Il Garante della privacy italiano con il Provvedimento del 9 Giugno 2022 ha dichiarato non conforme al GDPR lo strumento di Google Analitycs.
Il provvedimento del Garante italiano si allinea ad altri provvedimenti presi dai Garanti Europei, in particolare, quello Tedesco, Francese e Austriaco.
Tutti i provvedimenti che hanno dichiarato illegittimo l’utilizzo di Google Analytics sono la risposta ai famosi 101 reclami presentati dall’ente no-profit NOYB ai Garanti Europei al fine di accertare la correttezza del trattamento dei dati effettuato tramite Google.
Il problema di fondo di questi provvedimenti non è l’utilizzo degli analytics, bensì il trasferimento dei dati personali raccolti tramite questo strumento vengono trasferiti fuori dall’Unione Europea senza le opportune garanzie per i diritti degli interessati.
Infatti, il provvedimento del Garante evidenzia due aspetti fondamentali:
- la funzione l’IP-Anonymization” offerta da Google consiste di fatto in una pseudonimizzazione del dato relativo all’indirizzo di rete dell’utente, in quanto il troncamento dell’ultimo ottetto l’indirizzo IP non impedisce a Google LLC di re-identificare l’utente medesimo. Sussiste, inoltre, in capo alla medesima Google LLC la possibilità − qualora l’interessato abbia effettuato l’accesso al proprio profilo Google − di associare l’indirizzo IP ad altre informazioni aggiuntive già in suo possesso (quali le informazioni contenute nell’account utente). Tale operazione, pertanto, nonostante l’attivazione dell’IP-Anonymization”, consente comunque la possibile re-identificazione dell’utente.
- Nel caso di Google, quindi, siamo in presenza di un trasferimento dei dati personali verso gli USA che non garantisce un livello di protezione adeguato ai sensi della normativa di protezione dei dati, considerato che esistono delle normative che permettono l’accesso ai dati da parte, ad esempio, di enti governativi con maggior facilità e meno tutele degli interessati.
Questo provvedimento rappresenta un provvedimento c.d. pilota che ricorda a tutti i titolari del trattamento di:
a) adottare misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento dei dati è effettuato conformemente alla norma.
b) verificare, nel caso di trasferimento dei dati personali fuori dall’Unione Europea, se la legge o la prassi applicata nel paese terzo offrano adeguate garanzie per gli interessati e, ove la verifica abbia un esito negativo, implementare misure supplementari che consentano al soggetto che riceva i dati personali di assicurare il livello di protezione richiesto dal GDPR.
In conclusione, ogni Titolare del Trattamento che gestisce un sito web è libero di utilizzare qualsiasi strumento per la misurazione delle statistiche dei propri utenti,
purché, dimostri che questo sia conforme al GDPR . Quindi sarà necessario valutare caso per caso la compliance degli strumenti scelti e, nel caso, valutare altri strumenti di misurazione che offrono maggiori garanzie per i diritti e le libertà degli interessati. Al riguardo, il Garante Francese (CNIL) nel provvedimento relativo a Google Analytics indica alcuni strumenti di misurazione alternativi a Google, quindi può rappresentare un valido supporto per le future scelte.