Dopo quello delle autorità austriaca e francese arriva lo stop dell’Italia: il Garante per la protezione dei dati personali ha comunicato che l’uso di Google Analytics non rispetta il GDPR (Regolamento generale sulla protezione dei dati), in quanto le informazioni raccolte dal servizio vengono inviate negli Stati Uniti. L’autorità ha adottato un primo provvedimento nei confronti di un editore, ma la questione interessa molti siti web.
Il GDPR europeo, infatti, vieta di trasferire informazioni, a meno che non vengano prese misure tecniche, organizzative e contrattuali tali da garantire uno standard di tutela uguale a quello di ciascuno Stato membro.
IL PROVVEDIMENTO E LE INDICAZIONI DEL GARANTE PRIVACY
Il provvedimento è scaturito a seguito di un reclamo promosso da un privato cittadino avverso una società che gestisce un sito web. Dall’indagine del Garante è emerso che il sito web utilizzava il servizio Google Analytics, il quale non assicura le garanzie previste dalla normativa privacy europea, poiché, trasferisce negli Stati. La Corte di Giustizia Europea aveva già invalidato la decisione sul Privacy Shield dal momento che la legge americana non garantisce un livello di protezione equivalente a quello europeo. La legge USA consente, infatti, all’Agenzia di Sicurezza Nazionale (NSA) americana di accedere a dati di cittadini non statunitensi, archiviati sui server di aziende americane senza preventiva autorizzazione di un giudice, necessaria invece in UE.
Di fatto, l’Autorità Garante ha affermato che i gestori dei siti web che utilizzano Google Analytics raccolgono, mediante cookies, informazioni sulle interazioni degli utenti con i siti, le singole pagine visitate e i servizi proposti. Tra i dati raccolti c’è anche l’indirizzo IP del dispositivo dell’utente, oltre ad informazioni relative al browser, al sistema operativo, alla risoluzione dello schermo, alla lingua selezionata, nonché data e ora della visita al sito web.
Nel provvedimento, oltre ad essere dichiarata l’illiceità del trattamento, viene ribadito che l’indirizzo IP costituisce un dato personale e, anche nel caso fosse troncato o oscurato in parte, non diverrebbe un dato anonimo. Infatti, tanto la pseudonimizzazione quanto la crittografia degli indirizzi IP possono essere sottoponibili ad un procedimento inverso (reverse engineering) e quindi consentire a Google d’avere accesso, in chiaro, ai dati personali degli utenti, utilizzando anche altri dati di cui è già in possesso (indirizzo e-mail, il numero di telefono, dati anagrafici come la data di nascita, anche la propria immagine del profilo Google).
Con tale decisione l’Autorità Garante ha ammonito alla società di conformarsi al GDPR entro novanta giorni.
COSA FARE ADESSO? QUALI ALTERNATIVE?
In una nota ufficiale, il Garante si è appellato ai gestori italiani di siti, privati e pubblici, affinché facciano attenzione all’illiceità di eventuali trasferimenti di dati verso gli USA tramite Google Analytics, invitando i titolari del trattamento a vagliare la conformità alla normativa privacy dei modi di uso dei cookie e altri metodi di tracciamento. Il problema non sembra possa essere risolto nemmeno dall’aggiornamento c.d. Google Analytics 4 o GA4.
Pertanto, nel contesto descritto, le aziende si trovano dinanzi a una scelta obbligata:
- continuare a utilizzare i servizi di Google, in attesa di un nuovo accordo tra le autorità europee e statunitensi sul trasferimento dei dati personali sostitutivo del Privacy Shield, o che si possa far ricorso ad uno degli altri strumenti contrattuali di cui all’art. 46 GDPR:
- l’applicazione di Clausole Contrattuali Standard (SCC);
- la stesura di norme vincolanti d’impresa;
- l’adesione a codici di condotta o a meccanismi di certificazione;
- la previsione di clausole contrattuali “ad hoc” tra il titolare del trattamento o il responsabile del trattamento e il titolare del trattamento, il responsabile del trattamento o il destinatario dei dati personali nel paese terzo o nell’organizzazione internazionale;
- l’inserimento di disposizioni specifiche all’interno di accordi amministrativi tra autorità pubbliche o organismi pubblici che comprendono diritti effettivi e azionabili per gli interessati.
- migrare su altre alternative equivalenti (ad esempio MATOMO [https://matomo.org/], già noto come Piwik, sistema utilizzato, tra gli altri, dal sito web della Commissione Europea), che garantiscono un maggior controllo sui dati e non effettuino trasferimento al di fuori dell’UE;
- cessare il trattamento connesso all’utilizzo di Google Analytics.
Guido Scorza, membro dell’Autorità Garante, ha commentato così il Provvedimento emesso dall’Autorità Garante: “Il primo auspicio – semplicemente perché solo così il problema sarebbe risolto alla radice – è che nelle prossime settimane i Governi di Bruxelles e Washington facciano seguire all’accordo politico annunciato a marzo, un accordo giuridicamente vincolante che consentirebbe la naturale ripresa dell’esportazione di dati dall’Europa agli Stati Uniti. Se questo non accadesse, prima di tirare su un muro tra i due continenti bisognerà verificare se ci sia un modo – che sia l’upgrade alla versione GA4 o altro – per continuare a usare il servizio di Analytics di Big G nel rispetto delle regole europee. Se c’è bene così. Se non c’è, non ci sarà alternativa a sospendere il trasferimento dei dati negli USA e, quindi, a interrompere l’uso del servizio”.
Il Provvedimento completo del Garante è disponibile qui https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9782890