Google Analytics 4
Monitora PA risponde a Tag Manager Italia

Abbiamo letto con interesse una recente risposta pubblicata da Tag Manager Italia su AgendaDigitale al precedente articolo di Pietro Biase sui gravi problemi di conformità al GDPR di Google Analytics 4 sulla stessa testata.

Speriamo dunque di far cosa utile e gradita arricchendo questo dibattito pubblico che, traendo spunto dal caso di Google Analytics, Roberto Guiotto e Matteo Zambon hanno giustamente esteso a tutti i servizi e tutti i software che hanno gli stessi problemi nel rispettare i diritti dei cittadini italiani ed europei.

GA4: mattone... o tritolo?

I fondatori di Tag Manager Italia aprono l'articolo con un paragone piuttosto forzato:

L’utilizzo di GA4 non è di per sé illegale, come di per sé non è illegale possedere un mattone, che può essere scagliato contro una vetrina, oppure usato per costruire una casa.

Bisogna subito osservare che la destinazione d'uso per cui un mattone viene realizzato e venduto è legale (costruire case), mentre la destinazione d'uso per cui Google Analytics 4 è stato realizzato e viene diffuso gratuitamente è, al momento, illegale in quanto consiste nella raccolta di dati personali di cittadini spesso inconsapevoli per inviarli a Google, abilitandone il trasferimento extra UE senza adeguate garanzie.

Dunque sarebbe forse stato più appropriato paragonare l'utilizzo di GA4 al possesso di un chilo di tritolo: il privato cittadino che venisse scoperto a detenerlo nella propria cantina potrebbe avere qualche problema a giustificarne la presenza alle Forze dell'Ordine in caso di esplosione.
Naturalmente potrebbe riuscirci, ad esempio se questo privato cittadino fosse anche un demolitore autorizzato in procinto di demolire la propria abitazione!
L'importante è comprendere che si tratta di eccezioni rarissime. E da dimostrare.

Paragonare GA4 ad un esplosivo può sembrare una provocazione infondata solo a chi non abbia letto l'articolo 25 del GDPR: il Titolare del Trattamento è tenuto a scegliere tecnologie progettate per proteggere i dati degli interessati e che proteggano tali dati sin dalla propria configurazione predefinita. Se anche fosse vero che, come spiegato da Guiotto e Zambon, una ipotetica configurazione GDPR-compliant di Google Analytics 4 "richiede delle opportune competenze tecniche", ne conseguerebbe logicamente che GA4 non protegge la privacy dei cittadini europei by design e by default, costituendo di fatto una soluzione incompatibile con i doveri di protezione e cautela del Titolare del Trattamento.

Titolare su cui comunque Google scarica ogni responsabilità legale in caso di errori di configurazione che le facciano ottenere "suo malgrado" qualsiasi dato personale.

Ma cosa ne pensa il Garante della Privacy?

Tag Manager Italia tira poi subito in ballo Guido Scorza, componente del Garante per la protezione dei dati personali, che in un recente articolo per Agenda Digitale scrive:

Gli uffici del Garante non hanno avuto occasione di esaminare la versione 4 di Google Analytics semplicemente perché il titolare del trattamento oggetto del provvedimento non la utilizzava, né sin qui tale versione è venuta in rilievo in altri procedimenti analoghi.
Impossibile in queste condizioni, pertanto, dire se essa sia o meno in grado di risolvere il problema e consentire l’uso di Google Analytics in conformità alla disciplina europea sul trasferimento dei dati personali negli USA.

Tuttavia gli autori hanno inavvertitamente dimenticato di citare le parole subito seguenti dell'articolo di Scorza:

Quello che, tuttavia, si può certamente dire è che per rendere il servizio conforme alle regole europee non basta né che gli indirizzi IP degli utenti siano cancellati da Google un istante dopo la raccolta, né che non siano affatto raccolti se, al loro posto, sono comunque raccolti e trasferiti nella disponibilità della casa madre americana di Big G altri dati che consentano a quest’ultima [...] di identificare o re-identificare un utente.

In altri termini, Scorza chiarisce che non è sufficiente rimuovere tutti gli identificativi dal set di dati ricevuti da Google per rendere legale l'utilizzo di Google Analytics. Il Titolare del Trattamento dovrà essere in grado di dimostrare che l'azienda Google LLC non può tecnicamente utilizzare i dati personali descrittivi che riceve per identificare anche un solo, singolo cittadino europeo, attraverso una delle innumerevoli tecniche di deanonimizzazione disponibili a Google stessa.

Una sfida che nemmeno noi hacker sapremmo come affrontare.

Nell'allegato tecnico che Monitora PA ha recentemente inviato al Garante della Privacy viene infatti spiegato come i dati personali descrittivi possano essere facilmente utilizzati come identificativi di fatto per deanonimizzare le persone associate ad una singola sessione di lavoro su un sito web.

Per fare un esempio banale: se una persona con un comune cellulare Android utilizzasse ad una certa ora un chiosco informativo la cui posizione GPS è nota a Google e su cui è installato Google Analytics, Google potrebbe istantaneamente correlare la posizione GPS del chiosco a quella dell'utente (ottenuta attraverso le varie App che la monitorano dal suo cellulare), deanonimizzando l'intera navigazione effettuata a quell'ora nel chiosco. In altri termini, un dato descrittivo apparentemente anonimo come una coppia di coordinate satellitari diventano identificativi di fatto in grado di permettere la deanonimizzazione dei dati raccolti attraverso il chiosco informativo apparentemente sicuro.

Il Titolare del Trattamento del nostro ipotetico chiosco pubblico, per utilizzare Google Analytics, dovrà dunque adottare ulteriori misure tecniche per proteggere i dati personali degli utenti, in modo tale che nessun cittadino europeo possa avvicinarsi al chiosco con un cellulare Android in tasca. E dovrà dichiarare un data-breach ogni volta che queste misure tecniche dovessero accidentalmente fallire.

Per questo possiamo dire che ad oggi l'utilizzo di GA4 non é di per sé illegale... come di per sé non è illegale possedere del tritolo.

Il tritolo può essere usato per scavare una buca oppure per compiere un attentato: molto dipende dall'utilizzo che si fa dell'oggetto in questione, ma in questo caso è estremamente difficile utilizzare Google Analytics 4 su un sito web legalmente, ovvero senza trasferire a Google dati personali che questi potrebbe ricondurre ai soggetti interessati.

Anche perché Google riceve e registra qualsiasi cosa venga scritta nella barra del browser Chrome, come chiaramente spiegato nel divertente fumetto di Leah Elliot recentemente tradotto dall'Associazione Copernicani.

Ma il CNIL dice che GA4 è OK...

Tag Manager Italia continua:

Non a caso, la CNIL l’Autorità Garante della protezione dei dati francese ha messo nero su bianco le misure necessarie da adottare per utilizzare Google Analytics e il tracciamento Server-Side in modo conforme alle norme GDPR.

In breve, la CNIL precisa che l’utilizzo di un server proxy proprietario a monte del server proxy nativo in Google Analytics 4, ossia un server intermediario localizzato in Europa su cui far giungere i dati degli utenti, è una soluzione efficace per rispettare le disposizioni europee in materia di Privacy, perché evita che i dati personali degli utenti arrivino direttamente sui server di Google prima in EU e poi nei server situati negli USA.

Sorpresi dall'ingenuità del CNIL, abbiamo provato a seguire il link fornito dagli autori cliccando sul link "GDPR", ma siamo atterrati su un articolo di Nicoletta Pisanu intitolato "Gazzetta ufficiale, come consultare i DPCM coronavirus, bandi e concorsi (online)".

Perplessi dall'apperente presenza di un argumentum ab auctoritate privo di riferimenti precisi all'autorità in questione, possiamo solo ipotizzare che gli autori facessero riferimento alle FAQ del CNIL (recentemente tradotte da Ivo Grimaldi per Monitora PA) pubblicate in concomitanza con il comunicato su "Google Analytics et transferts de données: comment mettre son outil de mesure d’audience en conformité avec le RGPD?"

Cosa ha detto davvero il CNIL?

Nelle FAQ, il CNIL menziona l'utilizzo di server proxy rispondendo a due domande di cui riportiamo, per facilitare il lettore, alcuni passaggi rilevanti tratti dalle risposte:

• Ci sono sufficienti garanzie aggiuntive per continuare a utilizzare lo strumento Google Analytics da solo?

  si può ipotizzare una soluzione che permetta di coinvolgere un server proxy (o “proxy”) per evitare qualsiasi contatto diretto tra il terminale dell'utente Internet ed i server dello strumento di misura. Tuttavia, occorre garantire che questo server soddisfi una serie di criteri per poter ritenere che questa misura aggiuntiva sia in linea con quanto previsto dal GEPD nelle sue raccomandazioni del 18 giugno 2021.

• Come garantire che gli strumenti di misurazione dell'audience non trasferiscano i dati a un paese terzo inappropriato?

  Si può anche considerare di utilizzare il metodo di proxyification, che consente, quando è ben configurato, di inviare solo dati pseudonimizzati a un server situato al di fuori dell'Unione Europea.

Ancora più interessante è il comunicato del CNIL che chiarisce:

Come indicato da tali raccomandazioni, tale esportazione non è possibile se non quando il titolare del trattamento ha stabilito, per mezzo di una analisi approfondita, che i dati personali pseudonimizzati non possano essere attribuiti a una persona fisica identificata o identificabile, anche attraverso la correlazione con altre informazioni.

Si tratta dunque, al di là della semplice rimozione della richiesta dal terminale dell’utilizzatore verso i server dello strumento di misurazione, di assicurarsi che l’insieme delle informazioni trasmesse non permetta in alcun caso una reidentificazione della persona, anche prendendo in considerazione i mezzi considerevoli di cui dispongono le entità che potrebbero voler procedere ad una tale reidentificazione.

Inoltre il CNIL aggiunge:

La messa in atto delle misure descritte qui sopra può rivelarsi costosa e complessa e non permette sempre di rispondere ai bisogni operativi dei professionisti.

Per evitare tali difficoltà è comunque possibile per i professionisti ricorrere a soluzioni che non comportino trasferimenti di dati personali al di fuori dell’Unione Europea

Il CNIL elenca anche alcune caratteristiche necessarie a rendere efficace l'introduzione di un server proxy come misura supplementare a protezione dei dati personali:

• l'assenza dell'IP fra i dati trasferiti nonché di una localizzazione sufficientemente specifica da permettere l'identificazione dell'utente (come nel caso del chiosco, ad esempio)
• la continua sostituzione degli pseudonimi dell'utente, che non devono permettere l'attribuzione di diverse sessioni di navigazione ad uno stesso utente
• la soppressione delle informazioni provenienti dall'esterno del sito, come le pagine di arrivo (referer)
• la soppressione di tutti i parametri utilizzati dalla richiesta del browser, anche quelli utilizzati per la navigazione interna del sito stesso
• la rimozione di tutte le informazioni che possano permettere la generazione di un'impronta digitale (fingerprint), come lo User Agent o le informazioni dedotte dal runtime di esecuzione del browser
• l'assenza di identificativi da altri siti o di identificativi deterministici, come possono essere l'unique ID, un identificativo di sessione o un cookie di terze parti
• la rimozione di qualsiasi dato che potrebbe permettere A GOOGLE una reidentificazione dell'utente

E si noti come il CNIL definisce queste caratteristiche necessarie, ma non le definisce affatto come sufficienti!

Questo perché, come amano sottolineare molti DPO, la protezione dei dati non può prescindere dal contesto concreto in cui il dato viene raccolto e trattato: il Titolare del Trattamento deve garantire tale protezione a ogni singolo cittadino, qualunque siano le condizioni della sua interazione con il sistema sotto la propria responsabilità.

Non c'è soluzionismo tecnologico che tenga: in moltissimi casi concreti, questi accorgimenti non saranno sufficienti a proteggere i dati dei cittadini europei e sarà responsabilità del Titolare del Trattamento impedire concretamente che queste condizioni si verifichino evitando l'utilizzo illegale di Google Analytics 4.

Il CNIL chiarisce inoltre che il proxy deve ovviamente essere eseguito su server che non comportino gli stessi rischi che Google Analytics determina: niente cloud GAFAM, per intederci, ma neanche cloud cinesi o russi, ad esempio.

Dunque rispetto alla sintesi di Tag Manager Italia è importante chiarire come il CNIL

• non abbia mai affermato che il server proxy sotto il controllo del Titolare possa essere software proprietario
• non abbia mai affermato che tale proxyification "è una soluzione efficace per rispettare le disposizioni europee in materia di Privacy", ma al massimo che può essere presa in considerazione in alcuni casi specifici.

Insomma, sarà pur vero che l'uso di GA4 non è di per sé illegale, ma sono infinitamente più numerosi i casi concreti in cui è illegale rispetto a quelli in cui non lo è.

Infatti il CNIL stesso mette in guardia i Titolari del Trattamento rispetto alla soluzione in questione, sottolineandone la complessità tecnica ed i costi, in quanto la verifica della sua effettiva efficacia concreta ed il mantenimento di tale efficacia nel tempo ad ogni aggiornamento dei prodotti di Google ricadono sotto la loro esclusiva responsabilità legale.

Si tratta di una responsabilità molto seria, perché le alternative ai servizi di Google esistono e sono innumerevoli, sebbene non si trovino su Google. ;-)

Anche l'asimmetria nel potere contrattuale rispetto a Google non può essere addotta come scusa: tale asimmetria evidenzia un enorme problema dell'economia di mercato europea, ma non rende Google titolare o cotitolare del trattamento proprio perché il Titolare stesso potrebbe facilmente scegliere fra una vasta gamma di soluzioni alternative che offrono garanzie decisamente più efficaci nella tutela dei diritti fondamentali dei cittadini europei.

Eh ma Monitora PA è stata imprecisa...

In effetti Tag Manager Italia riporta una semplificazione eccessiva che è sfuggita all'ultima rilettura dell'articolo di Pietro Biase che abbiamo fatto congiuntamente in Monitora PA:

ci è capitato di leggere diverse inesattezze come ad esempio: “...la tecnologia con cui il codice di Google Analytics viene incorporato nel sito web è cambiata nel tempo: nella versione Universal Analytics si trattava di codice Javascript richiamato all’interno dell’HTML; a partire da Google Analytics 4 (GA4) questa modalità è stata sostituita da una nuova tecnologia chiamata Google Tag Manager.”
Come è noto, Google Tag Manager (GTM) è stato introdotto nel 2012, quindi non è affatto una nuova tecnologia.

Non era nostra intenzione far passare un sistema di sorveglianza attivo dal 2012 come un'invenzione recente e ci scusiamo per il malinteso.

La semplificazione (come detto, eccessiva) è stata fatta ad uso dei molti Titolari del Trattamento e dei molti Data Processor Officers privi di una adeguata formazione informatica.

Dopo le dovute scuse, è importante chiarire cosa intendessimo: Google Tag Manager, quando configurato per ricevere chiamate HTTP dal browser del visitatore di un sito (ad esempio per scaricare i JS necessari all'introduzione del banner) riceve istantaneamente dati personali dell'utente (IP, Cookie, UserAgent etc...) e può inevitabilmente ottenere accesso a molti altri dati personali nel momento in cui il JavaScript che serve al browser viene eseguito nello stesso contesto della pagina.

Va inoltre osservato che ogni JavaScript servito da Google può essere personalizzato da Google stessa, esattamente come personalizza i messaggi promozionali che invia a ciascun utente via Google Ads.

Ciò significa che, potenzialmente, potrebbe essere costretta dalle agenzie governative degli Stati Uniti d'America a servire segretamente script "dedicati" a persone di interesse dell'intelligence USA all'insaputa non solo delle vittime di tale data breach, ma anche dei Titolari del Trattamento.

Titolari del Trattamento che però rimangono responsabili di questa possibilità e devono dunque poter dimostrare di aver preso adeguate misure tecniche supplementari per impedire efficacemente il suo verificarsi.

Detto questo, non siamo a conoscenza di ulteriori "imprecisioni tecniche legate a GA e GTM" nei nostri testi, ma saremmo molto felici se Tag Manager Italia volesse indicarcele, in particolare qualora fossero presenti nell'allegato tecnico inviato al Garante della Privacy.

Come hacker non siamo infallibili, solo curiosi: apprezziamo ogni occasione di imparare qualcosa di nuovo.

L'importante è ricordare sempre che con noi le supercazzole non funzionano. ;-)

Legittimità del trasferimento di dati extra-Ue: il problema non è solo di GA4

Nonostante tutte le imprecisioni ed i problemi elencati fin qui, abbiamo apprezzato moltissimo il coraggio e l'onestà intellettuale di Guiotto e Zambon laddove ammettono che non è solo Google Analytics ad essere incompatibile con i diritti dei cittadini europei.

Scrivono infatti:

è importante sottolineare che ciò che viene contestato a Google Analytics, ossia la potenziale violazione alle condizioni di legittimità del trasferimento di dati al di fuori dell’Europa, è con buona probabilità una caratteristica comune a centinaia (o più probabilmente migliaia) di software di utilizzo comune nell’ambito del web marketing e del web hosting.

Non è un mistero che il web marketing contemporaneo si basi in larghissima parte su tecnologie e servizi ospitati su server controllati da aziende USA (es. Facebook Ads, Google Ads, YouTube Ads, etc.)

Di conseguenza [...] è ragionevole ritenere che le piattaforme pubblicitarie Ads utilizzate dalla stragrande maggioranza dei web marketer, ma anche i software di email marketing, i CRM, le piattaforme di Content Delivery Network, i web hosting, etc. si trovino in una posizione simile rispetto a quella di Google Analytics.

[...] è un dato di fatto che i principi di funzionamento di tutte le piattaforme sopra citate (nonché la nazionalità delle aziende che le erogano) non sono particolarmente dissimili da quelli di Google Analytics.

Monitora PA sottoscrive ogni parola.

Si tratta di un passaggio importante che spiega perché nei prossimi mesi Monitora PA dovrà inevitabilmente segnalare al Garante della Privacy tutti i Titolari del Trattamento che continueranno ad utilizzare tali servizi in palese violazione del GDPR.

Conclusioni

Considerazioni tecniche a parte, vorremmo condividere una breve riflessione con il lettore.

Il 60% dei cittadini europei acquista online; il fatturato globale dell’e-commerce in Europa vale 732 miliardi di dollari; la sola spesa in digital advertising in Europa è stimata in 57,64 miliardi di dollari nel 2022.

Queste cifre sono espresse in dollari perché gli Stati Uniti estraggono la stragrande maggioranza di questo valore, lasciando alle società IT europee poche briciole.

Società che non possono permettersi di aggirare le normative scaricandone la responsabilità sui Titolari, ma grazie alla capacità ed alla caparbietà di tecnici e imprenditori resistono, pur a stento, sul mercato.

Monitora PA ha a cuore solo la libertà delle persone e le sorti delle nostre democrazie e combatte per proteggerle.

Ma chi difende la produttività delle aziende italiane ed europee che competono con Google & friends, senza appoggi politici, senza sovvenzioni militari e...
rispettando pure la Legge?