cookieData Protectionsanzioni Garante privacyIl Garante privacy dichiara l’illiceità del trattamento dei dati effettuati per il tramite di Google Analytics

24 Giugno 2022
https://studioiadecola.it/wp-content/uploads/2022/05/1.png
ASCOLTA ARTICOLO

Articolo pubblicato su mondodiritto.it

Non si fa attendere la decisione dell’Autorità italiana (che segue quella del Garante europeo, francese ed austriaco) sul divieto di trasferimento dei dati degli utenti europei in paesi privi degli adeguati livelli di protezione, come gli Stati Uniti.

Il provvedimento del 9 giugno 2022 avverso Caffeina Media S.r.l.

Traendo spunto da un reclamo di un cittadino avverso una società che gestisce un sito web, il Garante privacy italiano, con il provvedimento del 9 giugno 2022  ha stabilito importanti norme di principio.

Il sito web che utilizza il servizio Google Analytics (GA), senza le garanzie previste dal Regolamento Ue, viola la normativa sulla protezione dei dati perché trasferisce negli Stati Uniti, Paese privo di un adeguato livello di protezione, i dati degli utenti.

Dall’indagine del Garante è emerso che i gestori dei siti web che utilizzano GA raccolgono, mediante cookie, informazioni sulle interazioni degli utenti con i predetti siti, le singole pagine visitate e i servizi proposti. Tra i molteplici dati raccolti, indirizzo IP del dispositivo dell’utente e informazioni relative al browser, al sistema operativo, alla risoluzione dello schermo, alla lingua selezionata, nonché data e ora della visita al sito web. Tali informazioni sono risultate oggetto di trasferimento verso gli Stati Uniti.

Nel dichiarare l’illiceità del trattamento il Garante ha inoltre ribadito che l’indirizzo IP costituisce un dato personale e anche nel caso fosse troncato non diverrebbe un dato anonimo, considerata la capacità di Google di arricchirlo con altri dati di cui è in possesso.

All’esito di tali accertamenti, il Garante ha adottato il primo di una serie di provvedimenti con cui ha ammonito alla società cui il reclamo è stato indirizzato di conformarsi al gdpr entro novanta giorni. Il tempo indicato è stato ritenuto congruo per consentire al gestore di adottare misure adeguate per il trasferimento, pena la sospensione dei flussi di dati effettuati, per il tramite di GA, verso gli Stati Uniti.

Il Garante ha evidenziato, in particolare, la possibilità, per le Autorità governative e le agenzie di intelligence statunitensi, di accedere ai dati personali trasferiti senza le dovute garanzie, rilevando al riguardo che, alla luce delle indicazioni fornite dall’EDPB (Raccomandazione n. 1/2020 del 18 giugno 2021), le misure che integrano gli strumenti di trasferimento adottate da Google non garantiscono, allo stato, un livello adeguato di protezione dei dati personali degli utenti.

Indicazioni del Garante privacy

L’ordinanza in commento è particolarmente interessante nella misura in cui attraverso di essa l’Autorità richiama l’attenzione di tutti i gestori italiani di siti web, pubblici e privati, sull’illiceità dei trasferimenti effettuati verso gli Stati Uniti attraverso GA, anche in considerazione delle numerose segnalazioni e quesiti che stanno pervenendo all’Ufficio. E invita, al contempo, tutti i titolari del trattamento a verificare la conformità delle modalità di utilizzo di cookie e altri strumenti di tracciamento utilizzati sui propri siti web, con particolare attenzione a Google Analytics e ad altri servizi analoghi, con la normativa in materia di protezione dei dati personali.

Allo scadere del termine di 90 giorni assegnato alla società destinataria del provvedimento, il Garante procederà, anche sulla base di specifiche attività ispettive, a verificare la conformità al Regolamento Ue dei trasferimenti di dati effettuati dai titolari.

Conclusioni

Era tempo che ci si attendeva una netta presa di posizione del Garante privacy sull’utilizzo i tale strumento, considerate le pronunce di identico tenore del Garante europeo della protezione dei dati (GEPD) o European Data Protection Supervisor, del Garante privacy francese ed austriaco.

Tanto più che qualche settimana fa un “gruppo di hacker italiani, attiviste e attivisti, cittadine e cittadini attenti alla privacy ed alla tutela dei diritti cibernetici nel nostro Paese: https://privacy.g0v.it”, aveva indirizzato a circa e 8.000 enti pubblici una comunicazione che aveva ad oggetto: “Diffida per l’illecito utilizzo di Google Analytics su c_b504, in violazione del Regolamento generale sulla protezione dei dati personali 2016/679 (GDPR)” nella quale invitava le PPAA riceventi a rimuovere o sostituire questo strumento. Ne avevamo parlato in questo articolo.

Ne era seguita un acceso dibattito che ora, con il provvedimento in commento, ottiene l’atteso placet anche del Garante privacy italiano.

Un ottimo strumento che si candida a naturale sostituto di Google analytrics, almeno per le PP.AA., è Web Analytics Italia, applicazione gratuita di Agid  che offre le statistiche in tempo reale dei visitatori dei siti della Pubblica Amministrazione, fornendo agli operatori dei report dettagliati.

Tra i principali vantaggi viene garantita la proprietà del dato e il suo controllo totale, l’assenza di lock-in tecnologico (facilità nel cambiare piattaforma), l’alta modularità e personalizzabilità della piattaforma, l’assenza di sampling / campionamento (procedura che analizza un sottoinsieme di tutti i dati per scoprire le informazioni più importanti in un set di dati più ampio).

Quale che sia la scelta intrapresa, occorrerà adeguare la documentazione sul trattamento dei dati e dare conto della scelta intrapresa in ossequio al principio di accountability.