Anche il Garante italiano dice stop all’uso degli Analytics

La questione riguardante il Provvedimento del 9 giugno 2022 [9782890] pronunciato dal Garante privacy avente ad oggetto lo stop all’uso degli Analytics, in quanto dati trasferiti negli Usa senza adeguate garanzie, si presta ad essere difficile e molto tecnica.

È doverosa questa promessa perché da un punto di vista di analisi strettamente legale il provvedimento è a carattere individuale e contiene solo un’ammonizione (e non già una sanzione).

In ogni caso, fa emergere un problema destinato a diventare ben presto oggetto di Linee guida del Garante stesso per cui è bene cominciare a capire come arginare, nell’immediato e poi stabilmente, la questione dell’uso di Google Analytics. 

Il Garante ha adottato tale decisione, a seguito di segnalazione fatta da un soggetto privato, con cui ha ammonito Caffeina Media S.r.l. titolare del proprio sito web, ingiungendo alla stessa di conformarsi al Regolamento europeo entro novanta giorni cui ha concesso 90 giorni per consentire al gestore di adottare misure adeguate al trasferimento, pena la sospensione dei flussi di dati effettuati, per il tramite di GA, verso gli Stati Uniti.

Dall’indagine del Garante è emerso che i gestori dei siti web che utilizzano Google Analytics raccolgono, mediante cookie, informazioni sulle interazioni degli utenti con i predetti siti, le singole pagine visitate e i servizi proposti. Tra i molteplici dati raccolti, indirizzo IP del dispositivo dell’utente e informazioni relative al browser, al sistema operativo, alla risoluzione dello schermo, alla lingua selezionata, nonché data e ora della visita al sito web. Tali informazioni sono risultate oggetto di trasferimento verso gli Stati Uniti. Nel dichiarare l’illiceità del trattamento è stato ribadito che l’indirizzo IP costituisce un dato personale e anche nel caso fosse troncato non diverrebbe un dato anonimo, considerata la capacità di Google di arricchirlo con altri dati di cui è in possesso.

Un passaggio fondamentale del provvedimento verte infatti proprio sull’opzione cd. IP- Anonymization” prevista da Google Analytics.

Sotto questo profilo il Garante ha ritenuto che l’anonimizzazione non sia misura sufficiente al fine di garantire la giusta tutela richiesta dalla normativa. In particolare, l’Autorità ha affermato infatti che “l’indirizzo IP costituisce un dato personale nella misura in cui consenta di identificare un dispositivo di comunicazione elettronica, rendendo pertanto indirettamente identificabile l’interessato in qualità di utente, soprattutto nei casi in cui l’IP sia associato ad altre informazioni relative al browser utilizzato, alla data e all’ora della navigazione“. Sulla base di questo presupposto fondamentale, il Garante ha poi rilevato che l’opzione IP-Anonymization” consiste di fatto in un oscuramento dell’ottetto meno significativo dell’indirizzo IP e che ciò “non impedisce a Google LLC di re-identificare l’utente medesimo, tenuto conto delle informazioni complessivamente detenute dalla stessa relative agli utenti del web“.

Ciò, soprattutto, nel caso in cui l’utente, in fase di navigazione, abbia effettuato l’accesso al suo account Google: in questo caso sarebbe possibile associare l’IP ad altre informazioni aggiuntive di cui Google è già in possesso quali, ad esempio, indirizzo e-mail, numero di telefono e altri dati personali, tra cui genere, data di nascita e immagine del profilo.

Con riguardo invece alla cifratura dei dati, l’Autorità ha ritenuto la misura inadeguata, sostenendo che la stessa non sia sufficiente ad evitare i rischi di accesso ai dati da parte di Autorità pubbliche degli Stati Uniti. 

A seguito della pronuncia, non sono emerse indicazioni precise e/o azioni consigliate da parte del Garante.

Vi è un generale richiamo rivolto a tutti i gestori italiani di siti web, pubblici e privati, a verificare l’effettiva illiceità dei trasferimenti effettuati verso gli Stati Uniti attraverso Google Analytics, anche in considerazione delle numerose segnalazioni che si stanno registrando a seguito di detta pronuncia.

L’Autorità auspica che ogni Titolare proceda con le dovute verifiche circa la conformità delle modalità di utilizzo di cookie e altri strumenti di tracciamento utilizzati sui propri siti web, con particolare attenzione a Google Analytics.

Il consiglio è, pertanto, quello di dismettere l’utilizzo di Google Analytics e valutare strumenti alternativi da adottare all’uso di Google Analytics.

Si suggerisce inoltre ai Titolari del trattamento gestori di siti web di valutare se, almeno a livello di privacy policy, si è a norma ex GDPR perché il rischio di ispezione / segnalazione da parte dell’Autorità Garante è più alto che mai.

Calendario Corsi Live

Nessun evento trovato!

Archivio