Blog

GOOGLE ANALYTICS: LA PRONUNCIA DEL GARANTE ITALIANO TRA SOVRANITÀ DEL DATO E NECESSITÀ DELLE IMPRESE

Il Garante per la Protezione dei Dati, con Provvedimento n. 224 del 9 giugno 2022 (rilasciato in data 23 giugno 2022), è giunto alla conclusione che il trasferimento dei dati negli stati Uniti attraverso l’uso di Google Analytics violi il Regolamento UE 2016/679 (il “GDPR”).

Con tale provvedimento l’Autorità italiana ha intimato alla Caffeina Media S.r.l. di adeguarsi entro e non oltre 90 giorni alla normativa europea in materia di protezione dei dati personali.

La decisione, seppur inerente a una singola società, è da interpretarsi in senso più ampio dal momento che la posizione assunta dal Garante avrà un impatto su tutte le imprese (e non) che si avvalgono dei servizi di Google Analytics.

Dopo una lunga istruttoria che ha coinvolto le autorità europee, il Garante della Privacy italiano ha stabilito che il trasferimento tramite Google Analytics di dati personali degli utenti – come l’indirizzo IP – verso gli Stati Uniti e il loro trattamento fuori dall’UE non rispetta le garanzie previste dal Regolamento Europeo in tema di Privacy.

In particolare, si è accertato che i trasferimenti effettuati dalla società italiana, per il tramite dello strumento di Google Analytics, sono stati posti in essere in violazione degli artt. 44 e 46 del Regolamento. È stato altresì rilevato che sono state realizzate operazioni in violazione dell’art. 5, par. 1, lett. a) e par. 2, dell’art. 13, par. 1, lett. f), e dell’art. 24, del Regolamento.

La società, infatti, utilizzava la versione gratuita di Google Analytics e non aveva attivato la funzione IP-anonymization, che consente l’invio a Google dell’IP dell’utente in parte oscurato.

Tuttavia, sul punto, il Garante ha evidenziato che anche se fosse stata attivata tale funzione, il dato in questione non sarebbe stato comunque anonimo, poiché Google avrebbe potuto potenzialmente arricchirlo con altre informazioni in suo possesso.

Inoltre, l’informativa implementata sul sito appariva lacunosa sotto il profilo dei requisiti previsti dalla lett. f) dell’art. 13 del GDPR, inerente al trasferimento dei dati personali verso Paesi terzi.

Il trasferimento dei dati personali dall’Europa agli Stati Uniti è da anni un tema dibattuto tra i garanti e nei tribunali europei. L’ultimo atto è stato la sentenza Schrems II del luglio 2020, con cui la Corte di Giustizia UE ha dichiarato l’ordinamento statunitense non adeguato ai parametri e ai principi europei in materia di privacy. 

La Corte ha invalidato la decisione sul Privacy Shield, dal momento che la legge americana (in particolare la sezione 702 della FISA e l’OE 12333) non garantisce un livello di protezione equivalente a quello europeo, requisito necessario per trasferire i dati in un paese terzo secondo il GDPR.

Infatti, queste leggi consentono all’agenzia di sicurezza nazionale (NSA) degli Stati Uniti di accedere a dati di cittadini non statunitensi, archiviati sui server di aziende americane senza preventiva autorizzazione di un giudice, necessaria invece nei paesi dell’Unione Europea.

Pertanto, non è possibile trasferire tali informazioni a meno che non vengano prese delle misure tecniche, organizzative e contrattuali tali da garantire uno standard di tutela pari a quello previsto in ciascuno Stato membro, come previsto dal GDPR.

In sostanza, non è Google Analytics l’oggetto dell’indagine, ma la possibilità da parte di Google Universal Analytics (GA3) di esportare l’IP dell’utente verso gli Stati Uniti, anche nel momento in cui si attivi la funzione di anonimizzazione/mascheramento (ossia cancellando le ultime 6 cifre dell’identificativo), che secondo il Garante permetterebbe comunque a Google di riconoscere l’utente.

La decisone ha sicuramente un impatto importante sul web, tuttavia è opportuno precisare che il provvedimento in questione si basa solo su GA3, che ormai è in fase di sostituzione con il nuovo GA4, costruito su un’infrastruttura che non archivia l’IP dell’utente, garantendo così che i dati personali raccolti non vengano esportati verso gli Stati Uniti e permette di scegliere di non inviare altre informazioni quali città, risoluzione dello schermo e versione del browser, per minimizzare ancora di più la possibilità di identificare l’utente.

D’altro canto, è improbabile allo stato attuale che la pronuncia del Garante decreti la fine degli strumenti di analytics, fondamentali per le attività online. È più verosimile che vengano invece adottate misure per alzare ulteriormente la soglia di compliance.

In tal senso, i tracciamenti server-side, peraltro consigliati dal CNIL[1] il 07 giugno scorso, permettono di non inviare l’IP dell’utente ai server di Google effettuando la pseudonimizzazione del dato su un server proprietario, inviando soltanto un dato non re-identificabile.

 

 

A cura dell’Avv. Francesco Sibilla e dell’Avv. Giovanni Di Stefano

 

 

 

[1] https://www.cnil.fr/fr/cookies-et-autres-traceurs/regles/google-analytics-et-transferts-de-donnees-comment-mettre-son-outil-de-mesure-daudience-en-conformite

Condividi:

Leggi gli altri articoli del blog

CYBERSECURITY: L’ITALIA SECONDO I RAPPORTI CLUSIT E ASSINTEL-CONFCOMMERCIO

All’indomani della chiusura dei lavori del Security Summit tenutosi a Milano, un breve contributo sulla situazione nazionale in tema di cybersicurezza alla luce dei dati del Rapporto Clusit 2024 sulla sicurezza ICT in Italia e del Rapporto annuale sull’evoluzione della cybersecurity, realizzato da Assintel – Confcommercio.

DDL MADE IN ITALY E LA LIEVITAZIONE DEL FATTURATO AGROALIMENTARE

L’Italia è da sempre conosciuta in tutto il mondo per le proprie eccellenze alimentari. Il settore agroalimentare si è rivelato essere una delle principali industry dell’economia italiana. Perciò, il Governo italiano è intervenuto per supportare il primato mediante il DDL Made in Italy. Quest’ultimo prevede molteplici misure volte ad intensificare il sistema sanzionatorio nell’ambito della lotta alla contraffazione e ad agevolare le modalità d’investimento.

Contattaci