Si allunga la cavalcata delle autorità privacy europee contro Google Analytics. Ora è la volta di quella francese, il Cnil, dopo quella dell’Austria delle scorse settimane.
Motivo? Sebbene Google abbia introdotto misure aggiuntive per la gestione dei trasferimenti di dati relativamente al servizio di Google Analytics, queste “non sono sufficienti per escludere l’accessibilità di questi dati per i servizi segreti americani”. È la valutazione dell’autorità francese CNIL, garante privacy francese, che ha dichiarato come esista quindi “un rischio per gli utenti francesi di siti web che utilizzano questo servizio e i cui dati vengono esportati”.
Il Cnil ha pertanto ritenuto illegittimi tali trasferimenti e ha ordinato al “gestore di un sito web francese di conformarsi al GDPR e, se necessario, di smettere di usare questo servizio nelle condizioni attuali”.
La decisione fa seguito alle segnalazioni avanzate dall’associazione NOYB che avevano già portato due settimane fa a una presa di posizione dell’autorità austriaca sempre a proposito dell’illegittimità del trasferimento dei dati nell’ambito dell’uso continuativo di Google Analytics. Decisioni che traggono origine dai “101 reclami” che l’associazione che fa riferimento all’attivista Max Schrems ha presentato in seguito alla sentenza “Schrems II” del luglio 2020, con la quale la Corte di giustizia UE ha ritenuto non valido il Privacy Shield.
Google Analytics non rispetta il GDPR, per l’Austria: l’Europa affila le armi privacy
Indice degli argomenti
Google Analytics, la posizione della CNIL
La CNIL nella sua analisi ha ricordato che “i trasferimenti verso gli Stati Uniti non sono attualmente sufficientemente regolamentati. In effetti, in assenza di una decisione di adeguatezza (che stabilirebbe che questo paese offre un livello sufficiente di protezione dei dati rispetto al GDPR) per quanto riguarda i trasferimenti verso gli Stati Uniti, il trasferimento di dati può avvenire solo se vengono fornite garanzie adeguate per questo flusso in particolare”, cosa non avvenuta nel caso di un sito francese che utilizzava Google Analytics.
La CNIL ha rilevato in particolare violazioni “degli articoli 44 e seguenti del GDPR”, ordinando al gestore del sito web francese “di rendere questo trattamento conforme al GDPR, se necessario cessando di utilizzare la funzionalità di Google Analytics (alle condizioni attuali) o utilizzando uno strumento che non comporti un trasferimento al di fuori dell’UE. L’operatore del sito web in questione ha un mese di tempo per conformarsi”, ha comunicato ufficialmente l’autorità francese.
Le raccomandazioni CNIL e la posizione di NOYB
La CNIL ha raccomandato che gli strumenti di misurazione del pubblico come Google Analytics “siano utilizzati solo per produrre dati statistici anonimi, consentendo così una deroga al consenso se il responsabile del trattamento dei dati garantisce che non ci sono trasferimenti illegali”. L’autorità ha inoltre avviato un programma di valutazione al fine di individuare gli strumenti esenti dal consenso. Infatti, l’indagine avviata dalle autorità in materia di protezione dei dati riguarda anche “altri strumenti utilizzati dai siti che comportano il trasferimento di dati degli internauti europei verso gli Stati Uniti. Misure correttive in questo senso potrebbero essere adottate nel prossimo futuro”, conclude la comunicazione ufficiale.
Secondo Max Schrems di Noyb, “È interessante vedere che le diverse autorità europee per la protezione dei dati giungano tutte alla stessa conclusione: l’uso di Google Analytics è illegale. C’è una task force europea e supponiamo che questa azione sia coordinata e che altre autorità decideranno in modo simile”.
