Il Garante Privacy italiano boccia Google Analytics
Il comunicato stampa del 23 giugno sul provvedimento numero 224 del 9 giugno
Analytics, il celebre servizio della famiglia Google che permette di analizzare le statistiche relative ai visitatori del proprio sito web, è stato dichiarato non conforme alla normativa attualmente vigente nell’Unione europea in materia di protezione dei dati personali. L’ha deciso il Garante Privacy italiano, sulla scia di quello francese e di quello austriaco, con il provvedimento n. 224 del 9 giugno 2022.
In esito a una complessa istruttoria, avviata in relazione a numerosi reclami, il Garante ha intimato alla società destinataria del provvedimento di rimuovere il servizio Google Analytics dal proprio sito web entro novanta giorni.
L’illiceità del servizio deriva dal fatto che i molteplici dati raccolti da Analytics (tra cui, ad esempio, indirizzo IP del dispositivo dell’utente e informazioni relative al browser, al sistema operativo, alla risoluzione dello schermo, alla lingua selezionata, nonché data e ora della visita al sito web) sono oggetto di trasferimento verso gli Stati Uniti.
Trasferimento dei dati personali UE – USA: un rapporto conflittuale
Come è noto, il rapporto conflittuale tra Unione europea e Stati Uniti in merito al trasferimento dei dati personali è piuttosto risalente.
Iniziato nel lontano 2015 con il celebre Caso Schrems, che ha portato alla dichiarazione di invalidità del Safe Harbour (l’accordo internazionale che fino ad allora permetteva il trasferimento di dati UE – USA), ha comportato l’annullamento, nel 2020, anche del Privacy Shield, l’accordo “figlio” del Safe Habour.
Al momento, quindi, nessun accordo tra Unione europea e Stati Uniti permette automaticamente il trasferimento dei dati personali oltreoceano: affinché sia legittimato, si richiede che, caso per caso, si dimostri la rispondenza del trattamento alle norme del Regolamento 679/2016.
E, nel caso di Analytics, il Garante ha evidenziato che “le misure che integrano gli strumenti di trasferimento adottate da Google non garantiscono, allo stato, un livello adeguato di protezione dei dati personali degli utenti”.
Un provvedimento che coinvolge tutti gli utenti di Google Analytics
Ma il provvedimento del Garante, in realtà, ha una portata ben più ampia della società che ne è stata diretta destinataria, perché riguarda da vicino tutti i siti web italiani che ricorrono alle statistiche fornite da Analytics. Infatti, tramite il comunicato stampa diffuso proprio oggi, l’Autorità “richiama all’attenzione di tutti i gestori italiani di siti web, pubblici e privati, l’illiceità dei trasferimenti effettuati verso gli Stati Uniti attraverso Google Analytics, anche in considerazione delle numerose segnalazioni e quesiti che stanno pervenendo all’Ufficio”. E, continua il comunicato, “invita tutti i titolari del trattamento a verificare la conformità delle modalità di utilizzo di cookie e altri strumenti di tracciamento utilizzati sui propri siti web, con particolare attenzione a Google Analytics e ad altri servizi analoghi, con la normativa in materia di protezione dei dati personali”.
Tra novanta giorni, quindi, il Garante procederà, con ulteriori attività istruttorie, a verificare che anche altri siti internet italiani si conformino alla decisione adottata nei giorni scorsi nei confronti della società ammonita. È necessario quindi, al fine di non incorrere in sanzioni, che tutti i titolari del trattamento procedano a una puntuale e urgente revisione dei trattamenti attualmente in corso dei dati personali degli utenti dei propri siti web.
In questo limbo di incertezza, non essendo ancora chiaro se Analytics si potrà usare nell’Unione europea, la scelta più previdente è senza dubbio quella valutare approfonditamente la temporanea interruzione dell’uso dello strumento, affidandosi per adesso ad altri analoghi servizi che però assicurino di trattare i dati personali nei confini dell’Unione europea, o in altri Paesi terzi che garantiscano un livello di protezione adeguato, ai sensi del GDPR.
