Il trasferimento dei dati negli USA attraverso l’uso di Google Analytics viola il GDPR. E’ giunto a questa conclusione il Garante Privacy, che quindi ha imposto alla società Caffeina Media Srl, che gestisce alcuni siti come Caffeina Magazine, di adeguarsi alla normativa, ammonendola per violazioni alle norme sulla data protection.
Una decisione che riguarda in realtà tutte le aziende utilizzatrici di Analytics, ora avvisate dal Garante Privacy. Il problema è che il trasferimento dati all’estero avviene a condizioni che non tutelano abbastanza la privacy per l’attuale normativa europea.
Il caso ha un impatto importante insomma per tutti i siti che utilizzano tali soluzioni.
Indice degli argomenti
Google Analytics illecito in Italia
“Adesso tutte le imprese dovrebbero valutare di dismettere Google Analytics, in quanto sembra incompatibile con la nostra normativa”, dice l’avvocata Anna Cataleta.
Infatti, il Garante in una nota ufficiale si è appellato ai gestori italiani di siti, privati e pubblici, affinché facciano attenzione all’illiceità di eventuali trasferimenti di dati verso gli USA tramite Google Analytics, invitando i titolari del trattamento a vagliare la conformità alla normativa privacy dei modi di uso dei cookie e altri metodi di tracciamento. Per Anna Cataleta, avvocata, senior partner di P4I, “il provvedimento del Garante ribadisce, per la prima volta anche in Italia, le interpretazioni già elaborate dai garanti austriaco e francese dopo la rottura del privacy shield per il trasferimento dati all’estero in seguito alla sentenza della Corte di Giustizia UE del 2020″.
Ecco perché “l’ammonimento alla società Caffeina Media Srl è il primo di una serie di provvedimenti a tema Google Analytics che porranno diverse sfide per un grande numero di organizzazioni e non solo per le società oggetto di provvedimento”.
Google Analytics, le violazioni segnalate dal Garante privacy
L’ammonimento è giunto in conclusione di un’istruttoria avviata dopo la segnalazione di un utente nell’agosto 2020. Il Garante ha accertato il trasferimento di dati personali negli USA, Paese che non garantisce un adeguato grado di tutela, tramite il servizio Google Analytics, rilevando violazioni al GDPR.
In particolare, il Garante privacy, come indicato nell’ammonimento a Caffeina Media Srl, ha accertato “che i trasferimenti effettuati da Caffeina Media S.r.l. verso Google LLC (con sede negli Stati Uniti), per il tramite dello strumento di Google Analytics, sono stati posti in essere in violazione degli artt. 44 e 46 del Regolamento; si rileva, altresì, che sono emerse le violazioni dell’art. 5, par. 1, lett. a) e par. 2, dell’art. 13, par. 1, lett. f), e dell’art. 24, del Regolamento”. Il Garante ha rilevato che Caffeina ha utilizzato la versione gratuita di Analytics, per fini statistici – cioè capire le attività degli utenti sul sito.
La società ha dichiarato di non aver attivato la funzione IP-anonymization, che consente l’invio a Google dell’IP dell’utente in parte oscurato, tuttavia il Garante ha evidenziato che anche se in parte venisse oscurato questo non sarebbe comunque anonimo, poiché Google potrebbe arricchirlo con altre informazioni.
I dati trattati da Google Analytics
Ma quali sono i dati oggetto del trattamento al centro delle contestazioni? È emerso che Caffeina ha raccolto tramite cookie trasmessi al browser dei visitatori, dati come:
- identificatori, che permettono di risalire al browser e al device utilizzato dal visitatore, oltre che al gestore del sito
- indirizzo del sito
- nome del sito
- dati di navigazione
- indirizzo IP dell’utente
- informazioni su sistema operativo, browser, risoluzione schermo, lingua scelta
- data e ora della visita al sito.
Inoltre, spiega il Garante, se il visitatore accede al proprio Google account, è possibile associare i dati elencati a informazioni come l’indirizzo email, il numero di telefono, dati anagrafici come la data di nascita, anche la propria immagine del profilo.
Il provvedimento del Garante privacy su Google Analytics
Il Garante ha sottolineato “che le dichiarazioni, la documentazione e le ricostruzioni fornite dal titolare del trattamento nel corso dell’istruttoria, non consentano di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento”. Dunque ha dato a Caffeina novanta giorni per introdurre adeguate misure per il trasferimento dei dati, in caso contrario si provvederà alla sospensione dei flussi di dati verso gli USA.
Non è stato ritenuto necessario elevare sanzioni pecuniarie.
Gli impatti
Cataleta evidenzia che “in concreto, lo stop all’uso di Google Analytics induce i titolari a scegliere altri prodotti oppure ad implementare misure di sicurezza tecniche per soddisfare i requisiti di garanzia per il trasferimento dei dati negli Stati Uniti (nel rispetto delle Raccomandazioni 01/2020 dell’EDPB), anche se tali misure si sono rivelate di difficile realizzazione”.
E aggiunge: “Vorrei evidenziare comunque che ancora oggi non vi sono i indicazioni pratiche a supporto dei titolari se non strumenti alternativi ai Google Analytics”.
“In questo periodo, iniziato ormai in luglio 2020 con l’invalidazione del Privacy Shield, è fondamentale che le Autorità forniscano un aiuto o un’indicazione di massima per guidare e supportare i gestori di siti web o che si giunga quanto prima ad un nuovo accordo tra Usa ed Europa in merito al trasferimento dati”.
