Google Analytics e il trasferimento di dati negli Stati Uniti: mancano adeguate garanzie
L’utilizzo del servizio Google Analytics (GA) nei siti web, in assenza delle garanzie richieste dal Regolamento Europeo n. 2016/679 (RGPD o GDPR), viola la normativa europea sulla protezione dei dati in virtù del trasferimento delle informazioni degli utenti negli Stati Uniti, paese che attualmente non offre adeguate garanzie in materia di protezione dei dati personali.
È quanto ha affermato l’Autorità garante per la protezione dei dati personali al termine di complesse indagini effettuate in coordinamento con altre autorità europee.
L’argomento ha catalizzato l’attenzione degli organi competenti a causa delle numerose segnalazioni da parte dell’utenza sull’utilizzo dello strumento ideato da Google.
Ancora una volta un problema di cookie
Protagonisti della vicenda i noti cookie. Secondo quanto emerso, infatti, i gestori dei siti web che si avvalgono di Google Analytics raccolgono attraverso i cookie numerosissime informazioni relative alle interazioni degli utenti con il sito medesimo, le pagine visitate e i servizi presenti.
Tra i dati raccolti, a titolo esemplificativo, emergono:
- indirizzo IP del dispositivo utilizzato dall’utente;
- ulteriori informazioni inerenti al browser e al tipo di sistema operativo utilizzato;
- risoluzione dello schermo;
- lingua selezionata;
- data e ora a cui risale la visita del sito web.
A tal proposito, il Garante ha ribadito che l’indirizzo IP è qualificabile come dato personale anche se incompleto, proprio a causa della capacità di Google Analytics di rendere identificato o identificabile l’utente o il dispositivo mediante l’utilizzo di tutte le ulteriori informazioni raccolte.
I dati acquisiti mediante i già menzionati cookie, come verificato dall’Autorità, sono trasferiti verso gli Stati Uniti. Orbene, tale trasferimento mette a rischio le succitate informazioni in considerazione della possibilità per le autorità governative e le agenzie di intelligence statunitensi di accedere ai dati personali trasferiti senza le dovute garanzie.
Emerge, pertanto, che «le misure che integrano gli strumenti di trasferimento adottate da Google non garantiscono, allo stato, un livello adeguato di protezione dei dati personali degli utenti», anche alla luce di quanto stabilito dal Comitato Europeo per la Protezione dei Dati Personali (EDPB) con la raccomandazione n. 1/2020 del 18/06/2021.
Si rammenta a tal proposito che, nel caso in questione, il titolare del trattamento dei dati personali è inquadrabile come “esportatore” di informazioni verso paesi terzi e, pertanto, ricade in capo allo stesso la responsabilità di verificare, secondo quanto previsto dall’art. 46 del GDPR, anche in collaborazione col soggetto “importatore”, che tali paesi offrano adeguate tutele e garanzie in merito alla protezione dei dati personali. Qualora da tale verifica emergano delle criticità, è onere del titolare del trattamento porre in essere ulteriori misure cautelative finalizzate a garantire la conformità delle attività di trattamento agli standard richiesti dal GDPR.
Il provvedimento del Garante: un monito ai gestori di siti web
In considerazione di quanto emerso dall’istruttoria e dai fatti esposti, l’Autorità ha ammonito Caffeina Media S.r.l., società che gestisce uno dei siti web dove sono state riscontrate le violazioni descritte, concedendo alla stessa 90 giorni di tempo per adeguarsi ai dettami del GDPR, nello specifico in riferimento al trasferimento dei dati personali verso Paesi Terzi.
Il Garante, inoltre, ha sottolineato il gran numero di segnalazioni e quesiti giunti alla sua attenzione in merito alla questione, invitando i gestori di siti internet, pubblici e privati, a verificare che i cookie e gli ulteriori sistemi di tracciamento presenti sui loro portali online, con particolare attenzione a Google Analytics e ad altri servizi analoghi, siano conformi a quanto prescritto dalla normativa vigente.
In conclusione, l’Autorità annuncia esplicitamente che, allo scadere del termine di 90 giorni, partiranno dei serrati controlli, anche per mezzo di attività ispettive, finalizzati a verificare l’adeguamento alla normativa in materia di protezione dei dati personali.
Il provvedimento del Garante e le successive dichiarazioni, in definitiva, pongono l’accento sul concetto di Accountability, principio fondamentale che permea lo spirito del Regolamento UE n. 2016/679.
Il monito del Garante appare quindi come una sorta di “avviso bonario” nei confronti di quei titolari del trattamento che non hanno ancora ben compreso quanto la protezione dei dati personali sia questione complessa e di primaria importanza, tanto da richiedere un impegno comune volto alla condivisione di un obiettivo nobilissimo, ossia la protezione delle persone fisiche attraverso la tutela dei loro dati personali.