Blog

GOOGLE ANALYTICS: LA PRONUNCIA DEL GARANTE ITALIANO TRA SOVRANITÀ DEL DATO E NECESSITÀ DELLE IMPRESE

Il Garante per la Protezione dei Dati, con Provvedimento n. 224 del 9 giugno 2022 (rilasciato in data 23 giugno 2022), è giunto alla conclusione che il trasferimento dei dati negli stati Uniti attraverso l’uso di Google Analytics violi il Regolamento UE 2016/679 (il “GDPR”).

Con tale provvedimento l’Autorità italiana ha intimato alla Caffeina Media S.r.l. di adeguarsi entro e non oltre 90 giorni alla normativa europea in materia di protezione dei dati personali.

La decisione, seppur inerente a una singola società, è da interpretarsi in senso più ampio dal momento che la posizione assunta dal Garante avrà un impatto su tutte le imprese (e non) che si avvalgono dei servizi di Google Analytics.

Dopo una lunga istruttoria che ha coinvolto le autorità europee, il Garante della Privacy italiano ha stabilito che il trasferimento tramite Google Analytics di dati personali degli utenti – come l’indirizzo IP – verso gli Stati Uniti e il loro trattamento fuori dall’UE non rispetta le garanzie previste dal Regolamento Europeo in tema di Privacy.

In particolare, si è accertato che i trasferimenti effettuati dalla società italiana, per il tramite dello strumento di Google Analytics, sono stati posti in essere in violazione degli artt. 44 e 46 del Regolamento. È stato altresì rilevato che sono state realizzate operazioni in violazione dell’art. 5, par. 1, lett. a) e par. 2, dell’art. 13, par. 1, lett. f), e dell’art. 24, del Regolamento.

La società, infatti, utilizzava la versione gratuita di Google Analytics e non aveva attivato la funzione IP-anonymization, che consente l’invio a Google dell’IP dell’utente in parte oscurato.

Tuttavia, sul punto, il Garante ha evidenziato che anche se fosse stata attivata tale funzione, il dato in questione non sarebbe stato comunque anonimo, poiché Google avrebbe potuto potenzialmente arricchirlo con altre informazioni in suo possesso.

Inoltre, l’informativa implementata sul sito appariva lacunosa sotto il profilo dei requisiti previsti dalla lett. f) dell’art. 13 del GDPR, inerente al trasferimento dei dati personali verso Paesi terzi.

Il trasferimento dei dati personali dall’Europa agli Stati Uniti è da anni un tema dibattuto tra i garanti e nei tribunali europei. L’ultimo atto è stato la sentenza Schrems II del luglio 2020, con cui la Corte di Giustizia UE ha dichiarato l’ordinamento statunitense non adeguato ai parametri e ai principi europei in materia di privacy. 

La Corte ha invalidato la decisione sul Privacy Shield, dal momento che la legge americana (in particolare la sezione 702 della FISA e l’OE 12333) non garantisce un livello di protezione equivalente a quello europeo, requisito necessario per trasferire i dati in un paese terzo secondo il GDPR.

Infatti, queste leggi consentono all’agenzia di sicurezza nazionale (NSA) degli Stati Uniti di accedere a dati di cittadini non statunitensi, archiviati sui server di aziende americane senza preventiva autorizzazione di un giudice, necessaria invece nei paesi dell’Unione Europea.

Pertanto, non è possibile trasferire tali informazioni a meno che non vengano prese delle misure tecniche, organizzative e contrattuali tali da garantire uno standard di tutela pari a quello previsto in ciascuno Stato membro, come previsto dal GDPR.

In sostanza, non è Google Analytics l’oggetto dell’indagine, ma la possibilità da parte di Google Universal Analytics (GA3) di esportare l’IP dell’utente verso gli Stati Uniti, anche nel momento in cui si attivi la funzione di anonimizzazione/mascheramento (ossia cancellando le ultime 6 cifre dell’identificativo), che secondo il Garante permetterebbe comunque a Google di riconoscere l’utente.

La decisone ha sicuramente un impatto importante sul web, tuttavia è opportuno precisare che il provvedimento in questione si basa solo su GA3, che ormai è in fase di sostituzione con il nuovo GA4, costruito su un’infrastruttura che non archivia l’IP dell’utente, garantendo così che i dati personali raccolti non vengano esportati verso gli Stati Uniti e permette di scegliere di non inviare altre informazioni quali città, risoluzione dello schermo e versione del browser, per minimizzare ancora di più la possibilità di identificare l’utente.

D’altro canto, è improbabile allo stato attuale che la pronuncia del Garante decreti la fine degli strumenti di analytics, fondamentali per le attività online. È più verosimile che vengano invece adottate misure per alzare ulteriormente la soglia di compliance.

In tal senso, i tracciamenti server-side, peraltro consigliati dal CNIL[1] il 07 giugno scorso, permettono di non inviare l’IP dell’utente ai server di Google effettuando la pseudonimizzazione del dato su un server proprietario, inviando soltanto un dato non re-identificabile.

 

 

A cura dell’Avv. Francesco Sibilla e dell’Avv. Giovanni Di Stefano

 

 

 

[1] https://www.cnil.fr/fr/cookies-et-autres-traceurs/regles/google-analytics-et-transferts-de-donnees-comment-mettre-son-outil-de-mesure-daudience-en-conformite

Condividi:

Leggi gli altri articoli del blog

IL RISPETTO DELLE NORME PRIVACY NEL MONDO DEGLI APPALTI

La prima sezione del Tar Veneto, con decisione n. 8 del 4 gennaio 2022, ha discusso in merito alla possibilità di escludere dalle gare d’appalto, sia pubbliche che private, coloro che abbiano violato le norme in materia privacy contenute nel GDPR.

ELARGIZIONI FRA CONIUGI E DONAZIONE INDIRETTA

L’istituto della donazione viene sovente utilizzato per attuare spostamenti di ricchezza, specialmente in ambito familiare.
Tuttavia, è necessario valutarne la concreta convenienza anche alla luce della presenza, nella prassi economica, di elargizioni patrimoniali indirette, ossia effettuate non tramite l’atto pubblico notarile – richiesto dalla legge per la donazione – bensì attraverso diverse forme.

LA FUSIONE INVERSA E LE MODALITA’ DI ESECUZIONE

La fusione inversa non è stata disciplinata direttamente dal legislatore italiano. Pertanto, le operazioni societarie in cui la controllata provvede ad incorporare la controllante pongono problemi di carattere operativo.

(AGRO) FOTOVOLTAICO: IL LEGISLATORE NAVIGA A VISTA?

Durante il boom del fotovoltaico iniziò a diffondersi la preoccupazione fra decisori e stakeholders riguardo il consumo di suolo agricolo. Questo determinò la risposta del legislatore che decise inizialmente per limitare la possibilità di installazione degli impianti su terreni a destinazione agricola. Oggi, nonostante un virtuoso cammino sulla strada della semplificazione e dell’incentivazione dei sistemi ibridi agricoltura-produzione energetica, sembra che tale progetto normativo abbia subito una brusca frenata.

Contattaci