GARANTE DELLA PRIVACY: STOP A GOOGLE ANALYTICS ANCHE IN ITALIA?
La pronuncia del Garante in merito al trasferimento illegale di dati verso gli Stati Uniti
Ieri, giovedì 23 Giugno 2022, il Garante della protezione dei dati personali italiano si è unito alle proclamazioni precedenti dell’Autorità francese e dell’Autorità austrica dichiarando illegale il trasferimento dei dati, raccolti dagli utilizzatori del servizio di Google Analytics, verso le sedi negli Stati Uniti, un Paese che non offre un adeguato livello di protezione per gli utenti; la pratica è stata ritenuta vietata per il fatto che le agenzie di intelligence statunitensi possono accedere ai dati senza nessuna garanzia.
Il Garante, con il suo provvedimento, prodotto al termine di una lunga istruttoria avviata a seguito di una serie di reclami e coordinata con l’azione congiunta di altre autorità europee che si occupano di vigilanza della privacy, ha esplicitato che i siti web che utilizzano il software di analisi di Google Analytics senza opportune considerazioni violano il GDPR, la legge europea sulla protezione dei dati.
Ora come ora, la decisione dell'Autorità è stata indirizzata esclusivamente a Caffeina Media s.r.l., obbligata ad adottare misure opportune per adeguare il proprio sito web alle norme Ue sulla protezione dei dati in un lasso di tempo di 90 giorni; se, alla scadenza dei termini previsti, la società non dovesse agire, essa non potrà più utilizzare Google Analytics e dovrà pagare una sanzione amministrativa.
Perché il trasferimento dati di Google Analytics è illegale?
I siti web utilizzatori di Google Analytics, raccolgono numerose informazioni e dati, dal tipo di browser al sistema operativo, dalla risoluzione dello schermo alla lingua, dalla data e ora di accesso fino all’indirizzo IP, e li utilizzano per produrre delle statistiche dettagliate per monitorare i servizi offerti e in particolar modo le campagne pubblicitarie di marketing; l’indirizzo IP, unitamente ad altri tipi di informazioni, sono dati personali, dunque riconducibili ad una specifica persona, e pertanto non possono essere inviati negli USA.
Google, è in grado di combinare tra loro i dati raccolti, riconducendoli ad un indirizzo e-mail; dunque parlare di anonimizzazione dei dati è scorretto. Dopotutto Google, grazie alle informazioni che possiede, è in grado di identificare sempre i suoi utilizzatori, specialmente effettuando analisi sull'esplorazione condotta dagli utenti nei siti web.
I rimedi spendibili per tentare di “salvare” l’attività di Google Analytics paiono comunque deboli e poco efficaci:
- Il trasferimento dei dati presso sedi Google europee, al posto di quelle americane, renderebbe la pratica del trasferimento lecita, ma cosa dire rispetto alla natura dei dati trasferibili? E’ lecito trasferire dati sensibili?
- Nascondere l’indirizzo IP non renderebbe l’attività di Google Analytics lecita; questo perché Google ha diverse informazioni disponibili per poter profilare ed indentificare i suoi utenti;
Il provvedimento del Garante dovrebbe essere in ogni modo utile ad indurre i gestori dei siti web a rivalutare l’utilizzo di Google Analytics e software simili, che trasferiscono illegalmente dati presso altre nazioni del mondo, cosicché questi possano scegliere di optare per l'adozione di soluzioni migliori e soprattutto lecite.