Registro dei provvedimenti
n. 224 del 9 giugno 2022
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;
VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito, “Regolamento”);
VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, di seguito “Codice”);
VISTO il reclamo del 17 agosto 2020 presentato ai sensi dell’art. 77 del Regolamento dal Sig. XX nei confronti di Caffeina Media S.r.l.;
ESAMINATA la documentazione in atti;
VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;
RELATORE il prof. Pasquale Stanzione;
PREMESSO
1. Il reclamo nei confronti della società e l’attività istruttoria.
Con reclamo presentato in data 17 agosto 2020, il Sig. XX ha lamentato che Caffeina Media S.r.l. (di seguito “la Società”), avrebbe trasferito a Google LLC, con sede negli Stati Uniti, i dati personali che lo riguardano trattati per il tramite del sito internet www.caffeinamagazine.it; ciò in assenza delle garanzie previste dal Capo V del Regolamento.
Nell’ambito dell’attività istruttoria avviata dal Garante, l’Ufficio, con note del 30 luglio e del 7 dicembre 2021, ha chiesto alla Società di fornire informazioni e chiarimenti sui fatti oggetto di reclamo.
Con le comunicazioni del 15 ottobre, del 3 novembre e del 22 dicembre 2021, nel dare riscontro alle richieste dell’Ufficio, Caffeina Media S.r.l. ha dichiarato quanto segue:
la titolarità dei trattamenti posti in essere mediante il sito www.caffeinamagazine.it è in capo alla Società; ciò a differenza di quanto a suo tempo indicato nel modello di informativa, resa sul predetto sito web ai sensi dell’art. 13 del Regolamento, che conteneva l’erroneo riferimento – ora rettificato – a Caffeina Media Ltd;
il trattamento dei dati personali degli utenti del sito www.caffeinamagazine.it è posto in essere dalla Società per il tramite dello strumento di Google Analytics (di seguito anche “GA”) nella sua “versione gratuita” (v. nota del 15 ottobre 2021, pag. 3 e nota del 22 dicembre 2021, pag. 2);
la Società “non ha né visibilità del dettaglio dei dati raccolti, né può precisamente descriverne le tipologie” e “ha scelto di avvalersi di [Google Analytics] anche perché Google afferma di trattare soltanto dati pseudonimi e su base cookie”; trattasi nel dettaglio di: “(i) cookie, (ii) dati relativi al dispositivo/browser (iii) indirizzo IP e (iv) attività sul sito” (v. nota del 15 ottobre 2021, pagg. 2 e 3);
Caffeina Media S.r.l. “è vincolata al testo contrattuale [“Google Analytics Terms of Service”] approvato in piattaforma (testo standard imposto dal fornitore Google)” e “come emerge dalla documentazione contrattuale imposta da Google, Google agisce in qualità di responsabile del trattamento dei dati raccolti tramite Google Analytics” (v. nota del 15 ottobre 2021, pag. 3);
più nello specifico, “la controparte contrattuale [dei Google Analytics Terms of Service nella versione del 31 marzo 2021] è Google Ireland Limited”; a differenza della versione precedente dei predetti “Google Analytics Terms of Service” -datata 17 giugno 2019- che è stata sottoscritta con Google LLC (v. nota del 22 dicembre 2021, pag. 2). Pertanto, “Caffeina Media S.r.l. agisce in qualità di titolare del trattamento e, (..) [da maggio 2021], Google Ireland Limited agisce in qualità di responsabile del trattamento dei dati raccolti tramite Google Analytics” (v. nota del 15 ottobre 2021, pag. 7 e nota del 22 dicembre 2021, pag. 3);
Caffeina Media S.r.l. “non possiede alcun livello di autonomia in merito alle scelte relative ai trasferimenti di dati verso Paesi terzi, ivi incluse l’identificazione delle tipologie di dati oggetto del predetto trasferimento” (v. nota del 15 ottobre 2021, pag. 7 e nota del 22 dicembre 2021, pagg. 2 e 4); in particolare tale specifica operazione di trattamento è disciplinata dall’art. 10 dei “Google Ads Data Processing Terms” in base al quale “Caffeina in qualità di esportatore dei dati, per il tramite di Google Ireland Limited, potrebbe aver effettuato attività di trasferimento di dati verso gli Stati Uniti, con Google LLC in qualità di importatore dei dati”. Inoltre, ai sensi della medesima disposizione “il proprietario del sito internet acconsente affinché Google possa farsi supportare nelle attività di trattamento da altre società del proprio gruppo e, tra le società indicate, è presente Google LLC, che agirebbe in qualità di sub-responsabile del trattamento” (v. nota del 15 ottobre 2021, pagg. 6 e 7 e nota del 22 dicembre 2021, pag. 3);
il trasferimento dei dati verso Google LLC è posto in essere per il tramite delle Clausole contrattuali standard che corrispondono allo schema tipo adottato il 5 febbraio 2010 dalla Commissione europea con decisione n. 2010/87/UE, come da comunicazione resa da Google alla Società in data 3 agosto 2020 (v. nota del 15 ottobre 2021, pag. 7, in particolare Allegato B “Comunicazione Google 3.08.2020”);
tali clausole sono state integrate dalle misure supplementari adottate da Google, rispetto alle quali la Società non ha “alcuna possibilità di verificare l’implementazione a livello tecnico (..), ovvero di impartire specifiche istruzioni sull’effettiva implementazione delle [stesse]” (v. nota del 22 dicembre 2021, pag. 4);
nell’ambito dei servizi offerti tramite Google Analytics, Caffeina Media S.r.l. non ha aderito all’opzione di condivisione dei dati, c.d. data sharing option (nota del 15 ottobre 2021, pag. 5);
in ordine al contestato trasferimento verso Google LLC dei dati relativi al reclamante, Caffeina Media S.r.l. “non ha particolare autonomia nell’utilizzo dello strumento [Google Analytics], ivi inclusa la possibilità di sapere se i dati del reclamante sono stati effettivamente trasferiti verso paesi terzi” (v. nota del 15 ottobre 2021, pag. 6);
relativamente agli adempimenti posti in essere ai sensi dell’art. 13 del Regolamento, Caffeina Media S.r.l. “si avvale del servizio automatico della società Iubenda s.r.l. per la gestione dell’informativa privacy e dell’informativa cookie” (con riferimento al modello di informativa aggiornato al 5 ottobre 2021, v. nota del 15 ottobre 2021, pag. 9; e in merito all’informativa resa al reclamante in data 12 agosto 2020, v. comunicazione del 3 novembre 2021).
L’11 gennaio 2022 l’Ufficio ha notificato, ai sensi dell’art. 166, comma 5, del Codice, le presunte violazioni del Regolamento riscontrate con riferimento all’art. 5, par. 1, lett. a), e par. 2, all’art. 13, all’art. 24 nonché agli artt. 44 e 46, par. 2, lett. c), del Regolamento.
Il 10 febbraio 2022 la Società ha inviato i propri scritti difensivi nei quali ha rappresentato che:
a) la normativa statunitense presa in considerazione dalla Corte di Giustizia dell’Unione Europea, nella pronuncia n. C-311/18, del 16 luglio 2020 (c.d.”Schrems II”), deve essere oggetto di una nuova valutazione di adeguatezza da parte delle Autorità di protezione dei dati in considerazione degli sviluppi normativi intervenuti successivamente all’adozione del Privacy Shield e puntualmente delineati dal Governo americano nel White Paper del settembre 2020 denominato “Information on U.S. Privacy Safeguards Relevant to SCCs and Other EU Legal Bases for EU-U.S. data Transfers after Schrems II” (v. nota del 10 febbraio 2022, par. 1, pagg. 3-9);
b) con specifico riferimento all’ambito di applicazione dell’art. 702 del Foreign Intelligence Surveillance Act “è praticamente impossibile che le agenzie di intelligence possano utilizzare soltanto un indirizzo IP o un cookie -unici dati eventualmente trasferiti da Caffeina-”; ciò considerato che, tenuto conto delle procedure (c.d. targeting procedure) volte all’individuazione dei dati che possono essere oggetto di accesso da parte delle Autorità statunitensi, sono di principale interesse per le attività di intelligence i dati relativi all’indirizzo e-mail e al numero di telefono degli utenti (v. nota del 10 febbraio 2022, pagg. 6-7);
c) in merito alla contestata inidoneità delle misure supplementari di natura tecnica implementate da Google, quest’ultimo ha adottato “alti standard in materia di (..) sicurezza” e “procedure interne (..) oggetto di diverse certificazioni. (..) Del resto, le (..) valutazioni circa l’adeguatezza delle misure di sicurezza da adottare sono state compiute dal fornitore stesso, il quale, dopo aver compiuto tale analisi, ha poi avvisato la stessa Caffeina dell’aggiornamento delle misure di sicurezza e della documentazione contrattuale, proprio a seguito della pronuncia Schrems II (..). E ciò comunque in linea con quanto richiesto dall’art. 14 delle nuove SCC”. Ad ogni modo, rispetto a tali misure, “Caffeina non ha né i mezzi né le possibilità operative o tecniche per imporre al fornitore modifiche delle [predette] misure di sicurezza”, non disponendo di “alcuna forza contrattuale per intrattenere dialoghi commerciali con la sua controparte [né] (..) per interagire con la stessa” (v. nota del 10 febbraio 2022, pagg. 10 e 12);
d) “in ordine al contestato trasferimento verso Google LLC dei dati relativi al reclamante, Caffeina Media S.r.l. non ha particolare autonomia nell’utilizzo dello strumento [Google Analytics]” non avendo “a livello tecnico la possibilità di sapere se effettivamente i dati personali del Sig. XX sono stati oggetto di trasferimento” (v. nota del 10 febbraio 2022, pag. 13);
e) per quanto concerne l’adeguatezza delle misure supplementari tecniche implementate da Google, Caffeina le ha ritenute “pertinenti ed efficaci in relazione alla natura dei dati e al contesto in cui gli stessi sono stati raccolti” nonché al livello di rischio del trasferimento. Tutto ciò in considerazione del fatto che: i) il trattamento dei dati connesso al trasferimento in esame si inserisce nel contesto di un sito di informazione quotidiana dal “taglio leggero, concentrato su ambiti di spettacolo”; ii) “la Società utilizza lo strumento solo in forma aggregata e statistica, non vedendo mai il dato grezzo” e limitandosi a trattare dati pseudonimizzati; iii) il livello di rischio deve essere valutato anche in base al grado di probabilità del verificarsi in concreto degli accessi da parte delle Autorità pubbliche statunitensi ai dati raccolti tramite Google Analytics sul sito www.caffeinamagazine.it. Al riguardo, la Società ha riportato quanto dichiarato da Google in un recente blog post dello scorso 19 gennaio 2022 (consultabile al seguente indirizzo: https://blog.google/around-the-globe/google-europe/its-time-for-a-new-eu-us-data-transfer-framework/), rispetto alla circostanza che “il fornitore ha offerto il servizio di Google Analytics per oltre 15 anni globalmente e non ha mai ricevuto una richiesta come quella lamentata dal reclamante” (nota del 10 febbraio 2022, pagg. 10, 17,18, 26 e 29; v. anche nota integrativa del 4 aprile 2022, pag. 5).
In data 25 marzo 2022, nel corso dell’audizione richiesta dalla Società, quest’ultima, nel richiamare integralmente le memorie sopra citate, ha altresì rappresentato di avere adottato una serie di misure di carattere tecnico-giuridico, relative a: l’aggiornamento del testo delle informative presenti sul sito internet della Società (v., in particolare, “Cookie Policy” reperibile all’indirizzo https://www.caffeinamagazine.it/cookie-policy/); l’implementazione di una nuova struttura tecnica del sito, realizzata tramite l’aggiornamento alla versione più recente del content management system utilizzato dalla Società e la migrazione del predetto sito su una nuova infrastruttura che garantisce un maggior livello di sicurezza; l’adesione all’opzione c.d. “IP-Anonymization” prevista dallo strumento Google Analytics; l’avvio dell’implementazione di un nuovo strumento di web analytics, basato, tra l’altro, sul mancato utilizzo dei cookies e sull’assenza di tracciamento dell’IP (v. verbale del 25 marzo 2022 e nota integrativa del 4 aprile 2022, pag. 2).
2. Osservazioni sulla normativa in materia di protezione dei dati personali rilevante nel caso di specie e violazioni accertate.
In primis si rappresenta che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”.
Tanto doverosamente premesso, all’esito dell’attività istruttoria e dell’esame della documentazione acquisita nel corso della stessa è stato accertato che i trasferimenti effettuati da Caffeina Media S.r.l. verso Google LLC (con sede negli Stati Uniti), per il tramite dello strumento di Google Analytics, sono stati posti in essere in violazione degli artt. 44 e 46 del Regolamento; si rileva, altresì, che sono emerse le violazioni dell’art. 5, par. 1, lett. a) e par. 2, dell’art. 13, par. 1, lett. f), e dell’art. 24, del Regolamento, come di seguito esplicitato.
2.1 I trasferimenti di dati personali verso gli Stati Uniti effettuati per il tramite di Google Analytics.
Google Analytics è uno strumento di web analytics fornito da Google ai gestori di siti internet che consente a questi ultimi di analizzare dettagliate statistiche sugli utenti nell’ottica di ottimizzare i servizi resi e di monitorare le proprie campagne di marketing.
Caffeina Media S.r.l. utilizza GA nella sua versione gratuita per il perseguimento di finalità meramente statistiche ovvero volte ad ottenere informazioni aggregate sull’attività degli utenti all’interno del proprio sito web. La stessa agisce in qualità di titolare del trattamento e designa Google responsabile, ai sensi dell’art. 28 del Regolamento, sulla base dei “Google Analytics Terms of Service” e dei “Google Ads Data Processing Terms”.
Più nello specifico, nel caso in esame, Google LLC ha rivestito, fino al 30 aprile 2021, il ruolo di responsabile del trattamento dei dati raccolti tramite Google Analytics a fronte della sottoscrizione dei “Google Analytics Terms of Service” (v. nota del 22 dicembre 2021, pag. 2).
A partire dal 1° maggio 2021 è subentrata, quale controparte contrattuale dei medesimi “Google Analytics Terms of Service”, Google Ireland Limited che, ai sensi dei predetti termini di servizio, può avvalersi di altri soggetti, in qualità di sub-responsabili del trattamento, fra cui Google LLC (v. nota del 15 ottobre 2021, pag. 7 e nota del 22 dicembre 2021, pag. 3).
Per quanto concerne il trattamento effettuato tramite Google Analytics, è stato rilevato che Caffeina Media S.r.l. raccoglie, mediante cookies trasmessi al browser degli utenti, informazioni in ordine alle modalità di interazione di questi ultimi con il sito web, nonché con le singole pagine e con i servizi proposti. Più nel dettaglio, i dati raccolti consistono in: identificatori online unici che consentono sia l’identificazione del browser o del dispositivo dell’utente che visita il sito web, sia del gestore stesso del sito (attraverso l’ID account Google); indirizzo, nome del sito web e dati di navigazione; indirizzo IP del dispositivo utilizzato dall’utente; informazioni relative al browser, al sistema operativo, alla risoluzione dello schermo, alla lingua selezionata, nonché a data e ora della visita al sito web.
Al riguardo, merita evidenziare che l’indirizzo IP costituisce un dato personale nella misura in cui consenta di identificare un dispositivo di comunicazione elettronica, rendendo pertanto indirettamente identificabile l’interessato in qualità di utente (v. Gruppo ex art. 29, WP 136 – Parere n. 4/2007 sul concetto di dati personali, del 20 giugno 2007, pag. 16). Tutto ciò soprattutto ove, come nel caso di specie, l’IP sia associato ad altre informazioni relative al browser utilizzato, alla data e all’ora della navigazione (cfr. considerando 30 del Regolamento).
A questo si aggiunga che, qualora il visitatore del sito web faccia accesso al proprio account Google –circostanza verificatasi nell’ipotesi in esame–, i dati sopra indicati possono essere associati ad altre informazioni presenti nel relativo account, quali l’indirizzo email (che costituisce l’user ID dell’account), il numero di telefono ed eventuali ulteriori dati personali tra cui il genere, la data di nascita o l’immagine del profilo.
In merito, si rappresenta che Google, nell’ambito del servizio Google Analytics, ha messo a disposizione dei gestori dei siti web l’opzione denominata “IP-Anonymization” che comporta l’invio a Google Analytics dell’indirizzo IP dell’utente previo oscuramento dell’ottetto meno significativo (in base a tale operazione, ad esempio, gli indirizzi da 122.48.54.0 a 122.48.54.255 sarebbero sostituiti da 122.48.54.0). Nel caso di specie, la Società ha dichiarato che la suddetta opzione, alla data della presentazione del reclamo, non era stata attivata e ha altresì rappresentato di aver aderito alla stessa solo successivamente, nell’ambito dell’adozione di una serie di misure tecnico giuridiche implementate a seguito dell’avvio del procedimento, da parte del Garante, ai sensi dell’art. 166, comma 5 del Codice.
Sul punto, merita sin d’ora evidenziare, tuttavia, che l’“IP-Anonymization” consiste di fatto in una pseudonimizzazione del dato relativo all’indirizzo di rete dell’utente, in quanto il troncamento dell’ultimo ottetto non impedisce a Google LLC di re-identificare l’utente medesimo, tenuto conto delle informazioni complessivamente detenute dalla stessa relative agli utenti del web. Sussiste, inoltre, in capo alla medesima Google LLC la possibilità −qualora l’interessato abbia effettuato l’accesso al proprio profilo Google− di associare l’indirizzo IP ad altre informazioni aggiuntive già in suo possesso (quali le informazioni contenute nell’account utente). Tale operazione, pertanto, nonostante l’attivazione dell’“IP-Anonymization”, consente comunque la possibile re-identificazione dell’utente.
Alla luce di quanto complessivamente rilevato, si evidenzia dunque che l’utilizzo di GA, da parte dei gestori dei siti web −quale Caffeina Media S.r.l.− comporta il trasferimento dei dati personali dei visitatori dei suddetti siti verso Google LLC con sede negli Stati Uniti. Tali trasferimenti, in quanto effettuati verso un paese terzo che non garantisce un livello di protezione adeguato ai sensi della normativa di protezione dei dati (ossia gli Stati Uniti), devono essere posti in essere in conformità al Capo V del Regolamento.
2.2 L’illiceità dei trasferimenti a seguito della pronuncia C-311/18, del 16 luglio 2020, c.d. Schrems II.
Si rammenta che la Corte di Giustizia dell’Unione Europea, con la pronuncia C-311/18, del 16 luglio 2020 (c.d. Schrems II), nel dichiarare l’invalidità della decisione della Commissione UE n. 2016/1250 del 12 luglio 2016, sull’adeguatezza della protezione offerta dal regime dello scudo UE-USA per la privacy (c.d. Privacy Shield), ha constatato che il diritto interno degli Stati Uniti (in particolare l’Executive Order 12333 e l’art. 702 del Foreign Intelligence Surveillance Act – di seguito “FISA 702”) comporti deroghe alla normativa in materia di protezione di dati che eccedono le restrizioni ritenute necessarie in una società democratica. Tutto ciò con particolare riferimento alle disposizioni che consentono alle Autorità pubbliche, nel quadro di determinati programmi di sicurezza nazionale, di accedere senza adeguate limitazioni ai dati personali oggetto di trasferimento, nonché alla mancata previsione di diritti, in capo ai soggetti interessati, azionabili in sede giudiziaria.
La Corte, con la medesima pronuncia, ha inoltre ribadito la validità della decisione n. 2010/87/CE della Commissione del 5 febbraio 2010 concernente le clausole contrattuali tipo per il trasferimento di dati personali a responsabili stabiliti in paesi terzi – clausole adottate da Caffeina nel caso di specie (v. supra, par. 1). Al contempo ha puntualizzato che, in base al principio di accountability, i titolari del trattamento, in qualità di esportatori, sono comunque tenuti a verificare, caso per caso e, ove necessario, in collaborazione con l’importatore nel paese terzo, se la legge o la prassi di quest’ultimo incidano sull’efficacia delle garanzie adeguate contenute nelle predette clausole; ciò al fine di determinare se le garanzie previste dalle clausole contrattuali tipo possano essere rispettate nella pratica (art. 5, par. 2, e art. 24; cfr. anche Raccomandazione n. 1/2020 relativa alle misure che integrano gli strumenti di trasferimento al fine di garantire il rispetto del livello di protezione dei dati personali dell’UE, del 18 giugno 2021, paragrafi 1-5).
In termini generali, occorre dunque valutare, in concreto, ossia sulla base delle circostanze del trasferimento, se lo strumento prescelto dall’esportatore, tra quelli individuati dall’art. 46 del Regolamento, sia efficace nel caso specifico.
Tale esame, come rilevato dal Comitato europeo per la protezione dei dati – di seguito “EDPB” (v. Raccomandazione n. 1/2020, cit., pag. 4), deve “concentrarsi innanzitutto sulla legislazione del paese terzo [e sulle prassi applicabili] rilevant[i] per il trasferimento [nonché] sullo strumento di trasferimento [individuato] ai sensi dell’articolo 46 del RGPD” al fine di verificare che la predetta legislazione e le suddette prassi non impediscano, di fatto, il rispetto, da parte dell’importatore, degli obblighi previsti dallo strumento utilizzato. Più nel dettaglio, la valutazione di cui sopra “comporta l’esigenza di determinare se il trasferimento in questione rientri o meno nell’ambito di applicazione della [sovra citata normativa]”. Essa deve “essere basata su fattori oggettivi, indipendentemente dalla probabilità di accesso ai dati personali” (v. Parere congiunto 2/2021 dell’EDPB e del GEPD sulla decisione di esecuzione della Commissione europea relativa alle clausole contrattuali tipo per il trasferimento di dati personali verso paesi terzi, adottato il 14 gennaio 2021, par. 86).
Rilevano a tal fine le caratteristiche dello specifico trasferimento posto in essere quali: le finalità, la natura dei soggetti coinvolti, il settore in cui avviene il trasferimento, le categorie dei dati personali trasferiti, la circostanza che i dati siano conservati nel paese terzo o vi si acceda da remoto, il formato dei dati da trasferire e gli eventuali trasferimenti successivi (v. Raccomandazione n. 1/2020, cit., par. 33).
La valutazione richiesta all’esportatore, dunque, deve concentrarsi sulla legislazione e sulle prassi applicabili, nel paese terzo, ai dati specificamente trasferiti e comportare la verifica della “possibilità o meno, per le autorità pubbliche del paese terzo (…) di tentare di accedere ai dati” nonché della “capacità o meno, per le autorità pubbliche del paese terzo (…) di accedere ai dati attraverso l’importatore stesso o attraverso i fornitori di telecomunicazioni o i canali di comunicazione” (v. Raccomandazione n. 1/2020, cit., par. 31).
In merito alla predetta possibilità di accesso, da parte delle Autorità statunitensi, peraltro, occorre considerare che essa trova conferma nel “Transparency report on United States national security requests for user information” messo a disposizione da Google sul proprio sito (reperibile al seguente link https://transparencyreport.google.com/user-data/us-national-security?hl=en); report ove sono riportati i dati numerici inerenti alle richieste di accesso (che, come ivi espressamente riportato, possono riguardare anche “non-content metadata” quali gli indirizzi IP) ricevute da Google, ai sensi del FISA 702, su istanza delle Autorità nazionali statunitensi.
Tanto doverosamente premesso, con riferimento a quanto sostenuto dalla Società nelle proprie memorie difensive, merita evidenziare che:
in ordine all’inadeguatezza della normativa statunitense (cfr. supra, par. 1, punto a), la Corte di giustizia non si è limitata all’esame del quadro giuridico vigente all’epoca dell’adozione del Privacy Shield. Piuttosto, ha tenuto conto delle disposizioni normative inerenti ai programmi di sorveglianza (cfr., in particolare, FISA 702) vigenti al momento dell’emanazione della pronuncia, statuendo che le stesse non garantiscono un livello di protezione sostanzialmente equivalente a quello di cui all’articolo 52, paragrafo 1, della Carta dei diritti fondamentali dell’Unione Europea (v. sent. cit., punti nn. 168-202);
relativamente all’individuazione dei dati che possono essere oggetto di accesso da parte delle Autorità statunitensi ai sensi del FISA 702 (v. supra, par. 1, punto b), nel White Paper del settembre 2020 sono contenute indicazioni di portata generale in ordine all’oggetto delle richieste di accesso che possono essere effettuate dalle agenzie di intelligence, tali da non escludere a priori che, oltre all’indirizzo e-mail e al numero di telefono degli utenti, esse possano riferirsi anche agli indirizzi IP (cfr. in merito White Paper del settembre 2020, cit. pag. 7). A conferma di ciò, si evidenzia altresì che nel “Transparency report on United States national security requests for user information” (v. supra) messo a disposizione da Google sul proprio sito, proprio l’indirizzo IP appare ricompreso tra le informazioni che possono essere oggetto di richiesta di accesso ai sensi del FISA 702 unitamente ad altri metadata (v. in particolare, la descrizione contenuta nella sezione denominata “non-content requests under FISA”);
da ultimo, rispetto alla valutazione di idoneità delle misure supplementari adottate nel caso di specie (v. supra, par. 1, punto e), la Società, -nel prendere in considerazione elementi diversi da quelli contemplati dall’EDPB quali: la “disponibilità economica” di Caffeina Media S.r.l., “i costi di attuazione” delle misure tecniche e organizzative da implementare, “il tenore degli articoli e delle tematiche (…) di taglio leggero e concentrato su ambiti di spettacolo” veicolati dal sito web www.caffeinamagazine.it (v. nota del 10 febbraio 2022, pagg. 10, 15, 16, 17 e 8)-, ha sostanzialmente basato la predetta valutazione sulla “probabilità che si verifichi il rischio di accesso ai dati da parte di terzi” e sulla “gravità della possibile insorgenza del [predetto] rischio” (v. nota del 10 febbraio 2022, pag. 24). Al riguardo, di contro, si ribadisce che la Corte, nella succitata pronuncia, non ha fatto riferimento ad “alcun fattore soggettivo, come ad esempio, la probabilità di accesso” ai dati personali trasferiti (v. Parere congiunto 2/2021 dell’EDPB e del GEPD, cit., par. 87).
2.3. Inidoneità delle misure supplementari adottate dal titolare del trattamento.
Qualora a seguito della valutazione di cui sopra si rilevi che la legislazione e le prassi del paese terzo impediscano all’importatore di rispettare gli obblighi previsti dallo strumento di trasferimento prescelto, come constatato nel caso di specie, gli esportatori devono adottare misure supplementari che garantiscano un livello di protezione dei dati personali sostanzialmente equivalente a quello previsto dal Regolamento (cfr. Raccomandazione n. 1/2020, cit., paragrafi 50-57, che reca l’indicazione dei criteri ai fini dell’individuazione delle misure da adottare).
Al riguardo, in ordine alle misure supplementari di natura tecnica, ma anche contrattuale e organizzativa, adottate nell’ipotesi in esame, merita rilevare quanto segue.
Le misure di natura tecnica consistono nell’adozione di meccanismi di cifratura dei dati, durante il trasferimento fra sistemi (in transit) e quando sono memorizzati nei sistemi (at rest).
La cifratura in transito è adottata ove i dati siano trasferiti fra diversi sistemi, servizi o data center attraverso reti o infrastrutture non controllate dalla Società (es.: reti geografiche).
La cifratura at rest riguarda invece i dati dell’utente che sono memorizzati su unità disco o in unità di backup e si basa sulla cifratura dei dati mediante algoritmi standard (in genere tramite AES256) e sulla cifratura, a diversi livelli, a partire dalla cifratura a livello hardware, in base al tipo di applicazione e ai rischi specifici. L’accesso ai data center di Google LLC è protetto da 6 livelli di misure di sicurezza fisica.
In merito, si evidenzia che, tenuto conto delle indicazioni rese dall’EDPB nella Raccomandazione n. 1/2020, le misure tecniche summenzionate non risultano adeguate.
In ordine ai meccanismi di cifratura dei dati sopra evidenziati, esse, infatti, non sono sufficienti ad evitare i rischi di un accesso, ai fini di sicurezza nazionale, ai dati trasferiti dall’Unione europea da parte delle Autorità pubbliche degli Stati Uniti, in quanto le tecniche di cifratura adottate prevedono che la disponibilità della chiave di cifratura sia in capo a Google LLC che la detiene, in qualità di importatore, in virtù della necessità di disporre dei dati in chiaro per effettuare elaborazioni e fornire servizi. Merita inoltre evidenziare che l’obbligo di consentire l’accesso, da parte delle Autorità statunitensi, ricade su Google LLC non solo con riferimento ai dati personali importati, ma anche in ordine alle eventuali chiavi crittografiche necessarie per renderli intelligibili (v. anche Raccomandazione 1/2020, cit., par. 81).
Da ciò ne consegue che, fintanto che la chiave di cifratura rimanga nella disponibilità dell’importatore, le misure adottate non possono ritenersi adeguate (v. Raccomandazione 1/2020, cit., par. 95).
Ciò anche tenuto conto di alcune misure contrattuali e organizzative consistenti nello specifico nell’impegno a:
verificare, ai sensi della normativa statunitense, la legittimità di ogni singola richiesta di accesso ai dati degli utenti oggetto di trasferimento da parte delle Autorità pubbliche, valutandone la proporzionalità; non accogliere la stessa ove, a seguito di un’attenta valutazione, si concluda che non sussistano i presupposti in base alla normativa di riferimento;
comunicare tempestivamente all’interessato le richieste di accesso provenienti dalle Autorità pubbliche statunitensi, salvo che tale comunicazione sia vietata dalla relativa normativa, informando ad ogni modo l’interessato qualora il divieto di cui sopra venga revocato;
pubblicare un “Transparency Report” recante una sintesi delle richieste di accesso ai dati ricevute da parte delle Autorità pubbliche statunitensi, nella misura in cui tale pubblicazione sia consentita dalla relativa normativa;
pubblicare la policy di gestione delle richieste di accesso ai dati degli utenti oggetto di trasferimento da parte delle Autorità pubbliche statunitensi.
In merito infatti si rileva che, come considerato dall’EDPB, in assenza di misure tecniche idonee –circostanza accertata nel caso di specie– le misure contrattuali e organizzative sopra indicate, di per sé, non possono ridurre o impedire le possibilità di accesso ai dati oggetto di trasferimento da parte delle Autorità statunitensi (cfr. Raccomandazione 1/2020, cit., par. 53).
Alla luce di quanto complessivamente sopra rappresentato, pertanto, le misure supplementari adottate nel caso di specie non possono considerarsi adeguate con conseguenziale illiceità, ai sensi dell’art. 44 e dell’art. 46 del Regolamento, dei relativi trasferimenti di dati personali verso gli Stati Uniti.
2.4 Accountability del titolare
Il titolare è tenuto a mettere in atto “misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al [Regolamento]” (c.d. principio di accountability; cfr. art. 5, par. 2 e art. 24, par. 1 del Regolamento).
Spetta dunque proprio al titolare il compito di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali nel rispetto della normativa rilevante in materia. Il Regolamento, infatti, pone con forza l’accento sulla “responsabilizzazione” del titolare, ossia, sull’adozione di comportamenti proattivi tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione della disciplina di protezione dei dati personali (si veda, in particolare l’art. 24 del Regolamento).
L’attuazione del principio di accountability con riferimento ai trasferimenti di dati verso paesi terzi, pone in capo al titolare, in qualità di esportatore, la responsabilità di verificare, caso per caso e, ove necessario, in collaborazione con l’importatore nel paese terzo, se la legge o la prassi di quest’ultimo incidano sull’efficacia delle garanzie adeguate contenute negli strumenti di trasferimento di cui all’articolo 46 del Regolamento.
In tali casi, l’esportatore è tenuto ad adottare, in applicazione di tale principio, misure supplementari che consentano all’importatore di rispettare gli obblighi previsti dallo strumento adottato a sensi dell’art. 46 del Regolamento; tutto ciò al fine di assicurare che il livello di protezione delle persone fisiche garantito dal Regolamento non sia pregiudicato (v. art. 44 del Regolamento; cfr. al riguardo, Raccomandazione 1/2020, cit., paragrafi 1-5).
Per tutte le ragioni su esposte, ferma restando la rilevata inidoneità delle misure supplementari adottate nel caso di specie, non può essere accolto quanto sostenuto da Caffeina Media S.r.l. in ordine alla mancanza di autonomia della stessa rispetto alle decisioni da assumere in merito al trasferimento di dati verso paesi terzi (v. supra, par. 1, lettere c) e d); ciò considerato che la Società, in ragione del ruolo rivestito ai sensi della disciplina di protezione dei dati personali, è tenuta, come già chiarito, a mettere in atto, anche nel contesto dei trasferimenti transfrontalieri, misure adeguate ed efficaci a tutela dei diritti e delle libertà degli interessati e ad essere in grado di dimostrare la conformità delle stesse al Regolamento.
Alla luce delle considerazioni di cui sopra, nel porre in essere la condotta descritta, Caffeina Media S.r.l. ha quindi violato gli artt. 5, par. 2 e 24, del Regolamento.
2.5. Inidoneità dell’informativa resa ai sensi dell’art. 13 del Regolamento.
Con riferimento alle informazioni che devono essere rese all’interessato, ai sensi dell’art. 13 del Regolamento, si fa presente che, nell’informativa fornita al reclamante sul sito www.caffeinamagazine.it, all’atto della raccolta dei dati che lo riguardano (v. comunicazione del 3 novembre 2021), non erano indicati alcuni degli elementi di cui all’art. 13, par. 1, lett. f) del Regolamento.
Invero, in considerazione del fatto che i dati personali devono essere “trattati in modo lecito, corretto e trasparente nei confronti dell’interessato” (art. 5, par. 1, lett. a), del Regolamento), il titolare del trattamento, qualora sia posto in essere un trasferimento di dati personali, ha l’obbligo, nel rispetto del principio di trasparenza, di rendere edotti gli interessati anche in ordine “all’intenzione di trasferire dati personali a un paese terzo” nonché “all’esistenza o l’assenza di una decisione di adeguatezza della Commissione o, nel caso dei trasferimenti di cui all’articolo 46 o 47, o all’articolo 49, paragrafo 1, secondo comma, il riferimento alle garanzie appropriate o opportune e i mezzi per ottenere una copia di tali garanzie o il luogo dove sono state rese disponibili” (art. 13, par. 1, del Regolamento).
Al riguardo, nel prendere comunque atto dell’avvenuto aggiornamento in data 23 marzo 2022 dell’informativa da rendere agli utenti sul sito www.caffeinamagazine.it (v. nota del 10 febbraio 2022, pag. 30; cfr. “Cookies Policy” reperibile all’indirizzo https://www.caffeinamagazine.it/cookie-policy/), si rileva che il modello a suo tempo fornito da Caffeina Media S.r.l. al reclamante nel caso di specie (v. comunicazione del 3 novembre 2021), non definiva chiaramente gli elementi di cui all’art. 13, par. 1, lett. f) del Regolamento concernenti il trasferimento.
Ne consegue, pertanto, con riferimento a tale modello, la violazione dell’art. 5, par. 1, lett. a) e dell’art. 13, par. 1, lett. f), del Regolamento.
3. Conclusioni: dichiarazione di illiceità del trattamento. Provvedimenti correttivi ex art. 58, par. 2 del Regolamento.
Per i suesposti motivi l’Autorità ritiene che le dichiarazioni, la documentazione e le ricostruzioni fornite dal titolare del trattamento nel corso dell’istruttoria, non consentano di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e che risultino pertanto inidonee a disporre l’archiviazione del presente procedimento, non ricorrendo peraltro alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.
Il trattamento dei dati personali effettuato dalla Società risulta quindi illecito, nei termini complessivamente sopra indicati, in relazione all’art. 5, par. 1, lett. a) e par. 2, all’art. 13, par. 1, lett. f), all’art. 24, e agli artt. 44 e 46, del Regolamento.
La violazione delle disposizioni sopra richiamate comporta l’applicazione delle sanzioni amministrative previste dall’art. 83, par. 5, lettere a), b) e c), del Regolamento.
Al riguardo, con riferimento agli elementi da prendere in considerazione al fine di valutare se infliggere una sanzione amministrativa pecuniaria (art. 83, par. 2, del Regolamento), si rileva in primis che, in relazione alla natura e alla gravità della violazione, le operazioni di trattamento oggetto di contestazione non hanno avuto ad oggetto categorie particolari di dati personali.
Con riguardo all’elemento soggettivo del trasgressore, occorre considerare che Caffeina Media S.r.l. – stante l’asimmetria di potere contrattuale derivante dalla primaria posizione di mercato assunta da Google nel settore dei servizi di web analytics– ha erroneamente assunto come idonee, sulla base delle informazioni rese da Google, le misure supplementari adottate da quest’ultima senza esercitare alcun potere decisionale in merito alle stesse.
Relativamente alle misure adottate dalla Società per attenuare il danno subito dagli interessati, si prende altresì atto delle iniziative intraprese dal titolare del trattamento, a seguito della notifica ex art. 166, comma 5 del Codice, concernenti: l’aggiornamento del testo delle informative presenti sul sito internet della Società; l’adesione all’opzione di “IP-Anonymization” messa a disposizione da Google; il miglioramento infrastrutturale in termini di sicurezza; l’aggiornamento del content management system utilizzato per la creazione e la gestione del sito; l’analisi di fattibilità dell’implementazione di uno strumento alternativo di web analytics che “non si affiderà più esclusivamente a tracciamenti tramite cookie e che (…) non conserverà più gli indirizzi IP degli interessati” (v. verbale del 25 marzo 2022 e nota integrativa del 4 aprile 2022, pag. 2).
Da ultimo, ai fini delle valutazioni dell’Autorità, rilevano anche l’assenza di precedenti violazioni e l’attività di leale collaborazione con il Garante nel corso del procedimento.
La natura e la gravità della violazione, il carattere colposo della stessa, nonché gli ulteriori elementi sopra richiamati inducono pertanto a qualificare la fattispecie in esame come “violazione minore” (v. art. 83, par. 2, e cons. 148 del Regolamento).
Si ritiene, quindi, che, relativamente al caso di specie, occorra ammonire il titolare del trattamento, ai sensi degli artt. 143 del Codice e 58, par. 2, lett. b), del Regolamento, per aver effettuato un trattamento in violazione dell’art. 5, par. 1, lett. a) e par. 2, dell’art. 13, par. 1, lett. f), dell’art. 24, e degli artt. 44 e 46, del Regolamento.
Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019, concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.
TUTTO CIÒ PREMESSO IL GARANTE:
a) ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, dichiara l’illiceità del trattamento dei dati personali degli utenti del sito www.caffeinamagazine.it posto in essere, per il tramite di Google Analytics, da Caffeina Media S.r.l. con sede in Rosignano Marittimo (LI), P. I. 13524951004, in ordine alla violazione degli artt. 5, par. 1, lett. a) e par. 2, dell’art. 13, par. 1, lett. f), dell’art. 24, e degli artt. 44 e 46, del Regolamento;
b) ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, ingiunge a Caffeina Media S.r.l. di conformare al Capo V del Regolamento entro il termine di novanta giorni dalla notifica del presente provvedimento, il trattamento di dati personali degli utenti del sito www.caffeinamagazine.it effettuato per il tramite di Google Analytics, adottando misure supplementari adeguate;
c) ai sensi dell’art. 58, par. 2, lett. j), del Regolamento, ordina la sospensione dei flussi, verso Google LLC con sede negli Stati Uniti, dei dati personali sopra individuati, ove Caffeina Media S.r.l. non ottemperi a quanto stabilito al punto b) del presente dispositivo entro il termine ivi previsto;
d) ai sensi del considerando 148 e dell’art. 58, par. 2, lett. b), del Regolamento ammonisce Caffeina Media S.r.l. per aver effettuato un trattamento di dati personali in violazione degli artt. 5, par. 1, lett. a) e par. 2, dell’art. 13, par. 1, lett. f), dell’art. 24, e degli artt. 44 e 46, del Regolamento;
e) ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019, concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.
Ai sensi del 157 del Codice, richiede a Caffeina Media S.r.l. di comunicare quali iniziative siano state intraprese al fine di dare attuazione a quanto disposto nel presente provvedimento e di fornire comunque riscontro adeguatamente documentato, entro il termine di novanta giorni dalla data della notifica della presente decisione; l’eventuale mancato riscontro può comportare l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, lett. e) del Regolamento.
Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. del 1° settembre 2011, n. 150, avverso il presente provvedimento è possibile proporre ricorso dinanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.
Roma, 9 giugno 2022
IL PRESIDENTE
Stanzione
IL RELATORE
Stanzione
IL SEGRETARIO GENERALE
Mattei