Google Analytics: anche il Garante italiano blocca il trasferimento dei dati all’estero in assenza di adeguate garanzie

Google Analytics: anche il Garante italiano blocca il trasferimento dei dati all’estero in assenza di adeguate garanzie
Il Garante per la protezione dei dati personali si è unito ai provvedimenti delle autorità austriaca e francese che, pochi mesi fa, avevano dichiarato illegittimo l’uso dei cookie analitici di Google che consentissero il trasferimento dei dati all’estero senza l’adozione di adeguate misure di sicurezza. Con il comunicato stampa del 23 giugno scorso, che ha seguito la pubblicazione del provvedimento citato (n.224 del 9 giugno scorso), l’autorità ha inteso estendere i principi sottesi alla decisione a tutti i gestori di siti web che utilizzano gli Analytics di Google.

A pochi mesi di distanza dagli ormai noti provvedimenti delle autorità garanti per la protezione dei dati personali austriaca e francese, emessi su impulso dei 101 ricorsi presentati dall’associazione “Noyb” (“European Center for digital rights”) – capitanata da Max Schrems – anche il Garante italiano ha preso posizione in merito all’uso dei cookie analitici di Google dichiarandone l’illegittimità.

Nella sua attività di verifica sul trattamento effettuato da un sito web italiano, il Garante ha riscontrato che quest’ultimo utilizza il servizio Google Analytics in assenza delle idonee garanzie previste dal Regolamento UE 2016/679 (“GDPR”) in materia di trasferimento dei dati verso paesi per i quali la Commissione Europea non abbia assunto una decisione di adeguatezza, come previsto dall’art. 45 del GDPR. Trattasi, nel caso di specie, degli Stati Uniti, nei confronti dei quali il trasferimento dei dati è divenuto un tema “caldissimo” in seguito alla caduta del c.d. “Privacy Shield”, avvenuta nel 2020. A partire da quel momento, il trasferimento dei dati personali verso gli Stati Uniti è possibile solo a patto che gli esportatori e gli importatori delle informazioni predispongano delle misure di sicurezza idonee a garantire agli interessati le stesse tutele di cui godrebbero in Europa. A tali obblighi sono tenuti anche i gestori di siti web che utilizzano software ed applicativi di società informatiche che hanno sede al di fuori dei confini europei, proprio come Google. A complicare la situazione delle società informatiche statunitensi, la legge federale (c.d. “FISA”) che prevede la possibilità, per le autorità governative e per le agenzie di intelligence statunitensi, di accedere in qualsiasi momento – anche ad insaputa delle società stesse – ai dati personali trasferiti in assenza  delle dovute garanzie.

Il Garante, all’esito di una complessa istruttoria avviata sulla base di numerosi reclami e in coordinamento con altre autorità privacy europee, ha rilevato che, anche alla luce delle indicazioni fornite dall’ “European Data Protection Board” (“EDPB”), con la Raccomandazione n. 1/2020 del 18 giugno 2021, le misure adottate da Google per consentire il trasferimento dei dati non garantiscono, allo stato attuale, un livello adeguato di protezione dei dati personali degli utenti. Ebbene, dall'indagine è emerso che i gestori dei siti web che utilizzano Google Analytics raccolgono, mediante cookie, informazioni sulle interazioni degli utenti con i predetti siti, le singole pagine visitate e i servizi proposti. Tra i molteplici dati raccolti, sarebbero state trasferite verso gli Stati Uniti le informazioni relative tanto all’indirizzo IP del dispositivo dell'utente quanto a: browser utilizzato, sistema operativo, risoluzione dello schermo, lingua selezionata, data e ora della visita al sito web. Nel dichiarare l'illiceità del trattamento, il Garante ha ribadito che l'indirizzo IP costituisce un dato personale e che anche la sua troncatura non rappresenterebbe un’adeguata  misura di sicurezza, dal momento che il dato non verrebbe anonimizzato e che Google avrebbe pur sempre, la capacità di combinarlo con altri dati in suo possesso, risalendo, così, all’identità dell’interessato.

La spinosa questione – di certo non nuova – concerne il fatto che Google raccoglie una mole considerevole di dati che, combinati tra loro, le consentono di identificare anche gli utenti le cui informazioni vengono inviate in forma anonimizzata dagli esportatori di dati europei.

Il Garante, operando in continuità con le autorità francesi ed austriaca, non ha irrogato alcuna sanzione pecuniaria, ma ha ammonito il gestore del sito in violazione, concedendogli un termine di 90 giorni per la predisposizione di misure di sicurezza adeguate a garantire un uso legittimo dei cookie di Google Analitycs, decorsi i quali il Garante procederà, anche sulla base di specifiche attività ispettive, a verificare la conformità dei trasferimenti di dati alla normativa privacy vigente. L’invito rivolto alla società destinataria del provvedimento è quello di sospendere il trattamento nel caso in cui non riuscisse a predisporre mezzi adeguati per la sicurezza dei dati.

L’intento delle autorità garanti dell’Unione è chiaro: spingere le istituzioni europee e statunitensi a trovare un accordo che consenta di superare questa empasse il prima possibile. Nel frattempo, però, l’avvertimento alle aziende è arrivato forte e chiaro.

Avv. Rossella Bucca e Dott.ssa Simona Lanna

Newsletter

Iscriviti per ricevere i nostri aggiornamenti

* campi obbligatori