Dopo la Francia e l’Austria, anche il nostro Garante per la Protezione dei Dati Personali si è ufficialmente espresso contro l’utilizzo di Google Analytics.
Afferma il nostro Garante che “Il sito web che utilizza il servizio Google Analytics (GA), senza le garanzie previste dal Regolamento Ue, viola la normativa sulla protezione dei dati perché trasferisce negli Stati Uniti, Paese privo di un adeguato livello di protezione, i dati degli utenti.
La decisione arriva a conclusione di una complessa istruttoria avviata sulla base di una serie di reclami e in coordinamento con altre Autorità Privacy Europee, anche allo scopo di incentivare gli organi europei e statunitensi a trovare – finalmente – un accordo credibile e serio per il trattamento oltreoceano dei dati personali degli europei.
Dall’indagine del Garante è emerso, in particolare, che i gestori dei siti web che utilizzano Google Analytics raccolgono, mediante cookie, informazioni sulle interazioni degli utenti con i predetti siti, le singole pagine visitate e i servizi proposti. Tra i molteplici dati raccolti, ci sono l’indirizzo IP del dispositivo dell’utente, le informazioni relative al browser, al sistema operativo, alla risoluzione dello schermo, alla lingua selezionata, nonché data e ora della visita al sito web. Tali informazioni sono risultate oggetto di trasferimento verso gli Stati Uniti.
Nel dichiarare l’illiceità del trattamento, il Garante ha ribadito che l’indirizzo IP costituisce un dato personale e che, anche nel caso fosse troncato, non potrebbe costituire un dato anonimo, considerata la capacità di Google di arricchirlo con altri dati di cui è in possesso, ottenendo, di fatto, l’identificazione dell’utente.
Poichè è nota la possibilità per le Autorità governative e le agenzie di intelligence statunitensi, di accedere ai dati personali trasferiti senza le dovute garanzie previste in Europa dal GDPR, il nostro Garante ha sottolineato che, alla luce delle indicazioni fornite dall’EDPB (Raccomandazione n. 1/2020 del 18 giugno 2021), le misure che integrano gli strumenti di trasferimento adottate da Google non garantiscono, allo stato, un livello adeguato di protezione dei dati personali degli utenti europei.
In considerazione di quanto sopra, il Garante ha richiamato l’attenzione di tutti i gestori italiani di siti web, pubblici e privati, sull’illiceità dei trasferimenti effettuati verso gli Stati Uniti attraverso Google Analytics e ha invitato tutti i Titolari del trattamento a verificare la conformità delle modalità di utilizzo di cookie e altri strumenti di tracciamento utilizzati sui propri siti web, con particolare attenzione a Google Analytics e ad altri servizi analoghi, con la normativa in materia di protezione dei dati personali vigente in Europa (GDPR).
Ciò significa che, allo scadere del termine di 90 giorni assegnato alla società destinataria del provvedimento qui in commento, il Garante procederà, anche sulla base di specifiche attività ispettive, a verificare la conformità al Regolamento UE dei trasferimenti di dati effettuati da tutti i Titolari del trattamento italiani tramite questi strumenti.
Pertanto, in assenza di contromisure tecniche da parte di Google o di (in così poco tempo, improbabili) accordi internazionali tra UE e USA, qualunque impresa che utilizzerà ancora Google Analytics dopo il 23 settembre 2022 non potrà più dirsi conforme alla normativa europea, con il conseguente rischio di sanzioni, anche a seguito di un banale reclamo da parte di un utente.
La situazione è complessa e di non facile e rapida soluzione, ma occorre essere pronti ad adeguarsi a quanto indicato dal Garante, “senza se e senza ma”, che ci piaccia e lo si condivida o meno.