Google Analytics e sicurezza dei dati

Getting your Trinity Audio player ready...

Un provvedimento che ha provocato una notevole alzata di scudi e sta alimentando una nutrita e copiosa discussione, quello adottato di recente dell’Autorità Garante per la protezione dei dati personali italiana, che, sostanzialmente, anche se con riferimento alla sola azienda interessata dalla pronuncia, mette al bando il noto strumento di analisi del traffico di rete, Google Analytics, anche nella sua versione anonimizzata, per l’impossibilità di gestirli in sicurezza ed evitare che le agenzie di intelligence statunitensi possano accedere ai dati dei cittadini europei.

La pronuncia si presta innanzitutto a due critiche riguardano il reale coinvolgimento del titolare del trattamento e la concreta applicazione del Regolamento Europeo per la tutela dei dati personali, meglio noto come GDPR 679/2016.

E’ un principio cardine del nostro ordinamento che al responsabile di un qualsiasi illecito, di natura civile o penale, possa addebitarsi quantomeno una condotta censurabile in termini di negligenza, imprudenza, imperizia (elementi costituivi della colpa) o un’azione cosciente e volontaria nell’arrecare ad altri un danno o nel procurarsi un ingiusto profitto, tutti elementi che non sembrano potersi rinvenire nell’uso di uno strumento che la stessa società di Mountain View descrive come idoneo alla raccolta di soli dati aggregati, escludendo la possibilità di risalire all’identità dei singoli soggetti tracciati. Non si comprende, pertanto, quale responsabilità potrebbe addebitarsi all’utilizzatore, posto che anche in caso di esame approfondito dei risultati dell’analisi non avrebbe la possibilità di risalire all’identità dell’interessato. Proprio tale inevitabile constatazione, porterebbe inoltre alla disapplicazione del GDPR, poiché il trattamento di dati anonimi da parte del titolare è motivo di espressa esclusione delle prescrizioni imposte dal Regolamento.

In sostanza, il titolare del trattamento sarebbe responsabile di un utilizzo illecito dei dati da parte di un terzo, il quale, a sua volta, dovrebbe comunque eseguire una operazione di allineamento dei dati con quelli derivanti dall’autenticazione eseguita dall’utente su un profilo Google (quindi un altro archivio, sottratto al controllo dell’originario titolare), con un salto logico assolutamente ingiustificato tra la prima e la seconda posizione, che – peraltro – non è neppure certo che avvenga, giacché l’utente potrebbe non eseguire l’autenticazione o utilizzare dei meccanismi di elusione del tracciamento.

Una terza riflessione, di natura prettamente giuridica, dev’essere fatta circa la reale applicabilità del GDPR alla materia della sicurezza nazionale, per la quale anche l’Europa esclude la possibilità di censurare l’operato delle istituzioni che si occupano di tutelare tale bene collettivo, dato che la Direttiva UE 680/2016 disciplina con regole specifiche il trattamento dei dati effettuato dalle autorità nazionali degli stati membri per finalità di sicurezza e ordine pubblico, prevenzione, indagine, accertamento e repressione di reati o esecuzione di sanzioni penali. Risulterebbe, quindi, quantomeno poco credibile la richiesta di non tracciare i cittadini europei nel momento stesso in cui le stesse istituzioni europee possono tracciare i dati dei cittadini stranieri che si collegano ai server presenti nel territorio dell’Unione.

Riflettendo su tale argomento, appare evidente anche la carenza di potere del Garante o, quantomeno, l’impossibilità di applicare il GDPR al caso concreto, che andrebbe disciplinato, semmai, tenendo conto dei principi della citata Direttiva ed ammesso che un’autorità amministrativa, per quanto indipendente, possa effettivamente incidere sull’attività di agenzie di sicurezza nazionale di uno stato sovrano ed estraneo al territorio dell’Unione, come sono gli Stati Uniti (ma lo stesso discorso potrebbe esser fatto per i tool di aziende asiatiche che erogano servizi analoghi e sono probabilmente soggette a regimi di controllo ancor più invasivi).

Ed ancora, non si comprende come interpretare il concetto secondo il quale la possibilità di autenticazione, mediata da un altro soggetto, giuridicamente autonomo, possa impattare sul trattamento dei dati personali operato dal titolare, posto che, a questo punto, si dovrebbe fare a meno di qualsiasi hardware e software statunitense (o di provenienza extra-europea), poiché potenzialmente in grado di ricollegare i dati dell’utente, prelevati mediante l’autenticazione ad un qualsiasi servizio, a tutti i dati collezionati tramite l’analisi anonima della navigazione.

Un’applicazione concreta di tale principio coinvolgerebbe molteplici attori e risulterebbe devastante per ogni attività pubblica e privata europea, per una serie di motivi che risulta anche difficile elencare compiutamente, per l’impatto che avrebbe sulla società tecnologica odierna.

Se il problema è insito nel collegamento tra i dati anonimi e un servizio di autenticazione, mediante il quale un operatore statunitense potrebbe collezionare dati di cittadini europei da mettere eventualmente a disposizione delle agenzie di intelligence statunitensi, in caso di interesse delle stesse per tali dati, il problema non riguarderebbe solo Google Analitycs e i profili di Google Workspace, ma anche Facebook e gli altri social network, i cui profili sono spesso utilizzati dagli utenti per collegarsi ad altri servizi; risulterebbero potenzialmente pericolose anche le autenticazioni di Microsoft 365 (che ha un proprio motore di ricerca, Bing) e quelle di Apple iCloud (che gestisce un intero ecosistema di dati, anche di natura sanitaria, attraverso gli AirTag e gli AppleWatch), né si potrebbe mettere la mano sul fuoco per gli smartphone di Huawei e Samsung (che hanno altrettanti profili utente e sono in grado di tracciare la navigazione realizzata dagli utenti tramite i loro device) quando si connettono ad un servizio con i rispettivi account; neppure colossi come Oracle e Amazon potrebbero trattare, mediante i loro potentissimi database, i dati di navigazione dei cittadini europei e ricollegarli a quelli degli account dei rispettivi servizi.

L’Europa, non avendo tecnologia propria, almeno in quantità e dal potenziale sufficiente a sostenere una simile migrazione verso l’indipendenza tecnologica dagli Stati Uniti e dall’Asia (discorso che si dovrebbe, peraltro, estendere anche ai semiconduttori e ad ogni altro tassello del mondo digitale) si ritroverebbe proiettata di qualche decennio indietro nella storia, con ogni prevedibile conseguenza dal punto di vista sociale ed economico.

Nel frattempo, il mondo del web è in crisi, sballottato tra chi ritiene di poter contestare le eventuali sanzioni, chi suggerisce di adeguarsi e passare ad altri prodotti (che non risolverebbero, tuttavia, il problema del dato anonimo, ricondotto al singolo utente tramite interconnessione con altri database) e chi, semplicemente, se ne infischia, perché spera nella cronica carenza d’organico della Pubblica Amministrazione italiana e, quindi, preferisce fare affidamento sulla roulette russa dei controlli a campione.

Situazione che lascia perplessi e, soprattutto, induce ad una ulteriore riflessione: con l’attuale crisi economica ed i costi dai quali sono già oberate le imprese europee (e, in particolare, quelle italiane), il mercato non sembra in grado di poter assorbire un improvviso default tecnologico basato su un rischio potenziale e comunque ineludibile. Né sembra potersi ipotizzare, per le imprese che cercheranno di adeguarsi, un risarcimento o una compensazione per la perdita di competitività sul mercato, rispetto ai soggetti che non si adegueranno o, semplicemente, operano dall’estero e incentrano comunque sul trattamento di dati personali, sulle statistiche, sulla profilazione e sul marketing diretto e personalizzato, le loro strategie commerciali e i conseguenti astronomici profitti.

Il vero problema è quindi il funzionamento globale del mercato dei dati personali e non le pronunce isolate dei Garanti Europei, che appaiono sempre più distanti dalla realtà ed arroccati su principi di diritto assolutamente condivisibili ma attualmente applicabili solo in parte per la mancanza di soluzioni realmente percorribili, almeno nel breve periodo. Né si può ritenere che un accordo internazionale possa dare soluzione ad un problema che neppure le clausole contrattuali standard della Commissione Europea hanno potuto risolvere, proprio perché alla sicurezza nazionale di uno stato sovrano non si può opporre alcuna limitazione basata su regole che siono state scritte per una tutela di tipo aziendalistico e certamente non riconducibile agli ambienti militari o dell’intelligence governativa.

È infatti utopistico pensare ad una soluzione che impedisca alle già citate agenzie di analizzare i profili dei cittadini per finalità di contrasto al terrorismo o di costruzione di strategie per prevenire o arginare i conflitti internazionali, così come ipotizzare che il mondo intero possa rinunciare improvvisamente alla profilazione degli utenti per organizzare le attività economiche, senza trovare un’alternativa in grado di compensarne il gettito, anche erariale.

Forse sarebbe più agevole e percorribile investire sull’educazione, per puntare a rendere il cittadino medio meno superficiale ed indurlo a non distribuire allegramente i suoi dati tra social, web e dispositivi, senza curarsene troppo e senza dare alla sicurezza alcun valore.

Gianluca Pomante – Fonte: Sicurezza magazine