Stai usando una versione precedente del browser. Usa una versione supportata per vivere al meglio l'esperienza su MSN.

Il Garante privacy stoppa Google analytics

Logo Italia Oggi Italia Oggi 27/06/2022 Massimo Maioletti e Edoardo Coia, Evershed southerland
Il Garante privacy stoppa Google analytics © ItaliaOggi Il Garante privacy stoppa Google analytics  

Sul solco aperto dall’autorità austriaca, poi calcato dall’autorità francese, anche il Garante per la Protezione dei Dati Personali (“Garante”), con provvedimento del 9 giugno 2022 – annunciato come “primo di una serie” - ha sostanzialmente affermato l’illiceità del trasferimento di dati personali negli Stati Uniti effettuato dal gestore di un sito Internet tramite l’utilizzo di Google Analytics (“GA”), in quanto ciò costituisce trasferimento senza garanzie verso un Paese privo di un adeguato livello di protezione dei dati degli Utenti.

Come noto, a seguito della pronuncia della Corte di Giustizia dell’UE C-311/18, del 16 luglio 2020 (c.d. Schrems II) - che ha dichiarato l’invalidità della decisione della Commissione UE n. 2016/1250 del 12 luglio 2016, sull’adeguatezza della protezione offerta dal regime dello scudo UE-USA per la privacy (c.d. Privacy Shield), constatando che il diritto interno degli Stati Uniti (in particolare l’Executive Order 12333 e l’art. 702 del Foreign Intelligence Surveillance Act - di seguito “FISA 702”) comporta deroghe alla normativa in materia di protezione di dati che eccedono le restrizioni ritenute necessarie in una società democratica - già l’Autorità Austriaca e  poi quella Francese si erano espressa nel ritenere sostanzialmente illeciti i trasferimenti di dati personali raccolti attraverso GA.

Stante l’estrema diffusione del ricorso a tale strumento offerto dal colosso di Mountain View e la scarsità di alternative di prodotti equivalenti sul mercato, la questione era divenuta oggetto di estrema attenzione, preoccupazione e disorientamento per la gran parte degli operatori attivi con propri siti in rete e si attendeva di conoscere anche quale fosse la posizione dell’Autorità italiana.

Ebbene, nel caso di specie il Garante ha condotto una complessa istruttoria avviata sulla base di una serie di reclami e in coordinamento con altre autorità privacy europee. Dall’indagine è emerso che i gestori dei siti web che utilizzano GA raccolgono, mediante cookie, dati sulle interazioni degli utenti con i predetti siti, le singole pagine visitate e i servizi proposti. Tra i molteplici dati raccolti sono inclusi l’indirizzo IP del dispositivo dell’utente, le informazioni relative al browser, al sistema operativo, alla risoluzione dello schermo, alla lingua selezionata, nonché la data e l’ora della visita al sito web e tali dati sono oggetto di trasferimento verso gli Stati Uniti. Nel dichiarare l’illiceità del trattamento per i motivi espressi dalla Corte d Giustizia nella decisione Schrems II, il Garante ha inoltre ribadito che l’indirizzo IP costituisce un dato personale e ha evidenziato che, anche nei casi in cui nell’utilizzo dei GA l’indirizzo IP viene troncato, ciò non comporta comunque la sua effettiva anonimizzazione, considerata la capacità di Google di arricchirlo con altri dati di cui è in possesso e, di fatto, risalire all’identità dell’utente. Tale tecnica pertanto non consente di escludere un trasferimento verso Google negli Stati Uniti, con ogni conseguenza in merito alla sua legittimità.


Video: Orlando: "Confronto aperto su cumulo Reddito cittadinanza e stipendio stagionale" (Agenzia Vista)

SUCCESSIVO
SUCCESSIVO

Nel caso in questione, inoltre, il Garante ha evidenziato come, alla luce delle indicazioni fornite dall’European Data Protection Board (“EDPB”), le misure che integrano gli strumenti di trasferimento adottate da Google non garantiscono, allo stato, un livello adeguato di protezione dei dati personali degli utenti (ad es. eventuali misure contrattuali non vincolano le autorità pubbliche negli Stati Uniti, né la cifratura dei dati come misura tecnica risulta sufficiente laddove l’importatore debba mettere a disposizione delle autorità anche le chiavi di decifratura).

Il Garante ha ribadito, inoltre, che “l’attuazione del principio di accountability con riferimento ai trasferimenti di dati verso paesi terzi, pone in capo al titolare, in qualità di esportatore, la responsabilità di verificare, caso per caso e, ove necessario, in collaborazione con l’importatore nel paese terzo, se la legge o la prassi di quest’ultimo incidano sull’efficacia delle garanzie adeguate contenute negli strumenti di trasferimento di cui all’articolo 46 del Regolamento. In tali casi, l’esportatore è tenuto ad adottare, in applicazione di tale principio, misure supplementari che consentano all’importatore di rispettare gli obblighi previsti dallo strumento adottato a sensi dell’art. 46 del Regolamento; tutto ciò al fine di assicurare che il livello di protezione delle persone fisiche garantito dal Regolamento non sia pregiudicato”.

Eventuali carenze di autonomia nelle decisioni sui trasferimenti nei Paesi terzi da parte dei titolari che si servono dei GA non possono quindi costituire una valida argomentazione per una mancata regolamentazione dei trasferimenti.

All’esito di tali accertamenti il Garante ha dunque riscontrato alcune violazioni della normativa in materia di protezione dei dati personali e ha ammonito la società oggetto del procedimento, ingiungendo alla stessa di conformarsi al Regolamento europeo entro novanta giorni, tempo ritenuto congruo per consentire al gestore di adottare misure adeguate per il trasferimento, a pena della sospensione dei flussi di dati effettuati, per il tramite di GA, verso gli Stati Uniti.

Con il provvedimento in esame, il Garante ha anche richiamato all’attenzione di tutti i gestori italiani di siti web, pubblici e privati, l’illiceità dei trasferimenti effettuati verso gli Stati Uniti attraverso GA, invitando i medesimi a verificare la conformità alla normativa in materia di protezione dei dati personali delle modalità di utilizzo di cookie e altri strumenti di tracciamento utilizzati sui propri siti web, con particolare attenzione ai GA.

Pertanto, enti pubblici, imprese ed organizzazioni private, dovranno, ora più che mai, necessariamente procedere a una verifica delle attività di trattamento condotte sui propri siti internet – verifica peraltro già richiesta in via generale ai sensi del GDPR e, in particolare, per conformità alle prescrizioni delle recenti Linee Guida sui cookie e gli altri strumenti di tracciamento del Garante – e, nel caso utilizzino i GA, valutare ogni più adeguata soluzione per svolgere le medesime attività di analisi in conformità alla normativa a tutela dei dati personali.

Scegli tu!
Scegli tu!

Altro da Italia Oggi

image beaconimage beaconimage beacon