica. Non interessa se il pericolo percepito di intromissione da parte delle autorità federali è basso, non importa se si tratta solo di pochi dati, o di un sito leggero. Se il dato viene passato violando l’articolo 5, non si può andare oltre.

3. Falsa anonimizzazione

Di nuovo Google. Insomma inizio a sentirmi preso abbastanza per il naso da questi simpatici americani che concepiscono quello che noi chiamiamo cittadino solo ed esclusivamente come consumatore (la parola non è usata a caso, ma tratta da molte delle loro normative privacy). In sostanza si tratta di una finta anonimizzazione. Google elimina i numeri dell’ultimo ottetto del nostro IP. In pratica, un indirizzo IP è formato da quattro numero separati da un punto e che vanno da 0 a 255 (una specie di numero telefonico per internet, volendo semplificare). Ipotizziamo che il mio IP sia 123.321.231.213, Google anonimizza l’ultimo ottetto e il mio IP anonimo (o meglio pseudonimo) diventa così 123.321.231.0. Ora, non serve un genio informatico per capire che di fatto ci sono 256 possibili soluzioni al problema e che con un minimo di potenza di calcolo (che in Google non manca) si arriva velocemente a trovare le ultime 3 cifre eliminando la cosiddetta anonimizzazione.

I Garanti che fessi non sono hanno immediatamente cassato questa soluzione, come assolutamente lontana dal concetto di dato anonimo secondo gli standard del GDPR. Ricordo che per il GDPR un dato anonimo non deve essere ricostruibile in nessun modo.

il troncamento dell’ultimo ottetto non impedisce a Google LLC di re-identificare l’utente medesimo, tenuto conto delle informazioni complessivamente detenute dalla stessa relative agli utenti del web

4. Standard Contractual Clauses

Sono ormai due anni che vado sostenendo che:

  1. dire di avere le SCC non coincide con dare delle reali garanzie di sicurezza dei dati (come rilevato nella sentenza Schrems II);
  2. dire di avere le SCC ma non metterle a disposizione è come non averle.

Questi due concetti non riescono a fare presa e adesso il Garante se non altro ha ribadito il primo. Le SCC da sole non bastano, non possono bastare perché a ben guardare sono una piccola foglia di fico.

5. Cifratura

Dice Google che tutti i dati sono cifrati. Verissimo. Protetti in fase di trasporto e protetti da una mezza dozzina di standard di sicurezza in generale. Bello. Ma inutile, ai fini del trasferimento dei dati in quanto Google possiede la chiave di decrittazione del dato e se il governo federale gliela chiede deve dargliela – o quantomeno può farlo.

Questo fatto oggettivo è quello più impattante di tutta questa vicenda. È pur vero che posso cambiare il sistema di analitiche e amen.

In ordine ai meccanismi di cifratura dei dati sopra evidenziati, esse, infatti, non sono sufficienti ad evitare i rischi di un accesso, ai fini di sicurezza nazionale, ai dati trasferiti dall’Unione europea da parte delle Autorità pubbliche degli Stati Uniti, in quanto le tecniche di cifratura adottate prevedono che la disponibilità della chiave di cifratura sia in capo a Google LLC che la detiene, in qualità di importatore, in virtù della necessità di disporre dei dati in chiaro per effettuare elaborazioni e fornire servizi.

Quanto qui affermato dal nostro Garante ha un impatto profondo su moltissime situazioni.

Esempio? Facile, il mio cellulare aziendale iPhone esegue un backup degli indirizzi su iCloud servizio Apple localizzato negli States e con cifratura non end-Torino-end, quindi con chiave di cifratura in mano ad Apple. Ho sempre detto “me ne frego in quanto Apple non consegna i dati al Governo”  – cosa vera – ma di cui abbiamo detto la Corte non tiene conto.

Quindi? Non faccio più il backup del cellulare (che include ad esempio la rubrica telefonica)? Non posso, perché se non lo facessi non sarei comunque in compliance con l’articolo 5 e 32 del GDPR non prendendo le misure di sicurezza adeguate per evitare la perdita dei dati (articolo 5.1 punto f). In sostanza, siamo in una situazione da Kobayashi Maru.

Che fare quindi?

La domanda del mese. Disinstalliamo le GA? Ipotizzandolo quali sono le alternative? Chi le conosce bene? Chi le ha testate in modo adeguato?

Per curiosità, in questo ultimo periodo mi sono andato a leggere un po’ di recensioni sui servizi alternativi a GA. Alcuni sono negli USA e quindi siamo punto e a capo, altri sono a pagamento e questo è oggettivamente un grosso problema (ignorarlo sarebbe ridicolo), altri che sono free e che sono su territorio europeo vengono definiti come poco performanti, alcuni imprecisi (come si può fare un’analitica imprecisa?) oppure con aggiornamenti poco frequenti. In sostanza mi si sta dicendo, disinstalla GA e metti al suo posto un servizio peggiore.

E non entro nel discorso del backup del mio iPhone altrimenti non ne usciamo più.

Sulle GA4 le nuove analitiche by Google ancora poco si sa ma a breve proporremo un approfondimento per capire se siano o possano diventare una soluzione.

Biscotti veramente avvelenati!