Blog

GOOGLE ANALITYCS E IL TRASFERIMENTO DI DATI NEGLI STATI UNITI: LE NOVITÀ DELLA CNIL

Dopo la decisione del Datenschutzbehörde (DSB) pubblicata il 13 gennaio da NOYOB anche la Commission Nationale de l’Informatique et des Libertés (CNIL) ha dichiarato, oggi 10 febbraio, che l’utilizzo di Google Analytics (GA) viola la disciplina sui trasferimenti di dati personali al di fuori dell’Unione Europea di cui all’art. 44 del GDPR.

Il Garante francese, in linea con l’autorità austriaca, fa seguito alla sentenza “Schrems II” con cui la Corte di Giustizia aveva ritenuto la normativa statunitense non adeguata rispetto alle garanzie richieste da quella europea, in ragione della carenza di strumenti legislativi idonei ad assicurare un’adeguata protezione dei dati personali dei cittadini europei.

Google, che aveva dichiarato pubblicamente che i dati degli interessati trasferiti tramite GA negli Stati Uniti erano adeguatamente protetti, è stata nuovamente smentita in ragione della sempre più nota Section § 702 del FOIA, che permette alle agenzie governative di avere accesso ai database privati di società americane per questione di sicurezza nazionale.

Tuttavia, è opportuno osservare che la CNIL non ha dichiarato l’illiceità dei servizi di GA in sé, bensì il mero trasferimento di dati personali, affermando che il trasferimento negli Stati Uniti potrà continuare qualora abbia ad oggetto i soli dati statistici anonimi.

Quanto sopra d’altro canto deve essere letto alla luce della pronuncia del DSB. Secondo il garante austriaco, l’indirizzo IP, da cui vengono cancellate (da Google stessa) le ultime quattro cifre, non sarebbe anonimo – ma solo pseudonimizzato – poiché tale informazione potrebbe essere sufficiente ad effettuare il single-out di un utente qualora fosse combinata con altri dati detenuti da Google.

Logica conseguenza di tale ragionamento è dunque l’applicazione del GDPR e delle garanzie per il trasferimento dei dati di cui all’art. 46, al momento incompatibili con la Section § 702 del FOIA.

Nel caso in questione la CNIL ha proposto di cessare l’utilizzo di GA sul sito e consigliato l’uso di strumenti di analisi alternativi che non comportino un trasferimento verso gli Stati Uniti.

Inoltre, l’autorità ha avviato un programma di valutazione per determinare quali soluzioni di misurazione e analisi del pubblico dei siti web possano essere adottate in assenza di un consenso  è ragionevole aspettarsi che l’Autorità francese possa rilasciare, nel prossimo futuro, una propria guida con cui tracci un primo perimetro per l’utilizzo in compliance dei servizi di tracciamento GA e affini.

In conclusione, in assenza di una decisione adottata dalla Commissione europea che dichiari l’adeguatezza dell’ordinamento statunitense, il trasferimento di dati verso gli USA può essere realizzato solo in presenza di tangibili garanzie adeguate, ai sensi dell’art. 46 del GDPR, le quali, però, quando presentate – sia da Google che da altri operatori- sono state qualificate non compliant alla normativa europea.

 

A cura dell’Avv. Giovanni Di Stefano e del Dott. Emiliano Guerreschi

Condividi:

Leggi gli altri articoli del blog

D.LGS 47/2026: IL NUOVO ASSETTO DEGLI ORGANI SOCIALI DOPO LA LEGGE CAPITALI.

Il d.lgs. 27 marzo 2026 n. 47, attuativo della c.d. “Legge Capitali”, riforma in modo organico la disciplina degli organi di amministrazione e controllo delle società di capitali. Superando l’impostazione incentrata sul solo modello tradizionale, il decreto introduce un più generico “organo di controllo” comune ai tre modelli di governance e impone di indicare espressamente, in sede di costituzione, quello prescelto. Vengono inoltre ridefinite la gestione riservata agli amministratori, i limiti alle deleghe e i flussi informativi tra gli organi sociali, mentre si rafforzano i doveri di vigilanza dell’organo di controllo. Il contributo analizza le principali novità e gli adempimenti che le società dovranno recepire attraverso la revisione di statuti, regolamenti interni e sistema delle deleghe

EU INC.: LA NUOVA FORMA SOCIETARIA DIGITALE E UNIFORME PER LE STARTUP EUROPEE [PROPOSTA DI REGOLAMENTO N. 2026/0074]

Il 18 marzo 2026 la Commissione europea ha presentato la proposta di regolamento n. 2026/0074, con cui introduce la EU Inc., nuova forma societaria di diritto europeo progettata per operare nativamente su scala continentale. Concepita come alternativa alle forme nazionali esistenti e non sostitutiva di esse, la EU Inc. si caratterizza per una struttura integralmente digitale — dalla costituzione in 48 ore senza capitale minimo obbligatorio alla dematerializzazione delle partecipazioni — e per strumenti di raccolta del capitale allineati alle prassi internazionali del venture capital, inclusa l’eliminazione del valore nominale delle quote. Il contributo analizza la natura giuridica dell’istituto, le modalità di costituzione tramite il sistema BRIS e l’integrazione con il regolamento eIDAS 2.0, la struttura finanziaria, e le prospettive di adozione alla luce della tempistica negoziale annunciata dalla Commissione per la fine del 2026.

Contattaci