GARANTE PRIVACY: stop all’uso dei Google Analytics
L’Autorità Garante per la protezione dei dati personali italiana con un comunicato stampa del 23 giugno u.s. ha reso noto che – a seguito della conclusione delle complesse operazioni istruttorie avviate a fronte della presentazione di alcuni reclami e coordinandosi con altre autorità privacy europee – il sito web che utilizza il servizio Analytics di Google (GA), senza le garanzie previste dal Regolamento UE, viola la normativa sulla protezione dei dati perché trasferisce negli Stati Uniti, Paese privo di un adeguato livello di protezione, i dati degli utenti.
La decisione del Garante Italiano segue un orientamento che già a partire dai primi mesi dell’anno 2021 ha iniziato ad affermarsi tra diverse Autorità Garanti europee (prime fra tutte la francese e la austriaca) in risposta alla presentazione di centinaia di reclami contro il servizio GA da parte degli utenti e che ha trovato la sua origine nella sentenza della Corte di Giustizia dell’UE n. C-311/18 del 16 luglio 2020 che indirettamente ha dichiarato (invalidando la decisione della Commissione della Unione Europea n. 1250 del 2016) l’inadeguatezza del sistema di protezione garantito dall’accordo Privacy Shield.
Nello specifico, soffermandosi sulla decisione italiana, durante l’indagine condotta – specifica il Garante – è emerso che i gestori dei siti internet che hanno in uso il servizio GA effettuano, mediante l’utilizzo dei cookie, una raccolta, da una parte, di informazioni attinenti alle interazioni degli utenti con i siti internet in oggetto (con particolare riferimento sia alle singole pagine che vengono visitate dagli utenti sia ai servizi proposti) e dall’altra, di molteplici dati tra cui l’indirizzo IP del dispositivo dell’utente e informazioni relative al sistema operativo browser, al sistema operativo, alla risoluzione dello schermo, alla lingua selezionata, nonché data e ora della visita al sito web.
Tutte le informazioni di cui sopra sono risultate essere oggetto di trasferimento all’estero e in particolare negli USA con particolare evidenza della possibilità per le Autorità governative e le agenzie di intelligence statunitensi, di accedere ai dati personali trasferiti senza le dovute garanzie, rilevando al riguardo che, alla luce delle indicazioni fornite dall’EDPB (Raccomandazione n. 1/2020 del 18 giugno 2021), le misure che integrano gli strumenti di trasferimento adottate da Google non garantiscono, allo stato, un livello adeguato di protezione dei dati personali degli utenti.
Il Garante, ribadendo la natura di dato personale dell’indirizzo IP (anche nel caso in cui fosse troncato, a fronte della capacità di Google di poterlo arricchire con ulteriori dati di cui è in possesso), ha dichiarato l’illiceità del trattamento.
Il Garante al termine della disamina e degli accertamenti di cui sopra ha adottato, nei confronti del gestore del sito internet interessato nella fattispecie concreta, quello che sarà il primo di una serie di provvedimenti di ammonimento volto a ingiungere il raggiungimento di una compliance al Regolamento europeo – mediante l’adozione di misure adeguate per il trasferimento verso gli Stati Uniti – entro novanta giorni; tempistica ritenuta congrua per porre in essere gli adempimenti richiesti.
In caso di mancato adempimento nei tempi concordati nel provvedimento veniva statuita la sospensione dei dati effettuati.
L’Autorità ha colto l’occasione per sensibilizzare e richiamare l’attenzione dei gestori italiani dei siti internet – sia fi natura pubblica che privata – sulla illiceità dei trasferimenti effettuati verso gli Stati Uniti e ha invitato gli stessi a effettuare una verifica sulla compliance alla normativa dettata in materia di dati personali delle modalità di utilizzo sia dei cookie sia di altri strumenti di tracciamento che possono essere oggetto di utilizzo con particolare attenzione a GA e ad altri servizi analoghi.
Attendendo un nuovo accordo tra l’Unione europea e gli Stati Uniti attinente alla protezione dei dati personali, sono dunque i Titolari del trattamento che in conformità al principio di accountability devono effettuare tutte le valutazioni sul trattamento effettuato e assicurare la sua liceità nonché sugli eventuali rischi derivanti dal trattamento dei dati ponendo in essere, se del caso, tutte le misure organizzative e tecniche al fine di mitigare lo stesso.
Si segnala al riguardo, di elevato interesse, l’intervento del Componente dell’Autorità Garante per la protezione dei dati personali Guido Scorza “Ecco cosa devono sapere le aziende” di cui si consiglia presa visione anche con riferimento alla nuova versione aggiornata del servizio (Google Analytics 4) recentemente rilasciata da Google.
Inoltre, essendo molti i siti web delle pubbliche amministrazioni che utilizzano Google Analytics, nell’ambito del progetto MonitoraPA, a maggio 2022 sono state inviate più di 8000 pec a pubbliche amministrazioni contenenti l”invito a rimuovere il servizio GA.
Le decisioni, appena analizzate, attinenti al servizio Google Analytics fungono da campanello di allarme anche per altri importanti provider che potrebbero presentare la stessa problematica e che stanno intavolando delle valutazioni sulla conformità al GDPR al fine di verificare e di conseguenza evitare l’effettuazione di trasferimenti illeciti di dati personali. Troveranno una soluzione?