Il sito web che utilizza il servizio Google Analytics (GA), senza le garanzie previste dal Regolamento Ue, vìola la normativa sulla protezione dei dati, perché trasferisce negli Stati Uniti, Paese privo di un adeguato livello di protezione, i dati degli utenti. Lo ha affermato il Garante per la privacy a conclusione di una complessa istruttoria avviata sulla base di una serie di reclami e in coordinamento con altre autorità privacy europee.
“90 giorni a tutti i titolari del trattamento dati dei siti web per adeguarsi all’uso di Google Analytics secondo le garanzie del GDPR, altrimenti fioccano le sanzioni”
Per questo motivo, l’Autorità ha adottato “il primo di una serie di provvedimenti” con cui ha ammonito Caffeina Media S.r.l. che gestisce un sito web, ingiungendo alla società di conformarsi al Regolamento europeo entro novanta giorni. Ma questo provvedimento del Garante è un avvertimento a tutte le altre società pubbliche e private che utilizzano il tool di Google violando il GDPR. Infatti, come risulta a Key4biz, il Garante Privacy dà “90 giorni a tutti i titolari del trattamento dati dei siti web per adeguarsi all’uso di Google Analytics secondo le garanzie del GDPR, altrimenti fioccano le sanzioni”.
Tali trasferimenti, è scritto nel provvedimento, in quanto effettuati verso un paese terzo che non garantisce un livello di protezione adeguato ai sensi della normativa di protezione dei dati (ossia gli Stati Uniti), devono essere posti in essere in conformità al Capo V del Regolamento.
La pronuncia del Garante stimolata anche dall’ottimo lavoro di MonitoraPa
La pronuncia del Garante privacy italiano era molto attesa su questo tema, messo in evidenza da questa inchiesta di Key4biz e portato alla ribalta soprattutto dalla comunità di MonitoraPa, che proprio ieri ha inviato al Garante la segnalazione per chiedere all’Autorità di esercitare le proprie prerogative con interventi forti e duraturi a protezione dei diritti dei cittadini italiani, fra cui:
- l’imposizione di un’immediata interruzione di qualunque flusso di dati tra le PA segnalate e Google, ai sensi dell’Articolo 58(2)(f) del GDPR
- l’apertura di un’istruttoria in proposito, ai sensi e per gli effetti dell’art. 58 del GDPR e dell’art. 144 del Codice in materia di protezione dei dati personali;
- l’imposizione di una sanzione pecuniaria effettiva, proporzionata e dissuasiva nei confronti dei Titolari e di Google come previsto dall’articolo 83(5)(c) del GDPR.
Il lavoro di MonitoraPa: oltre 4.300 Pa non usano più il tool di Google
Dopo la moral suasion della comunità di MonitoraPa, con l’invio di 7.833 PEC alle PA che usavano Google Analytics, ad oggi il tool è usato da circa 3.500 pubbliche amministrazioni: -55%. Vedremo, prossimamente, su queste ultime quale effetto avrà la pronuncia del Garante Privacy.
Perché il dito contro Google Analytics, cosa è emerso dall’indagine del Garante: “Dati trasferiti negli Usa senza adeguate garanzie”
Dall’indagine del Garante è emerso che i gestori dei siti web che utilizzano Google Analytics raccolgono, mediante cookie, informazioni sulle interazioni degli utenti con i predetti siti, le singole pagine visitate e i servizi proposti. Tra i molteplici dati raccolti, indirizzo IP del dispositivo dell’utente e informazioni relative al browser, al sistema operativo, alla risoluzione dello schermo, alla lingua selezionata, nonché data e ora della visita al sito web. Tali informazioni sono risultate oggetto di trasferimento verso gli Stati Uniti. Nel dichiarare l’illiceità del trattamento è stato ribadito che l’indirizzo IP costituisce un dato personale e anche nel caso fosse troncato non diverrebbe un dato anonimo, considerata la capacità di Google di arricchirlo con altri dati di cui è in possesso.
“Le Autorità governative e le agenzie di intelligence statunitensi, di accedere ai dati personali trasferiti senza le dovute garanzie”
Il Garante ha evidenziato, in particolare, la possibilità, per le Autorità governative e le agenzie di intelligence statunitensi, di accedere ai dati personali trasferiti senza le dovute garanzie, rilevando al riguardo che, alla luce delle indicazioni fornite dall’EDPB (Raccomandazione n. 1/2020 del 18 giugno 2021), le misure che integrano gli strumenti di trasferimento adottate da Google non garantiscono, allo stato, un livello adeguato di protezione dei dati personali degli utenti.
L’avvertimento a tutti i gestori italiani di siti web, pubblici e privati
Con l’occasione l’Autorità richiama all’attenzione di tutti i gestori italiani di siti web, pubblici e privati, l’illiceità dei trasferimenti effettuati verso gli Stati Uniti attraverso Google Analytics, “anche in considerazione delle numerose segnalazioni e quesiti che stanno pervenendo all’Ufficio”. E invita tutti i titolari del trattamento a verificare la conformità delle modalità di utilizzo di cookie e altri strumenti di tracciamento utilizzati sui propri siti web, con particolare attenzione a Google Analytics e ad altri servizi analoghi, con la normativa in materia di protezione dei dati personali.
Come usare Google Analytics secondo le garanzie del GDPR?
L’attuazione del principio di accountability con riferimento ai trasferimenti di dati verso paesi terzi, pone in capo al titolare, in qualità di esportatore, la responsabilità di verificare, caso per caso e, ove necessario, in collaborazione con l’importatore nel paese terzo, se la legge o la prassi di quest’ultimo incidano sull’efficacia delle garanzie adeguate contenute negli strumenti di trasferimento di cui all’articolo 46 del Regolamento.
In tali casi, l’esportatore è tenuto ad adottare, in applicazione di tale principio, misure supplementari che consentano all’importatore di rispettare gli obblighi previsti dallo strumento adottato a sensi dell’art. 46 del Regolamento; tutto ciò al fine di assicurare che il livello di protezione delle persone fisiche garantito dal Regolamento non sia pregiudicato.