Facciamo chiarezza. Il Garante della Privacy ha bloccato l’uso di Google Analytics per la gestione dei cookies e della privacy del sito, dopo aver individuato in un sito che usa gli strumenti di Big G i requisiti per determinare la violazione delle norme europee. Si legge sul sito del Garante: “Il sito web che utilizza il servizio Google Analytics (GA), senza le garanzie previste dal Regolamento Ue, viola la normativa sulla protezione dei dati perché trasferisce negli Stati Uniti, Paese privo di un adeguato livello di protezione, i dati degli utenti”.
Lo ha affermato il Garante per la privacy a conclusione di una complessa istruttoria avviata sulla base di una serie di reclami e in coordinamento con altre autorità privacy europee. Dall’indagine del Garante è emerso che i gestori dei siti web che utilizzano Google Analytics per la gestione delle regole imposte dal GDPR raccolgono, mediante cookie, informazioni sulle interazioni degli utenti con i predetti siti, le singole pagine visitate e i servizi proposti. Tra i molteplici dati raccolti, indirizzo IP del dispositivo dell’utente e informazioni relative al browser, al sistema operativo, alla risoluzione dello schermo, alla lingua selezionata, nonché data e ora della visita al sito web. Tali informazioni sono risultate oggetto di trasferimento verso gli Stati Uniti. Nel dichiarare l’illiceità del trattamento è stato ribadito che l’indirizzo IP costituisce un dato personale e anche nel caso fosse troncato non diverrebbe un dato anonimo, considerata la capacità di Google di arricchirlo con altri dati di cui è in possesso. Questo caso è limitatamente all’uso di Analytics anche come gestore dei cookie e dei dati imposti dal GDPR, non ha nulla a che vedere con i dati di traffico generati dalla piattaforma.
Google Analytics, il Garante Privacy e la vicenda di Caffeina
Basta leggere l’esito degli accertamenti che il Garante ha adottato nel primo di una serie di provvedimenti con cui ha ammonito Caffeina Media S.r.l. che gestisce un sito web, ingiungendo alla stessa di conformarsi al Regolamento europeo entro novanta giorni. Il tempo indicato è stato ritenuto congruo per consentire al gestore di adottare misure adeguate per il trasferimento, pena la sospensione dei flussi di dati effettuati, per il tramite di GA, verso gli Stati Uniti.
Il Garante ha evidenziato, in particolare, la possibilità, per le Autorità governative e le agenzie di intelligence statunitensi, di accedere ai dati personali trasferiti senza le dovute garanzie, rilevando al riguardo che, alla luce delle indicazioni fornite dall’EDPB (Raccomandazione n. 1/2020 del 18 giugno 2021), le misure che integrano gli strumenti di trasferimento adottate da Google non garantiscono, allo stato, un livello adeguato di protezione dei dati personali degli utenti.
Si legge nella nota di ammonimento a Caffeina:
la titolarità dei trattamenti posti in essere mediante il sito www.caffeinamagazine.it è in capo alla Società; ciò a differenza di quanto a suo tempo indicato nel modello di informativa, resa sul predetto sito web ai sensi dell’art. 13 del Regolamento, che conteneva l’erroneo riferimento – ora rettificato – a Caffeina Media Ltd;
il trattamento dei dati personali degli utenti del sito www.caffeinamagazine.it è posto in essere dalla Società per il tramite dello strumento di Google Analytics (di seguito anche “GA”) nella sua “versione gratuita” (v. nota del 15 ottobre 2021, pag. 3 e nota del 22 dicembre 2021, pag. 2);
la Società “non ha né visibilità del dettaglio dei dati raccolti, né può precisamente descriverne le tipologie” e “ha scelto di avvalersi di [Google Analytics] anche perché Google afferma di trattare soltanto dati pseudonimi e su base cookie”; trattasi nel dettaglio di: “(i) cookie, (ii) dati relativi al dispositivo/browser (iii) indirizzo IP e (iv) attività sul sito” (v. nota del 15 ottobre 2021, pagg. 2 e 3);
Caffeina Media S.r.l. “è vincolata al testo contrattuale [“Google Analytics Terms of Service”] approvato in piattaforma (testo standard imposto dal fornitore Google)” e “come emerge dalla documentazione contrattuale imposta da Google, Google agisce in qualità di responsabile del trattamento dei dati raccolti tramite Google Analytics” (v. nota del 15 ottobre 2021, pag. 3);
Con l’occasione l’Autorità richiama all’attenzione di tutti i gestori italiani di siti web, pubblici e privati, l’illiceità dei trasferimenti effettuati verso gli Stati Uniti attraverso Google Analytics, anche in considerazione delle numerose segnalazioni e quesiti che stanno pervenendo all’Ufficio. E invita tutti i titolari del trattamento a verificare la conformità delle modalità di utilizzo di cookie e altri strumenti di tracciamento utilizzati sui propri siti web, con particolare attenzione a Google Analytics e ad altri servizi analoghi, con la normativa in materia di protezione dei dati personali.
Allo scadere del termine di 90 giorni assegnato alla società destinataria del provvedimento, il Garante procederà, anche sulla base di specifiche attività ispettive, a verificare la conformità al Regolamento Ue dei trasferimenti di dati effettuati dai titolari.
