“Il sito web che utilizza il servizio Google Analytics (GA), senza le garanzie previste dal Regolamento Ue, viola la normativa sulla protezione dei dati perché trasferisce negli Stati Uniti, Paese privo di un adeguato livello di protezione, i dati degli utenti.”
“Con l’occasione l’Autorità richiama all’attenzione di tutti i gestori italiani di siti web, pubblici e privati, l’illiceità dei trasferimenti effettuati verso gli Stati Uniti attraverso GA, anche in considerazione delle numerose segnalazioni e quesiti che stanno pervenendo all’Ufficio. E invita tutti i titolari del trattamento a verificare la conformità delle modalità di utilizzo di cookie e altri strumenti di tracciamento utilizzati sui propri siti web, con particolare attenzione a Google Analytics e ad altri servizi analoghi, con la normativa in materia di protezione dei dati personali.”
(cit. articolo garante della privacy )
Google Analytics vietato?
Il Garante ha emesso un provvedimento con cui ha dichiarato illegittimo il trattamento di dati personali di un sito web che si avvale dello strumento “Google Analytics” per finalità meramente statistiche.
Nella ricostruzione i passaggi logici che hanno portato il Garante a dichiarare illegittimo il trattamento:
1) Google Analytics raccoglie informazioni tra cui l’indirizzo IP del dispositivo utilizzato dall’utente, tale indirizzo è un dato personale;
2) Qualora il visitatore del sito acceda attraverso il proprio account Google, i dati raccolti possono essere associati ad altri quali ad es. indirizzo email e numero di telefono;
3) Google ha messo a disposizione l’opzione “IP-Anonymization”, ma tale soluzione consente una forma di pseudonomizzazione (e non di anonimizzazione);
4) l’utilizzo di Google Analytics comporta pertanto il trasferimento di dati personali negli Stati Uniti;
5) La Corte di giustizia dell’Unione Europea – con la nota decisione Schrems II – ha dichiarato l’invalidità del “Privacy Shield” e, di conseguenza, ha accertato l’inadeguatezza della normativa statunitense a fornire garanzie adeguate;
6) la cifratura dei dati personali, nel caso del funzionamento dello strumento “Google Analytics”, non risulta misura adeguata in quanto la chiave di cifratura rimane nella disponibilità di Google che, per la normativa americana, deve consentire l’accesso sia ai dati che alle eventuali chiavi crittografiche;
Ora cosa fare?
Da tempo in Europa si considerava il suddetto trattamento quantomeno “a rischio”. Il CNIL, autorità garante francese, ha messo in mora diversi utilizzatori di tale strumento, ingiungendo la rimozione di GA ai titolari che non fossero stati in grado di conformare i trattamenti dalla normativa vigente.
Il titolare del trattamento Italiano, che prima della sentenza poteva avere la convinzione di operare conformemente alla legge, oggi invece sa che non è così. Serve quindi agire, consci che rimanendo inattivi ci si espone unicamente a contestazioni. Ma come?
Va premesso che il problema ha una natura eminentemente politica (per non dire geopolitica) e che quindi la soluzione non arriverà certo da un provvedimento di una autorità garante (e probabilmente nemmeno da una soluzione tecnologica dell’ultimo minuto). Secondo il Garante ci sono ad oggi pochi punti fermi:
- i trasferimenti dei dati personali verso gli Stati Uniti non sono vietati a prescindere;
- una modalità di Google Analytics conforme potrebbe esistere;
- dire quale sia questa modalità non è possibile, ma sta ai vari siti e a Google individuarla.
Riportando il pensiero dell’avv Sforza membro del comitato del Garante, sempre il citato articolo riporta il seguente virgolettato:
“La nostra principale speranza è che nei prossimi 90 giorni intervenga un accordo giuridicamente vincolante tra Europa e Stati Uniti. In caso contrario, si configura lo scenario peggiore: il moltiplicarsi di provvedimenti di blocco in relazione ai quali poco si potrà fare. Andranno adottati e saranno destinati ad estendersi a macchia d’olio anche fuori dal perimetro di Google Analytics”. (cit. articolo )
In conclusione, l’unica cosa certa è che i prossimi mesi vedranno una trepidante attesa della soluzione “geopolitica”, incombente il rischio che – come alcuni commentatori stanno riportando – ogni altra soluzione necessariamente dovrà portare a sconvolgere il mondo del web (e non solo) rispetto a come lo abbiamo sempre conosciuto.
Contattaci e richiedi una valutazione tecnica del tuo sito web per non rischiare pesanti sanzioni