18/07/2022

NEWS N° 555 LUGLIO 2022 – IL GARANTE VIETA L’UTILIZZO DI GOOGLE ANALYTICS

Per informazioni rivolgersi a:Dott.ssa Carmela Esposito (carmelaesposito@atseco.it)
Reggio Emilia, 18 luglio 2022

Con il provvedimento del 9 giugno 2022, il Garante per la Privacy ha affermato che il sito web che utilizza il servizio Google Analytics (GA), senza le garanzie previste dal Regolamento Ue, viola la normativa sulla protezione dei dati perché trasferisce negli Stati Uniti, Paese privo di un adeguato livello di protezione, i dati degli utenti.

Alcuni giorni fa il Garante italiano per la Protezione dei dati personali, a seguito di un reclamo, ha ammonito una società che utilizzava Google Analytics sul proprio sito web perché avrebbe trasferito dati personali a Google LCC in assenza di garanzie previste dal GDPR.

Al gestore del sito è stata comunicata una sorta di ammonizione: ha novanta giorni di tempo per verificare se sia possibile continuare a utilizzare GA senza l’esportazione verso gli Stati Uniti dei dati, altrimenti dovrà sospenderne l’utilizzo.

Che cos’è Google Analytics?

Si tratta di un servizio gratuito di analisi del sito web con la finalità di mostrare, al titolare del sito, statistiche sugli accessi dei visitatori.

Nello specifico questo servizio è in grado di tracciare il comportamento degli utenti che accedono al sito, monitorando gli accessi e rilevandone le preferenze.

Dall’indagine del Garante è emerso che i gestori dei siti web che utilizzano GA raccolgono, mediante cookie, informazioni sulle interazioni degli utenti con i predetti siti, le singole pagine visitate e i servizi proposti.

Tra i molteplici dati raccolti, indirizzo IP del dispositivo dell’utente e informazioni relative al browser, al sistema operativo, alla risoluzione dello schermo, alla lingua selezionata, nonché data e ora della visita al sito web.

Perché l’utilizzo di Google Analytics è illegittimo?

L’illegittimità di questo servizio deriva dal trasferimento di dati verso gli Stati Uniti che fino a luglio dello scorso anno era disciplinato dal Privacy Shield ma che, a seguito della sentenza Shreems II, è stato dichiarato illegittimo.

In particolare, negli Stati Uniti l’accesso da parte delle agenzie di intelligence ai dati degli utenti avviene molto più facilmente rispetto all’Unione Europea, condizione che può quindi esporre le informazioni personali degli utenti.

GA non raccoglie dati riconducibili direttamente ai singoli utenti, ma registra comunque informazioni rilevanti come l’indirizzo IP (il codice numerico che assumono i dispositivi online), luogo (con una certa approssimazione) e data di accesso al sito visitato, sistema operativo, browser e altre informazioni derivate su base statistica.

Alcuni di questi dati, come l’indirizzo IP, sono considerati informazioni personali e non possono quindi essere trasferiti dall’Unione Europea agli Stati Uniti.

Nel dichiarare l’illiceità del trattamento, infatti, l’indirizzo IP viene considerato un dato personale e anche nel caso fosse troncato non diverrebbe un dato anonimo, considerata la capacità di Google di arricchirlo con altri dati di cui è in possesso

Cosa possono fare le aziende?

Allo stato attuale non vi è ancora nessun accordo tra Europa e Stati Uniti che garantisca la protezione dei dati anche negli USA secondo le normative del GDPR.

Tuttavia, ci sono delle negoziazioni in corso e la speranza è che – nel giro di qualche mese – si trovi una soluzione.

Nel frattempo, occorre valutare tutte le soluzioni proposte dal mercato per garantire la minimizzazione del rischio.

Posto che la funzione di anonimizzazione dell’indirizzo IP (come dichiarato dal Garante) non risulta adeguata a risolvere i problemi di Privacy di Google Analytics consigliamo a tutti i gestori italiani di siti web di verificare se all’interno del proprio sito sia installato Google Analytics e successivamente sospenderlo.

Il tempo indicato dal Garante per consentire al gestore di adottare misure adeguate è di 90 giorni dall’emanazione del provvedimento, pertanto si dovrà procedere alla sospensione di Google Analytics entro il 9 settembre p.v.

Allo scadere del termine di 90 giorni assegnato il Garante procederà a verificare la conformità al Regolamento Ue dei trasferimenti di dati effettuati dai titolari.

Per il momento non possiamo che restare in attesa di ulteriori e più specifiche comunicazione del Garante!!