[doc. web n. 9806053]

Provvedimento del 7 luglio 2022

Registro dei provvedimenti
n. 243 del 7 luglio 2022

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito, “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al Regolamento (UE) 2016/679 (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, di seguito “Codice”);

VISTO il reclamo del 18 agosto 2020 presentato ai sensi dell’art. 77 del Regolamento dal Sig. XX nei confronti di IlMeteo S.r.l.;

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Agostino Ghiglia;

PREMESSO

1. Il reclamo nei confronti della Società e l’attività istruttoria.

Con reclamo presentato in data 18 agosto 2020, il Sig. XX ha lamentato che IlMeteo S.r.l. (di seguito anche “la Società”), avrebbe trasferito a Google LLC, con sede negli Stati Uniti, i dati personali che lo riguardano trattati per il tramite del sito internet www.ilmeteo.it; ciò in assenza delle garanzie previste dal Capo V del Regolamento.

Nell’ambito dell’attività istruttoria avviata dal Garante, l’Ufficio, con note del 16 novembre 2020 e del 20 luglio 2021, ha chiesto alla Società di fornire informazioni e chiarimenti sui fatti oggetto di reclamo.

Con le comunicazioni del 15 dicembre 2020 e del 15 settembre 2021, nel dare riscontro alle richieste dell’Ufficio, IlMeteo S.r.l. ha dichiarato quanto segue:

il trattamento dei dati personali degli utenti del sito web www.ilmeteo.it, oggetto di contestazione da parte del reclamante, è posto in essere dalla Società per il tramite dello strumento di Google Analytics “nella sua versione base/free” (v. nota del 15 dicembre 2020, pag. 2) che, mediante cookies trasmessi al browser dell’utente, “raccoglie informazioni su come gli utenti del sito interagiscono con le singole pagine e con i servizi proposti” (v. nota del 15 dicembre 2020, pag. 3);

i dati oggetto di trattamento consistono nell'identificativo del cookie scaricato sul browser dell’utente, nell’indirizzo IP e nel tipo di device utilizzato (cfr. nota del 15 dicembre 2020, pag. 3);

la Società ha attivato inoltre lo strumento Google Signals, che “si basa sull'incrocio dei dati degli utenti loggati a Google che hanno attivato il sistema di “Personalizzazione degli annunci” (Ads Personalization) con i dati raccolti dalla navigazione. Tale processo permette a Google Analytics di raccogliere ed incrociare i dati sul traffico in aggiunta a quelli raccolti tramite un'implementazione standard e di fornire funzionalità aggiuntive fornendo ad esempio informazioni olistiche sul comportamento cross-device degli utenti, arricchendo le loro caratteristiche demografiche e di interessi quando interagiscono con il sito ilMeteo.it da più browser e dispositivi” (v. nota del 15 settembre 2021, pag. 4);

in relazione al trattamento posto in essere tramite Google Analytics, il 26 maggio 2018, la Società ai sensi dell’art. 7 dei “Google Analytics Terms of Service”, ha sottoscritto con Google LLC un contratto ex art. 28 del Regolamento denominato “Google Ads Data Processing Terms”, “secondo il quale ilMeteo s.r.l. è il titolare del trattamento e Google LLC è responsabile” dello stesso (cfr. nota del 15 dicembre 2020, pag. 5 e allegato 5). A far data dal 30 aprile 2021, a seguito dell’entrata in vigore dei “nuovi Termini di servizio di Google Analytics” per tutti i clienti dell’area Emea, “i rapporti contrattuali [di cui sopra] non sono più in essere tra ilMeteo e Google LLC, ma tra ilMeteo e Google Ireland Limited” (v. nota del 15 settembre 2021, pag. 1 e allegato 2), nominata pertanto responsabile del trattamento ai sensi dell’art. 28 del Regolamento;

il trasferimento dei dati è disciplinato dall’art. 10 dei “Google Ads Data Processing Terms” ai sensi del quale IlMeteo S.r.l. acconsente che Google Ireland Limited, quale responsabile del trattamento “possa ricorrere alle società affiliate di Google in qualità di sub-responsabili; [nonché] archiviare o trattare i dati personali in altri Paesi in cui Google o i suoi sub-responsabili possiedono delle sedi. Per il trasferimento dei dati in Paesi per i quali non è stata adottata una decisione di adeguatezza, ilMeteo, ai sensi di tali Processing Terms, opera come esportatore e stipula con Google LLC (in qualità di importatore) le Clausole Contrattuali Standard (…). Secondo tali clausole Google LLC opera quale Responsabile del trattamento” (v. nota del 15 dicembre 2020, pag. 5 e nota del 15 settembre 2021, pag. 2);

i trasferimenti di cui sopra sono “soggetti alle Clausole standard” (di cui all'allegato 5 della nota del 15 dicembre 2020), che corrispondono allo schema tipo, adottato il 5 febbraio 2010, dalla Commissione europea con decisione n. 2010/87/UE (v. nota del 15 dicembre 2020, pagg. 5 e 7 e nota del 15 settembre 2021, pag. 2); tali clausole sono state integrate “dalle misure supplementari adottate da Google e descritte nelle pagine del sito di quest’ultima”, misure di cui la Società ha preso atto a seguito della comunicazione resa da Google, come riportata nell’allegato 2 della nota del 15 dicembre 2020 (v. nota del 15 dicembre 2020, pag. 7 e nota del 15 settembre 2021, pag. 10);

la Società, come misura supplementare ulteriore rispetto a quelle predisposte da Google, “ha provveduto ad oscurare le ultime cifre dell’indirizzo IP, in modo da escludere la possibilità di identificazione dell’utente (c.d. IP-Anonymization)”, seguendo la procedura resa disponibile da Google a tal fine. Tale funzione è stata attivata in via definitiva a fine novembre 2020 (cfr. nota del 15 settembre 2021, pagg. 1, 9 e 11 e allegato 9). Al riguardo la Società ha precisato che “con l’anonimizzazione degli indirizzi IP i dati resi disponibili a Google (…) non sono dati personali [in quanto] non consentono (…) di identificare l’utente del sito”; non è pertanto posto in essere “alcun trasferimento di dati personali fuori dall'Unione” e non è necessaria l'adozione di “alcuna tecnica di criptazione a protezione” di tali informazioni (v. nota del 15 settembre 2021, pag. 10);

IlMeteo S.r.l. “non ha alcuna autonomia rispetto alle scelte relative all’eventuale trasferimento dei dati verso paesi terzi da parte di Google. Rispetto al servizio in questione, non vi è modo di optare per soluzioni che evitino il trasferimento di dati fuori dall’Unione Europea, né nella versione free utilizzata da IlMeteo s.r.l., né nella versione business a pagamento” (v. nota del 15 dicembre 202, pag. 5). Inoltre, stante la difficoltà nel reperire “sul mercato servizi analoghi equiparabili a quelli forniti da Google Analytics nella sua versione base/free”, è “estremamente complesso, per realtà aziendali di dimensioni ridotte [quali IlMeteo S.r.l.], valutare opzioni alternative che possano offrire analoghe caratteristiche di economicità, utilità e compliance” (v. nota del 15 dicembre 2020, pag. 2);

la Società ha reso al Sig. XX, ai sensi dell'art. 13 del Regolamento, le informazioni di cui al modello di informativa allegato alla nota del 15 settembre 2021 (cfr. allegato 10); tale modello “è stato aggiornato di recente riferendo del trasferimento dei dati che lo legittima” (v. nota del 15 dicembre 2020, pag. 8 e allegato 3).

In merito a quanto rappresentato dalla Società, sono state inoltre acquisite ulteriori osservazioni da parte del reclamante, trasmesse con nota del 21 febbraio 2021.

Il 30 novembre 2021, l’Ufficio ha notificato, ai sensi dell’art. 166, comma 5, del Codice, le presunte violazioni del Regolamento riscontrate con riferimento dell’art. 5, par. 1, lett. a), e par. 2, del Regolamento e dell’art. 13 del Regolamento, nonché degli artt. 44 e 46, del Regolamento.

Il 28 gennaio 2022, la Società ha inviato i propri scritti difensivi nei quali ha rappresentato che:

a) relativamente agli elementi in base ai quali IlMeteo S.r.l. ha effettuato la propria valutazione in ordine all’adeguatezza dello strumento prescelto ai fini del trasferimento e all’adozione delle misure supplementari da adottare nel caso di specie, la Società -nel ravvisare “un rischio più che trascurabile” - ha tenuto conto del “fatto che [il sito web] è fruibile gratuitamente senza alcuna registrazione da parte degli utenti. In particolare, sono state apprezzate (…) le seguenti circostanze di fatto e di diritto: a) l’adozione delle nuove standard contractual clauses (…) e di un insieme di ulteriori misure tecniche, contrattuali e organizzative; b) la natura dei dati (anonimizzati); c) le finalità di trattamento (analitica); d) la conservazione, per prassi, dei dati sui server più prossimi agli utenti; (...) e) la circostanza che svariati milioni di siti nel mondo utilizzino Google Analytics, a riprova dell’affidabilità dello strumento; (…) f) che, dal lancio del servizio ad oggi, Google non abbia mai ricevuto da autorità pubbliche statunitensi richieste di accesso ai dati trattati tramite Google Analytics (…); g) che l’ambito di applicabilità degli obblighi imposti a Google LLC per l’accesso ai dati trasferiti da parte delle autorità pubbliche statunitensi è limitato (cfr. Section 702 Foreign Intelligence Surveillance Act - “FISA”, che prevede che l’obiettivo dell’accesso è limitato alla raccolta di “foreign intelligence information”)” (v. nota del 28 gennaio 2022, pagg. 3-8);

b) in merito alla funzione di IP-Anonymization, “l’anonimizzazione attraverso il troncamento dell’ultimo ottetto è efficace, poiché comporta che all’indirizzo anonimizzato siano riconducibili 256 indirizzi possibili, (…) avviene entro un tempo infinitamente breve (millesimi di secondo) ed è generalmente effettuata su server di prossimità [ovvero server situati in UE]; solo in casi eccezionali -che, secondo le dichiarazioni di Google, non si sono mai riscontrati negli ultimi 5 anni- i dati possono essere trasferiti [in chiaro]e anonimizzati fuori dalla UE. Inoltre, i dati trattati tramite Google Analytics sono e rimangono, by design e by default, distinti e separati rispetto ai dati degli utenti registrati raccolti da Google e l’incrocio di dati che il Garante ipotizza possibile, nella realtà non avviene”. Sulla base di tali considerazioni, la Società ha ritenuto, pertanto, che la funzione di “IP-Anonymization” consentisse “di eliminare la capacità identificativa del dato risolvendo in questo modo a monte il problema del trasferimento dei dati personali fuori dall’Unione europea” (v. nota del 28 gennaio 2022, pagg. 4, 7-12);

c) per quanto concerne le misure supplementari di tipo tecnico implementate, queste “devono considerarsi adeguate” dato che, con particolare riferimento ai meccanismi di cifratura adottati nel caso di specie, “l’inadeguatezza di [tale] singola misura supplementare (…) non è sufficiente (…) ad invalidare l’efficacia di tutto l’insieme delle misure supplementari adottate, che, nel loro complesso, garantiscono un livello di rischio trascurabile” (v. nota del 28 gennaio 2022, pagg. 12-13); inoltre la Società ha fatto presente che “la misura della crittazione con la conservazione della chiave presso IlMeteo, suggerita dalla Raccomandazione EDPB 1/2020, non era affatto praticabile considerando il tipo di servizio in questione” (v. nota del 28 gennaio 2022, pag. 8);

d) relativamente al livello di autonomia della Società in merito alle scelte relative ai trasferimenti di dati verso Paesi terzi, IlMeteo S.r.l. ha ribadito che in ragione della posizione rivestita da Google nel mercato, “la valutazione di adeguatezza delle misure è rimasta nell’ambito del servizio fornito da Google e delle funzioni rese disponibili da quest’ultimo a protezione dei dati personali” (v. nota del 28 gennaio 2022, pag. 6);

e) in ordine all’inidoneità dell’informativa resa ex art. 13 del Regolamento, la stessa è stata aggiornata dalla Società secondo le indicazioni fornite dall’Autorità nella notifica di violazione trasmessa ai sensi dell’art. 166, comma 5 del Codice (v. nota del 28 gennaio 2022, pag. 16).

2. Osservazioni sulla normativa in materia di protezione dei dati personali rilevante nel caso di specie e violazioni accertate.

In primis si rappresenta che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”.

Tanto doverosamente premesso, all’esito dell’attività istruttoria e dell’esame della documentazione acquisita nel corso della stessa è stato accertato che i trasferimenti effettuati da IlMeteo S.r.l. verso Google LLC (con sede negli Stati Uniti), per il tramite dello strumento di Google Analytics (di seguito anche “GA”), sono stati posti in essere in violazione degli artt. 44 e 46 del Regolamento; si rileva, altresì, che sono emerse le violazioni dell’art. 5, par. 1, lett. a) e par. 2, dell’art. 13, par. 1, lett. f), e dell’art. 24, del Regolamento, come di seguito esplicitato.

2.1 I trasferimenti di dati personali verso gli Stati Uniti effettuati per il tramite di Google Analytics.

Google Analytics è uno strumento di web analytics fornito da Google ai gestori di siti internet che consente a questi ultimi di analizzare dettagliate statistiche sugli utenti nell’ottica di ottimizzare i servizi resi e di monitorare le proprie campagne di marketing.

IlMeteo S.r.l. utilizza GA nella sua versione gratuita per il perseguimento di finalità meramente statistiche, ovvero volte ad ottenere informazioni aggregate sull’attività degli utenti all’interno del proprio sito web. La stessa agisce in qualità di titolare del trattamento e designa Google responsabile, ai sensi dell’art. 28 del Regolamento, sulla base dei “Google Analytics Terms of Service” e dei “Google Ads Data Processing Terms”.

Più nello specifico, nel caso in esame, Google LLC ha rivestito, fino al 30 aprile 2021, il ruolo di responsabile del trattamento dei dati raccolti tramite Google Analytics a fronte della sottoscrizione dei “Google Analytics Terms of Service”.

A partire dal 1° maggio 2021 è subentrata, quale controparte contrattuale dei medesimi “Google Analytics Terms of Service”, Google Ireland Limited che, ai sensi dei predetti termini di servizio, può avvalersi di altri soggetti, in qualità di sub-responsabili del trattamento, fra cui Google LLC.

Per quanto concerne il trattamento effettuato tramite GA, è stato rilevato che IlMeteo S.r.l. raccoglie, mediante cookies trasmessi al browser degli utenti, informazioni in ordine alle modalità di interazione di questi ultimi con il sito web, nonché con le singole pagine e con i servizi proposti. Più nel dettaglio, i dati raccolti consistono in: identificatori online unici che consentono sia l’identificazione del browser o del dispositivo dell’utente che visita il sito web, sia del gestore stesso del sito (attraverso l’ID account Google); indirizzo, nome del sito web e dati di navigazione; indirizzo IP del dispositivo utilizzato dall’utente; informazioni relative al browser, al sistema operativo, alla risoluzione dello schermo, alla lingua selezionata, nonché a data e ora della visita al sito web.

Al riguardo, merita evidenziare che l’indirizzo IP costituisce un dato personale nella misura in cui consenta di identificare un dispositivo di comunicazione elettronica, rendendo pertanto indirettamente identificabile l’interessato in qualità di utente (v. Gruppo ex art. 29, WP 136 - Parere n. 4/2007 sul concetto di dati personali, del 20 giugno 2007, pag. 16). Tutto ciò soprattutto ove, come nel caso di specie, l’IP sia associato ad altre informazioni relative al browser utilizzato, alla data e all’ora della navigazione (cfr. considerando 30 del Regolamento).

A questo si aggiunga che, qualora il visitatore del sito web faccia accesso al proprio account Google –circostanza, peraltro verificatasi nell’ipotesi in esame, che può essere numericamente molto rilevante– e abbia selezionato alcune opzioni in tale account (ad esempio quella volta alla ricezione di pubblicità personalizzata), i dati sopra indicati possono essere associati ad altre informazioni presenti nel relativo account, quali l’indirizzo email (che costituisce l’user ID dello stesso), il numero di telefono ed eventuali ulteriori dati personali tra cui il genere, la data di nascita o l’immagine del profilo dell’utente. Inoltre, l’avvenuta adesione, da parte della Società, al servizio Google Signals consente di effettuare analisi più accurate sugli utenti loggati, esaminandone il comportamento in modalità cross-device qualora interagiscano con il sito www.ilmeteo.it da più browser e dispositivi.

Resta comunque fermo che, indipendentemente dall’accesso all’account Google, l’indirizzo IP può ad ogni modo consentire ‒soprattutto, come sopra già esplicitato, ove associato ad altre informazioni relative al browser utilizzato e alla data e all’ora della navigazione‒ di identificare un dispositivo di comunicazione elettronica e, quindi, indirettamente l’utente.

Nell’ambito del servizio GA, Google ha inoltre messo a disposizione dei gestori dei siti web l’opzione denominata “IP-Anonymization” che comporta l’invio a Google Analytics dell’indirizzo IP dell’utente previo oscuramento dell’ottetto meno significativo (in base a tale operazione, ad esempio, gli indirizzi da 122.48.54.0 a 122.48.54.255 sarebbero sostituiti da 122.48.54.0). Nel caso di specie, la Società ha dichiarato che la suddetta opzione è stata attivata in via definitiva a fine novembre 2020, e che, alla data di presentazione del reclamo, erano in corso alcuni test volti a verificare l’impatto della funzione di anonimizzazione dell’indirizzo IP sulla reportistica di GA (v. nota del 28 gennaio 2022, pag. 13; cfr. anche nota del 15 settembre 2021, pag. 11). 

Sul punto, merita evidenziare che l’“IP-Anonymization” consiste di fatto in una pseudonimizzazione del dato relativo all’indirizzo di rete dell’utente, poiché, a differenza di quanto sostenuto dalla Società al riguardo (v. supra par. 1, punto b), il troncamento dell’ultimo ottetto non impedisce a Google LLC di re-identificare l’utente medesimo, tenuto conto delle informazioni complessivamente detenute dalla stessa relative agli utenti del web. Sussiste, poi, in capo alla medesima Google LLC la possibilità −qualora l’interessato abbia effettuato l’accesso al proprio profilo Google− di associare, come già evidenziato, l’indirizzo IP ad altre informazioni aggiuntive già in suo possesso (quali le informazioni contenute nell’account utente). Pertanto, nonostante l’attivazione dell’“IP-Anonymization”, è comunque possibile la re-identificazione dell’utente.

In secondo luogo, in ordine alla circostanza rappresentata dalla Società che l’operazione di troncamento dell’ottetto meno significativo sia effettuata, salvo casi eccezionali, su server di prossimità, ovvero, nel caso di specie, situati nell’Unione europea (v. supra par. 1, punto b), si rileva che non sono state chiarite le menzionate casistiche di eccezionalità né sono state indicate le probabilità che il trattamento dell’IP sia posto in essere negli Stati Uniti. Non è pertanto possibile escludere che l’indirizzo IP, nella sua interezza, sia trasmesso ai sistemi di Google LLC, prima dell’operazione di troncamento, con il rischio che lo stesso sia oggetto di accesso da parte delle Autorità governative statunitensi.

Per tutte le ragioni suesposte, si ritiene, pertanto, che Google LLC sia in grado di identificare comunque un utente in modo diretto (qualora si tratti di utenti autenticati) ovvero tramite l’indirizzo IP, ricevuto prima dell’operazione di IP-Anonymization, o, ancora, tramite re-identificazione effettuata sulla base dell’indirizzo IP privo dell’ultimo ottetto in combinazione con le altre informazioni in suo possesso.

Alla luce delle considerazioni complessivamente effettuate, non può essere dunque accolto quanto sostenuto da IlMeteo S.r.l. in ordine alla circostanza che non abbia luogo alcun trasferimento di dati personali in ragione dell’avvenuta anonimizzazione degli indirizzi IP degli utenti del sito www.ilmeteo.it. (v. supra, par. 1, punto b).

Considerato quindi che, per tutte le ragioni sopra espresse, l’utilizzo di GA, da parte dei gestori dei siti web −quale IlMeteo S.r.l.− comporta il trasferimento dei dati personali dei visitatori dei suddetti siti a Google LLC con sede negli Stati Uniti; trattandosi di trasferimenti effettuati verso un paese terzo che non garantisce un livello di protezione adeguato ai sensi della normativa di protezione dei dati (ossia gli Stati Uniti), gli stessi devono essere posti in essere in conformità al Capo V del Regolamento.

2.2 L’illiceità dei trasferimenti a seguito della pronuncia C-311/18, del 16 luglio 2020, c.d. Schrems II.

Si rammenta che la Corte di Giustizia dell’Unione Europea, con la pronuncia C-311/18, del 16 luglio 2020 (c.d. Schrems II), nel dichiarare l’invalidità della decisione della Commissione UE n. 2016/1250 del 12 luglio 2016, sull’adeguatezza della protezione offerta dal regime dello scudo UE-USA per la privacy (c.d. Privacy Shield), ha constatato che il diritto interno degli Stati Uniti (in particolare l’Executive Order 12333 e l’art. 702 del Foreign Intelligence Surveillance Act - di seguito “FISA 702”) comporta deroghe alla normativa in materia di protezione di dati che eccedono le restrizioni ritenute necessarie in una società democratica. Tutto ciò con particolare riferimento alle disposizioni che consentono alle Autorità pubbliche, nel quadro di determinati programmi di sicurezza nazionale, di accedere senza adeguate limitazioni ai dati personali oggetto di trasferimento, nonché alla mancata previsione di diritti, in capo ai soggetti interessati, azionabili in sede giudiziaria.

La Corte, con la medesima pronuncia, ha inoltre ribadito la validità della decisione n. 2010/87/CE della Commissione del 5 febbraio 2010 concernente le clausole contrattuali tipo per il trasferimento di dati personali a responsabili stabiliti in paesi terzi – clausole adottate da IlMeteo S.r.l. nel caso di specie. Al contempo ha puntualizzato che, in base al principio di accountability, i titolari del trattamento, in qualità di esportatori, sono comunque tenuti a verificare, caso per caso e, ove necessario, in collaborazione con l’importatore nel paese terzo, se la legge o la prassi di quest’ultimo incidano sull’efficacia delle garanzie adeguate contenute nelle predette clausole; ciò al fine di determinare se le garanzie previste dalle clausole contrattuali tipo possano essere rispettate nella pratica (art. 5, par. 2, e art. 24; cfr. anche Raccomandazione n. 1/2020 relativa alle misure che integrano gli strumenti di trasferimento al fine di garantire il rispetto del livello di protezione dei dati personali dell’UE, del 18 giugno 2021, paragrafi 1-5).

In termini generali, occorre dunque valutare, in concreto, ossia sulla base delle circostanze del trasferimento, se lo strumento prescelto dall’esportatore, tra quelli individuati dall’art. 46 del Regolamento, sia efficace nel caso specifico.

Tale esame, come rilevato dal Comitato europeo per la protezione dei dati - di seguito “EDPB” (v. Raccomandazione n. 1/2020, cit., pag. 4), deve “concentrarsi innanzitutto sulla legislazione del paese terzo [e sulle prassi applicabili] rilevant[i] per il trasferimento [nonché] sullo strumento di trasferimento [individuato] ai sensi dell’articolo 46 del RGPD” al fine di verificare che la predetta legislazione e le suddette prassi non impediscano, di fatto, il rispetto, da parte dell’importatore, degli obblighi previsti dallo strumento utilizzato. Più nel dettaglio, la valutazione di cui sopra “comporta l’esigenza di determinare se il trasferimento in questione rientri o meno nell’ambito di applicazione della [sovra citata normativa]”. Essa deve “essere basata su fattori oggettivi, indipendentemente dalla probabilità di accesso ai dati personali” (v. Parere congiunto 2/2021 dell’EDPB e del GEPD sulla decisione di esecuzione della Commissione europea relativa alle clausole contrattuali tipo per il trasferimento di dati personali verso paesi terzi, adottato il 14 gennaio 2021, par. 86).

Rilevano a tal fine le caratteristiche dello specifico trasferimento posto in essere quali: le finalità, la natura dei soggetti coinvolti, il settore in cui avviene il trasferimento, le categorie dei dati personali trasferiti, la circostanza che i dati siano conservati nel paese terzo o vi si acceda da remoto, il formato dei dati da trasferire e gli eventuali trasferimenti successivi (v. Raccomandazione n. 1/2020, cit., par. 33).

La valutazione richiesta all’esportatore, dunque, deve concentrarsi sulla legislazione e sulle prassi applicabili, nel paese terzo, ai dati specificamente trasferiti e comportare la verifica della “possibilità o meno, per le autorità pubbliche del paese terzo (…) di tentare di accedere ai dati” nonché della “capacità o meno, per le autorità pubbliche del paese terzo (…) di accedere ai dati attraverso l’importatore stesso o attraverso i fornitori di telecomunicazioni o i canali di comunicazione” (v. Raccomandazione n. 1/2020, cit., par. 31).

In merito alla predetta possibilità di accesso, da parte delle Autorità statunitensi, peraltro, occorre considerare che essa trova conferma nel “Transparency report on United States national security requests for user information” messo a disposizione da Google sul proprio sito (reperibile al seguente link https://transparencyreport.google.com/user-data/us-national-security?hl=en); report ove sono riportati i dati numerici inerenti alle richieste di accesso ricevute da Google, ai sensi del FISA 702, su istanza delle Autorità statunitensi.

Tanto doverosamente premesso, con riferimento a quanto sostenuto dalla Società rispetto a tali profili nelle proprie memorie difensive, merita evidenziare che:

- in ordine alla valutazione di idoneità delle misure supplementari adottate nel caso di specie (v. supra, par. 1, punto a), la Società ha innanzitutto preso in considerazione elementi diversi da quelli contemplati dall’EDPB, ossia: la “capacità identificativa molto limitata” (v. di contro, supra, par. 2.1) e lo “scarso rilievo” per le attività di intelligence delle informazioni oggetto di trasferimento in ragione della natura del sito www.ilmeteo.it”; l’asserita “circostanza che svariati milioni di siti nel mondo utilizzino Google Analitycs”; il fatto che “dal lancio del servizio ad oggi Google non abbia mai ricevuto da Autorità pubbliche statunitensi richieste di accesso ai dati trattati tramite Google Analitycs” (v. nota del 28 gennaio 2022, pagg. 3, 4 e 7). La stessa ha inoltre basato la predetta valutazione sulla probabilità che “le Autorità Statunitensi (…) cerchino effettivamente di ottenere dati relativi alla visita di (…) un qualunque utente a un sito web italiano che fornisce previsioni meteo, pubblicamente accessibile, nell’ambito dell’acquisizione di ‘informazioni di intelligence straniera” (v. nota del 28 gennaio 2022, pagg. 7-8). Sul punto, di contro, si ribadisce che la Corte, nella succitata pronuncia, non ha fatto riferimento ad “alcun fattore soggettivo, come ad esempio, la probabilità di accesso” ai dati personali trasferiti (v. Parere congiunto 2/2021 dell’EDPB e del GEPD, cit., par. 87);

- relativamente alle limitazioni addotte dalla Società rispetto alla tipologia di dati che possono essere oggetto di accesso ai sensi del FISA 702 (v. supra, par. 1, punto a), anche l’indirizzo IP è ricompreso tra le informazioni d’interesse per le Autorità statunitensi unitamente ad altri metadata; circostanza che emerge peraltro dal “Transparency report on United States national security requests for user information” messo a disposizione da Google sul proprio sito web (v. in particolare, la descrizione contenuta nella sezione denominata “non-content requests under FISA”, che riporta espressamente il riferimento anche a “non-content metadata”, quali gli indirizzi IP).

2.3. Inidoneità delle misure supplementari adottate dal titolare del trattamento.

Qualora, a seguito della valutazione di cui sopra, si rilevi che la legislazione e le prassi del paese terzo impediscano all’importatore di rispettare gli obblighi previsti dallo strumento di trasferimento prescelto, come constatato nel caso di specie, gli esportatori devono adottare misure supplementari che garantiscano un livello di protezione dei dati personali sostanzialmente equivalente a quello previsto dal Regolamento (cfr. Raccomandazione n. 1/2020, cit., paragrafi 50-57, che reca l’indicazione dei criteri ai fini dell’individuazione delle misure da adottare).

Al riguardo, in ordine alle misure supplementari di natura tecnica, ma anche contrattuale e organizzativa, adottate nell’ipotesi in esame (v. supra par. 1, punto c), merita rilevare quanto segue.

Le misure di natura tecnica consistono nell’adozione di meccanismi di cifratura dei dati, durante il trasferimento fra sistemi (in transit) e quando sono memorizzati nei sistemi (at rest).
La cifratura in transito è adottata ove i dati siano trasferiti fra diversi sistemi, servizi o data center attraverso reti o infrastrutture non controllate dalla Società (es.: reti geografiche).

La cifratura at rest riguarda invece i dati dell’utente che sono memorizzati su unità disco o in unità di backup e si basa sulla cifratura dei dati mediante algoritmi standard (in genere tramite AES256) e sulla cifratura, a diversi livelli, a partire dalla cifratura a livello hardware, in base al tipo di applicazione e ai rischi specifici. L’accesso ai data center di Google LLC è protetto da 6 livelli di misure di sicurezza fisica.

In merito, si evidenzia che, tenuto conto delle indicazioni rese dall’EDPB nella Raccomandazione n. 1/2020, le misure tecniche summenzionate non risultano adeguate.

In ordine ai meccanismi di cifratura dei dati sopra evidenziati, essi, infatti, non sono sufficienti ad evitare i rischi di un accesso, ai fini di sicurezza nazionale, ai dati trasferiti dall’Unione europea da parte delle Autorità pubbliche degli Stati Uniti, in quanto le tecniche di cifratura adottate prevedono che la disponibilità della chiave di cifratura sia in capo a Google LLC che la detiene, in qualità di importatore, in virtù della necessità di disporre dei dati in chiaro per effettuare elaborazioni e fornire servizi. Merita inoltre evidenziare che l’obbligo di consentire l’accesso, da parte delle Autorità statunitensi, ricade su Google LLC non solo con riferimento ai dati personali importati, ma anche in ordine alle eventuali chiavi crittografiche necessarie per renderli intelligibili (v. anche Raccomandazione 1/2020, cit., par. 81).
Da ciò ne consegue che, fintanto che la chiave di cifratura rimanga nella disponibilità dell’importatore, le misure adottate non possono ritenersi adeguate (v. Raccomandazione 1/2020, cit., par. 95).

Ciò anche tenuto conto di alcune misure contrattuali e organizzative consistenti nello specifico nell’impegno a:

verificare, ai sensi della normativa statunitense, la legittimità di ogni singola richiesta di accesso ai dati degli utenti oggetto di trasferimento da parte delle Autorità pubbliche, valutandone la proporzionalità; non accogliere la stessa ove, a seguito di un’attenta valutazione, si concluda che non sussistano i presupposti in base alla normativa di riferimento;

comunicare tempestivamente all’interessato le richieste di accesso provenienti dalle Autorità pubbliche statunitensi, salvo che tale comunicazione sia vietata dalla relativa normativa, informando ad ogni modo l’interessato qualora il divieto di cui sopra venga revocato;

pubblicare un “Transparency Report” recante una sintesi delle richieste di accesso ai dati ricevute da parte delle Autorità pubbliche statunitensi, nella misura in cui tale pubblicazione sia consentita dalla relativa normativa;

pubblicare la policy di gestione delle richieste di accesso ai dati degli utenti oggetto di trasferimento da parte delle Autorità pubbliche statunitensi.

Al riguardo, stante quanto sostenuto dalla Società (v. supra, par. 1, punto c), si rileva che, come considerato dall’EDPB, “la combinazione di misure diverse che si integrino e supportino a vicenda può [al più] migliorare il livello di protezione e può quindi contribuire a raggiungere gli standard dell’Unione”, ma comunque le misure contrattuali e organizzative quali quelle sopra indicate, di per sé, non possono ridurre o impedire le possibilità di accesso ai dati oggetto di trasferimento da parte delle Autorità statunitensi. “Vi saranno infatti situazioni” ‒come emerge nell’ipotesi in esame‒ “in cui solo misure tecniche adeguatamente attuate potrebbero impedire o rendere inefficace l’accesso ai dati personali da parte delle autorità pubbliche dei paesi terzi, in particolare a fini di sorveglianza” (cfr. Raccomandazione 1/2020, cit., paragrafi 52-53).

Alla luce di quanto complessivamente sopra rappresentato, pertanto, le misure supplementari, adottate nel caso di specie, non possono considerarsi adeguate con conseguenziale illiceità, ai sensi dell’art. 44 e dell’art. 46 del Regolamento, dei relativi trasferimenti di dati personali verso gli Stati Uniti.

2.4 Accountability del titolare.

Il titolare è tenuto a mettere in atto “misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al [Regolamento]” (c.d. principio di accountability; cfr. art. 5, par. 2 e art. 24, par. 1 del Regolamento).

Spetta dunque proprio al titolare il compito di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali nel rispetto della normativa rilevante in materia. Il Regolamento, infatti, pone con forza l’accento sulla “responsabilizzazione” del titolare, ossia, sull’adozione di comportamenti proattivi tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione della disciplina di protezione dei dati personali (si veda, in particolare l’art. 24 del Regolamento).

L’attuazione del principio di accountability con riferimento ai trasferimenti di dati verso paesi terzi, pone, in capo al titolare in qualità di esportatore, la responsabilità di verificare, caso per caso e, ove necessario, in collaborazione con l’importatore nel paese terzo, se la legge o la prassi di quest’ultimo incidano sull’efficacia delle garanzie adeguate contenute negli strumenti di trasferimento di cui all’articolo 46 del Regolamento.

In tali casi, l’esportatore è tenuto ad adottare, in applicazione di tale principio, misure supplementari che consentano all’importatore di rispettare gli obblighi previsti dallo strumento adottato a sensi dell’art. 46 del Regolamento; tutto ciò al fine di assicurare che il livello di protezione delle persone fisiche garantito dal Regolamento non sia pregiudicato (v. art. 44 del Regolamento; cfr. al riguardo, Raccomandazione 1/2020, cit., paragrafi 1-5).

Per tutte le ragioni su esposte, ferma restando la rilevata inidoneità delle misure supplementari adottate nel caso di specie, non può essere accolto quanto sostenuto da IlMeteo S.r.l. in ordine alla mancanza di autonomia della stessa rispetto alle decisioni da assumere in merito al trasferimento di dati verso paesi terzi (v. supra, par. 1, punto d); ciò considerato che la Società, in ragione del ruolo rivestito ai sensi della disciplina di protezione dei dati personali, è tenuta, come già chiarito, a mettere in atto, anche nel contesto dei trasferimenti transfrontalieri, misure adeguate ed efficaci a tutela dei diritti e delle libertà degli interessati e ad essere in grado di dimostrare la conformità delle stesse al Regolamento.

Alla luce delle considerazioni di cui sopra, nel porre in essere la condotta descritta, IlMeteo S.r.l. ha quindi violato gli artt. 5, par. 2, e 24, del Regolamento.

2.5. Inidoneità dell’informativa resa ai sensi dell’art. 13 del Regolamento.

Con riferimento alle informazioni che devono essere rese all’interessato, ai sensi dell’art. 13 del Regolamento, si fa presente che, nell’informativa fornita al reclamante sul sito www.ilmeteo.it, all’atto della raccolta dei dati che lo riguardano (v. nota del 15 settembre 2021, allegato 10) non era pienamente conforme alle disposizioni contenute nell’art. 13, par. 1, lett. f) del Regolamento.

Invero, in considerazione del fatto che i dati personali devono essere “trattati in modo lecito, corretto e trasparente nei confronti dell’interessato” (art. 5, par. 1, lett. a), del Regolamento), il titolare del trattamento, qualora sia posto in essere un trasferimento di dati personali, ha l’obbligo, nel rispetto del principio di trasparenza, di rendere edotti gli interessati anche in ordine “all’intenzione di trasferire dati personali a un paese terzo” nonché “all’esistenza o l’assenza di una decisione di adeguatezza della Commissione o, nel caso dei trasferimenti di cui all'articolo 46 o 47, o all’articolo 49, paragrafo 1, secondo comma, il riferimento alle garanzie appropriate o opportune e i mezzi per ottenere una copia di tali garanzie o il luogo dove sono state rese disponibili” (art. 13, par. 1, del Regolamento).

Al riguardo, nel prendere comunque atto dell’avvenuto aggiornamento nei termini suddetti dell’informativa da rendere agli utenti sul sito www.ilmeteo.it (cfr. “Privacy e cookies policy per i visitatori” reperibile all’indirizzo https://www.ilmeteo.it/portale/privacy/?refresh_ce; v. supra par. 1, punto e), si rileva che il modello a suo tempo fornito da IlMeteo S.r.l. al reclamante nel caso di specie, non definiva chiaramente tutti gli elementi di cui all’art. 13, par. 1, lett. f) del Regolamento concernenti il trasferimento.

Ne consegue, pertanto, con riferimento a tale modello, la violazione dell’art. 5, par. 1, lett. a) e dell’art. 13, par. 1, lett. f), del Regolamento.

3. Conclusioni: dichiarazione di illiceità del trattamento. Provvedimenti correttivi ex art. 58, par. 2 del Regolamento.

Per i suesposti motivi l’Autorità ritiene che le dichiarazioni, la documentazione e le ricostruzioni fornite dal titolare del trattamento nel corso dell’istruttoria, non consentano di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e che risultino pertanto inidonee a disporre l’archiviazione del presente procedimento, non ricorrendo peraltro alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Il trattamento dei dati personali effettuato dalla Società risulta quindi illecito, nei termini complessivamente sopra indicati, in relazione all’art. 5, par. 1, lett. a) e par. 2, all’art. 13, par. 1, lett. f), all’art. 24, e agli artt. 44 e 46, del Regolamento.

La violazione delle disposizioni sopra richiamate comporta l’applicazione delle sanzioni amministrative previste dall’art. 83, par. 5, lettere a), b) e c), del Regolamento.

Al riguardo, con riferimento agli elementi da prendere in considerazione al fine di valutare se infliggere una sanzione amministrativa pecuniaria (art. 83, par. 2, del Regolamento), si rileva in primis che, in relazione alla natura e alla gravità della violazione, le operazioni di trattamento oggetto di contestazione non hanno avuto ad oggetto categorie particolari di dati personali. 

Con riguardo all’elemento soggettivo del trasgressore, occorre considerare che IlMeteo S.r.l. –stante l’asimmetria di potere contrattuale derivante dalla primaria posizione di mercato assunta da Google nel settore dei servizi di web analytics– ha erroneamente assunto come idonee, sulla base delle informazioni rese da Google, le misure supplementari adottate da quest’ultima senza esercitare alcun potere decisionale in merito alle stesse.

Relativamente alle misure adottate dalla Società per attenuare il danno subito dagli interessati, si prende altresì atto delle iniziative intraprese dal titolare del trattamento, concernenti l’aggiornamento del testo dell’informativa presenti sul sito internet della Società e l’adesione all’opzione di “IP-Anonymization” messa a disposizione da Google; misura quest’ultima implementata a seguito della notifica di violazione ex art. 166, comma 5 del Codice (v. nota del 28 gennaio 2022, pagg. 13-16).

Inoltre, ai fini delle valutazioni dell’Autorità, rilevano anche l’assenza di precedenti violazioni e l’attività di leale collaborazione con il Garante nel corso del procedimento.

La natura e la gravità della violazione, il carattere colposo della stessa, nonché gli ulteriori elementi sopra richiamati inducono pertanto a qualificare la fattispecie in esame come “violazione minore” (v. art. 83, par. 2, e cons. 148 del Regolamento).

Si ritiene, quindi, che, relativamente al caso di specie, occorra ammonire il titolare del trattamento, ai sensi degli artt. 143 del Codice e 58, par. 2, lett. b), del Regolamento, per aver effettuato un trattamento in violazione dell’art. 5, par. 1, lett. a) e par. 2, dell’art. 13, par. 1, lett. f), dell’art. 24, e degli artt. 44 e 46, del Regolamento.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019, concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO IL GARANTE:

a) ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, dichiara l’illiceità del trattamento dei dati personali degli utenti del sito www.ilmeteo.it posto in essere, per il tramite di Google Analytics, da IlMeteo S.r.l. con sede in Padova, P.I. 05184350287, in ordine alla violazione degli artt. 5, par. 1, lett. a) e par. 2, dell’art. 13, par. 1, lett. f), dell’art. 24, e degli artt. 44 e 46, del Regolamento;

b) ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, ingiunge a IlMeteo S.r.l. di conformare al Capo V del Regolamento entro il termine di novanta giorni dalla notifica del presente provvedimento, il trattamento di dati personali degli utenti del sito www.ilmeteo.it effettuato per il tramite di Google Analytics, adottando misure supplementari adeguate;

c) ai sensi dell’art. 58, par. 2, lett. j), del Regolamento, ordina la sospensione dei flussi, verso Google LLC con sede negli Stati Uniti, dei dati personali sopra individuati, ove IlMeteo S.r.l. non ottemperi a quanto stabilito al punto b) del presente dispositivo entro il termine ivi previsto;

d) ai sensi del considerando 148 e dell’art. 58, par. 2, lett. b), del Regolamento ammonisce IlMeteo S.r.l. per aver effettuato un trattamento di dati personali in violazione degli artt. 5, par. 1, lett. a) e par. 2, dell’art. 13, par. 1, lett. f), dell’art. 24, e degli artt. 44 e 46, del Regolamento;

e) ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019, concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi del 157 del Codice, richiede a IlMeteo S.r.l. di comunicare quali iniziative siano state intraprese al fine di dare attuazione a quanto disposto nel presente provvedimento e di fornire comunque riscontro adeguatamente documentato, entro il termine di novanta giorni dalla data della notifica della presente decisione; l’eventuale mancato riscontro può comportare l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, lett. e) del Regolamento.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. del 1° settembre 2011, n. 150, avverso il presente provvedimento è possibile proporre ricorso dinanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 7 luglio 2022

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE
Mattei