Un provvedimento che riguarda tutti noi e le nostre aziende. Il Garante privacy impone lo stop all’uso di Google Analytics: dati trasferiti negli Usa senza adeguate garanzie.
Il sito web che utilizza il servizio Google Analytics (GA), senza le garanzie previste dal Regolamento Ue, viola la normativa sulla protezione dei dati perché trasferisce negli Stati Uniti, Paese privo di un adeguato livello di protezione, i dati degli utenti.
Lo ha affermato il Garante per la Privacy a conclusione di una complessa istruttoria avviata sulla base di una serie di reclami e in coordinamento con altre autorità privacy europee. Dall’indagine del Garante è emerso che i gestori dei siti web che utilizzano GA raccolgono, mediante cookie, informazioni sulle interazioni degli utenti con i predetti siti, le singole pagine visitate e i servizi proposti. Tra i molteplici dati raccolti, indirizzo IP del dispositivo dell’utente e informazioni relative al browser, al sistema operativo, alla risoluzione dello schermo, alla lingua selezionata, nonché data e ora della visita al sito web. Tali informazioni sono risultate oggetto di trasferimento verso gli Stati Uniti. Nel dichiarare l’illiceità del trattamento è stato ribadito che l’indirizzo IP costituisce un dato personale e anche nel caso fosse troncato non diverrebbe un dato anonimo, considerata la capacità di Google di arricchirlo con altri dati di cui è in possesso.
All’esito di tali accertamenti il Garante ha adottato il primo di una serie di provvedimenti con cui ha ammonito Caffeina Media S.r.l. che gestisce un sito web, ingiungendo alla stessa di conformarsi al Regolamento europeo entro novanta giorni. Il tempo indicato è stato ritenuto congruo per consentire al gestore di adottare misure adeguate per il trasferimento, pena la sospensione dei flussi di dati effettuati, per il tramite di GA, verso gli Stati Uniti.
Il Garante ha evidenziato, in particolare, la possibilità, per le Autorità governative e le agenzie di intelligence statunitensi, di accedere ai dati personali trasferiti senza le dovute garanzie, rilevando al riguardo che, alla luce delle indicazioni fornite dall’EDPB (Raccomandazione n. 1/2020 del 18 giugno 2021), le misure che integrano gli strumenti di trasferimento adottate da Google non garantiscono, allo stato, un livello adeguato di protezione dei dati personali degli utenti.
Con l’occasione l’Autorità richiama all’attenzione di tutti i gestori italiani di siti web, pubblici e privati, l’illiceità dei trasferimenti effettuati verso gli Stati Uniti attraverso GA, anche in considerazione delle numerose segnalazioni e quesiti che stanno pervenendo all’Ufficio. Invita pertanto tutti i titolari del trattamento a verificare la conformità delle modalità di utilizzo di cookie e altri strumenti di tracciamento utilizzati sui propri siti web, con particolare attenzione a Google Analytics e ad altri servizi analoghi, con la normativa in materia di protezione dei dati personali.
Allo scadere del termine di 90 giorni assegnato alla società destinataria del provvedimento, il Garante procederà, anche sulla base di specifiche attività ispettive, a verificare la conformità al Regolamento Ue dei trasferimenti di dati effettuati dai titolari.
Guido Scorza su Google Analytics: “La soluzione deve essere politica, tra Stati Uniti e UE”
Guido Scorza, Componente del Garante per la protezione dei dati personali, è stato intervistato riguardo al vero e proprio terremoto che il 23 Giugno scorso si è abbattuto sull’ecosistema dei siti web italiani. Il Garante della Privacy ha infatti pubblicato un documento in cui dava conto del risultato di un’istruttoria – partita dal caso di Caffeina Media srl – che evidenziava violazioni sul trasferimento dei dati personali per il sito web che utilizza il tracciamento di Google Analytics. È un problema vasto, che interessa la quasi totalità dei siti web italiani, vista la posizione dominante sul mercato dello stesso servizio di analitica di Google. Per cercare di capire qualcosa in più su quanto accaduto, è stata chiesta a Guido Scorza, componente del collegio del Garante per la protezione dei dati personali, la ratio dietro a questa decisione.
Garante e Google Analytics, l’intervista a Guido Scorza
«Il contesto è quello dell’ormai famosa decisione della Corte di Giustizia dell’Unione Europea che ha di fatto annullato il Privacy Shield che garantiva l’export di dati verso gli Stati Uniti d’America – ha spiegato Guido Scorza a Giornalettismo -. La Corte di Giustizia ha evidenziato che tra i due ecosistemi non ci sono le stesse garanzie di tutela: negli Usa, le condizioni per i dati personali importati dall’Europa non sono le stesse. In particolare, le agenzie di intelligence possono accedere con più facilità ai dati dei cittadini europei e i cittadini europei, in casi di violazioni, non possono appoggiarsi a una autorità garante della privacy che possa offrire loro tutela. Google Analytics, come un sacco di altri servizi americani, presuppone un trasferimento di dati dall’Europa agli Stati Uniti, dati potenzialmente utili a identificare gli utenti che visitano un sito internet che è cliente di Google Analytics: indirizzi IP, identificativi di browser, connessione e tempo di connessione. Essendo, ad oggi, vietato il trasferimento dei dati verso gli Usa, ed avendo ricevuto dei reclami nei confronti di questo aspetto, ci siamo adeguati. La nostra intenzione non era quella di trovare il cattivo del gruppo».
E infatti, l’effetto potrà diffondersi a cascata. L’orizzonte è quello dei 90 giorni che il Garante ha concesso per effettuare le opportune verifiche. Ma la questione non può risolversi in alcun modo “in casa”. Si tratta di un problema politico, che deve giocarsi tra Bruxelles e Washington. Esattamente come accaduto a marzo dell’anno scorso, quando il presidente Usa e quella della commissione europea avevano trovato un’intesa sull’annoso problema del trasferimento dei dati personali a parità di garanzie.
«Il vero nodo non si può sciogliere a valle, ma a monte – conferma Guido Scorza -. Significa passare dall’impegno politico che a marzo Joe Biden e Ursula von der Leyen hanno preso per uniformare l’allineamento americano a quello comunitario, rendendo semplice e legittimo il trasferimento dei dati agli Stati Uniti. Quello che manca a quell’accordo politico è un accordo giuridicamente vincolante. Noi stiamo giocando di supplenza, in un tratto specifico della filiera, legata a un singolo episodio: ma il problema è molto più ampio».
Cosa fare, ora, se si è utenti di Google Analytics?
Il problema pratico che, adesso (o comunque tra 90 giorni), riguarderà tutti i gestori di siti web italiani che usano Google Analytics è rappresentato da un’unica domanda: cosa fare? Nella community c’è fermento, si moltiplicano richieste e si propongono fantasiose soluzioni. Al momento, secondo il collegio del Garante, ci sono pochi punti fermi: «Il trasferimento dei dati negli Stati Uniti non è vietato a prescindere. Il dubbio che ora è diffuso – il nostro provvedimento segue quello dei colleghi austriaci e francesi – da parte delle autorità di protezione è che esista allo stato una modalità di Google Analytics conforme, su cui si possano applicare le garanzie legate al trattamento dei dati. Dire se questo è possibile o non è possibile sta ai vari siti e a Google. Il nostro provvedimento non è un semplice blocco: nel documento si dice al gestore del sito se nei 90 giorni successivi riuscirà a usare questo servizio a norma di GDPR; in caso contrario bisogna fermarsi».
Una speranza può essere rappresentata dall’ormai imminente passaggio alla versione di Google Analytics 4, che sta già creando più di un grattacapo ai gestori dei siti web: «In teoria può esistere un modo per usare in maniera conforme Google Analytics, in pratica è legittimo dubitarne – dice Scorza -. Capire su quale sponda ci troviamo è compito dei titolari del trattamento. Una volta che sapremo di più su Google Analytics 4, bisognerà fare una verifica di conformità. Sicuramente sul versante degli indirizzi IP ci sarà una semplificazione, il punto è capire se la quantità di dati personali, che comunque anche con questa nuova versione passeranno da una parte all’altra, sarà tale da dichiarare risolto il problema o no».
L’unica certezza è che la portata di questa decisione potrebbe essere epocale e che, in assenza di un provvedimento politico, si possa fare ben poco. «La portata del problema – conclude Guido Scorza – è tanto vasta quanto è la posizione di un leader di mercato come Google Analytics. È realistico supporre che la più parte o la totalità degli utenti italiani di Google Analytics si trovino esattamente nella stessa condizione in cui si è trovato il titolare del trattamento oggetto del nostro provvedimento. La nostra principale speranza è che nei prossimi 90 giorni intervenga un accordo giuridicamente vincolante tra Europa e Stati Uniti. In caso contrario, si configura lo scenario peggiore: il moltiplicarsi di provvedimenti di blocco in relazione ai quali poco si potrà fare. Andranno adottati e saranno destinati ad estendersi a macchia d’olio anche fuori dal perimetro di Google Analytics». E in quel caso, non sarà un bel momento per la maggior parte dei siti e dei servizi online in Italia.
Fonte: Garante privacy