GARANTE PRIVACY: STOP ALL'USO DI GOOGLE ANALYTICS?
A nulla è valso l’annuncio congiunto della Commissione Europea e della Casa Bianca americana del 25 marzo di un nuovo accordo di un accordo politico di principio tra la Commissione europea e gli Stati Uniti il 25 marzo su un nuovo Trans-Atlantic Data Privacy Framework, al fine di permettere il trasferimento dei dati personali tra Unione Europea e USA.
Dopo quello delle autorità austriaca e francese arriva lo stop anche dell’Italia: il Garante per la protezione dei dati personali ha comunicato che l’uso di Google Analytics non rispetta il GDPR (Regolamento generale sulla protezione dei dati), in quanto le informazioni raccolte dal servizio vengono inviate negli Stati Uniti.
L’autorità ha adottato un primo provvedimento nei confronti di un editore, ma la questione interessa molti siti web in quanto sono moltissimi i siti che utilizzano gli analytics di Google.
Al termine di una complessa istruttoria, avviata sulla base di una serie di reclami e in coordinamento con altre autorità europee, il Garante ha rilevato che Google Analytics non rispetta la normativa sulla privacy, in quanto i dati vengono trasferiti negli Stati Uniti, un paese che non offre un adeguato livello di protezione per gli utenti.
I siti web che usano Google Analytics raccolgono numerosi dati, tra cui indirizzo IP, tipo di browser, sistema operativo, risoluzione dello schermo, lingua, data e ora. Questi dati vengono utilizzati per ottenere statistiche dettagliate che servono per migliorare il servizio offerto o monitorare la campagna di marketing. Si tratta però di informazioni personali (l’indirizzo IP in particolare) che non possono essere inviate negli Stati Uniti.
Il Garante ha evidenziato, in particolare, la possibilità, per le Autorità governative e le agenzie di intelligence statunitensi, di accedere ai dati personali trasferiti senza le dovute garanzie, rilevando al riguardo che, alla luce delle indicazioni fornite dall’EDPB (Raccomandazione n. 1/2020 del 18 giugno 2021), le misure che integrano gli strumenti di trasferimento adottate da Google non garantiscono, allo stato, un livello adeguato di protezione dei dati personali degli utenti.
Con l’occasione l’Autorità richiama all’attenzione di tutti i gestori italiani di siti web, pubblici e privati, l’illiceità dei trasferimenti effettuati verso gli Stati Uniti attraverso Google Analytics, e invita tutti i titolari del trattamento a verificare la conformità delle modalità di utilizzo di cookie e altri strumenti di tracciamento utilizzati sui propri siti web, con particolare attenzione a Google Analytics e ad altri servizi analoghi, con la normativa in materia di protezione dei dati personali.
Il Garante ha emesso un primo provvedimento nei confronti di una società, ingiungendo alla stessa di adottare le misure adeguate al trasferimento dei dati entro 90 giorni. In caso contrario, alla scadenza dei termini non potrà più utilizzare Google Analytics e potrebbe essere applicata una sanzione amministrativa. Tale provvedimento evidenzia una escalation rispetto a quanto fatto finora in Europa in quanto in Francia e Austria ci si era limitati a una diffida, alla luce appunto dell'attuale incertezza normativa.
Va ricordato comunque che Google a seguito dell’invalidazione del Privacy Shield ha riempito il buco aperto dal blocco stabilito a metà 2020 dalla Corte di Giustizia europea, rendendo disponibile Analytics 4, che a detta di Google, che non registra né archivia gli indirizzi IP, rispettando in tal modo la normativa europea.
Nella sezione Privacy e dati nell'UE di Analytics 4 lanciata a fine maggio, Google evidenzia che vengono eliminati gli indirizzi IP raccolti sugli utenti UE prima di registrare i dati tramite domini e server che si trovano in Europa. Ma non solo, perché consente di disattivare la raccolta dati di Google Signals in base all'area geografica e i dati granulari su località e dispositivo legati al luogo di provenienza (modificando l'impostazione predefinita per disattivare la raccolta, Analytics non raccoglierà più dati ma conserverà tutto lo storico archiviato fino ad allora).
Si invitano i titolari del trattamento a verificare con i proprio Web Master la conformità delle modalità d'uso di cookie e altri strumenti di tracciamento utilizzati sui propri siti web, con attenzione particolare a Google Analytics e ad altri servizi dello stessi tipo, con la normativa in vigore valutando la possibilità di utilizzare altri strumenti come per esempio Web Analytics Italia (WAI) la piattaforma AgID, una soluzione open source di raccolta, analisi e condivisione dei dati di traffico e comportamento utente dei siti web per le delle amministrazioni pubbliche italiane progettata proprio per offrire strumenti di monitoraggio gratuiti e piena aderenza al GDPR.
lo Staff di Studio Gadler