I siti web che utilizzano il servizio Google Analytics (GA), senza le garanzie previste dal Regolamento (UE) 2016/679 (il “Regolamento“), violano la normativa sulla protezione dei dati perché trasferiscono negli Stati Uniti, Paese privo di un adeguato livello di protezione, i dati degli utenti. Lo ha stabilito il Garante per la protezione dei dati personali (il “Garante”) con il provvedimento del 9 giugno 2022, adottato all’esito di una istruttoria avviata sulla base di una serie di reclami e in coordinamento con altre Autorità Privacy Europee e pubblicato il successivo 23 giugno.
GA è uno strumento web fornito da Google ai gestori di siti internet che permette di analizzare dettagliate statistiche sugli utenti al fine di ottimizzare i servizi offerti e monitorare le campagne di marketing.
Per quanto concerne il trattamento effettuato tramite questo strumento, dalle verifiche effettuate dall’Autorità è emerso che i gestori dei siti web (quale la società sanzionata) raccolgono, mediante cookies trasmessi al browser dell’utente, informazioni in ordine alle modalità di interazione di questi ultimi con il sito web, nonché con le singole pagine e con i servizi proposti. Nello specifico, i dati raccolti consistono in: identificatori online unici che consentono sia l’identificazione del browser o del dispositivo dell’utente che visita il sito web, sia del gestore stesso del sito (attraverso l’ID account Google); indirizzo, nome del sito web e dati di navigazione; indirizzo IP del dispositivo utilizzato dall’utente; informazioni relative al browser, al sistema operativo, alla risoluzione dello schermo, alla lingua selezionata, nonché a data e ora della visita al sito web.
Tali informazioni vengono trasferite negli Stati Uniti d’America, Paese che ad oggi, come già ribadito più volte dal Garante stesso, non garantisce un sistema di protezione dei dati personali equivalente a quello previsto all’interno dell’Unione Europea. In questo contesto, il Garante ha evidenziato che il sistema normativo vigente negli USA consente alle Autorità governative e di intelligence statunitensi di accedere alle informazioni personali per fini di sicurezza nazionale senza le garanzie previste dalla normativa europea.
Il Garante ha anche ribadito che l’indirizzo IP è un dato personale a tutti gli effetti nella misura in cui consente di identificare un dispositivo di comunicazione elettronica, rendendo pertanto indirettamente identificabile l’interessato in qualità di utente. E questo dato, quand’anche venisse troncato, non diverrebbe un dato anonimo, vista la capacità di Google di associarlo ad altri dati in suo possesso, rendendo quindi possibile una re-identificazione dell’utente.
Per tutti questi motivi, il Garante ha adottato il primo di una serie di provvedimenti con cui ha ammonito la società che gestiva il sito oggetto dell’istruttoria ingiungendole di conformarsi al Regolamento entro novanta giorni. Il tempo indicato è stato ritenuto dal Garante congruo per consentirle di adottare misure adeguate al trasferimento, pena la sospensione dei flussi di dati effettuati, per il tramite di GA, verso gli Stati Uniti.
Allo scadere dei novanti giorni, si legge nel provvedimento in esame, il Garante procederà, anche sulla base di specifiche attività ispettive, a verificare la conformità al Regolamento dei trasferimenti effettuati dai titolari.
◊◊◊◊
In attesa che l’Unione Europea e gli Stati Uniti d’America raggiungano un accordo giuridicamente vincolate che garantisca un trasferimento internazionale con protezioni equivalente a quanto richiesto in Europa, i gestori dei siti web sono chiamati a conformarsi ai requisiti richiesti dalla normativa in vigore. Ciò anche valutando di affidarsi eventualmente a provider europei che trattino i dati personali degli utenti all’interno del territorio UE.
Altri insights correlati: