Dal Garante Privacy lo stop all’utilizzo di Google Analytics

Con un provvedimento adottato il 9 giugno 2022 il Garante Privacy ha dichiarato l’incompatibilità del trasferimento di dati personali effettuato da una società che utilizza Google Analytics per l’effettuazione di analisi statistiche sugli utenti funzionali a ottimizzare i servizi resi e a monitorare le proprie campagne di marketing.

Come noto, la problematica risiede nel fatto che le agenzie di intelligence statunitensi sono in grado di accedere ai dati personali gestiti dalle aziende big tech più agevolmente rispetto a quanto è possibile in Europa. Inoltre, gli utenti interessati non dispongono di effettivi strumenti di difesa rispetto a eventuali trattamenti illeciti di dati negli USA.

Già a luglio 2020 la CGUE (Corte di Giustizia dell’Unione europea) aveva dichiarato invalido l’accordo UE-USA definito “Privacy Shield” affermando l’illegittimità dei trasferimenti di dati personali di cittadini europei negli Stati Uniti. Veniva quindi sancito il divieto di flussi di dati personali verso gli USA a meno che gli esportatori e gli importatori di dati non adottassero misure giuridiche, tecnologiche e organizzative, in grado di eliminare i rischi per la privacy. Tuttavia, tali misure non sono sempre adottabili né risultano sempre efficaci, come appunto è stato accertato nel caso di Google Analytics.

Peraltro, tale provvedimento del Garante italiano è pienamente in linea con provvedimenti analoghi già adottati nei mesi scorsi dalle Autorità Garanti per la protezione dei dati personali di Austria e Francia.

Con il provvedimento in questione, il Garante Privacy italiano ha, quindi, ordinato alla società italiana che utilizza Google Analytics di conformare al Capo V del Regolamento, nei novanta giorni dalla notifica del provvedimento, il trattamento di dati personali degli utenti del sito effettuato per il tramite di Google Analytics, adottando misure supplementari adeguate; o, in alternativa, di sospenderne l’utilizzo

Si tratta di un provvedimento che, ovviamente, obbliga solo la società che ne è destinataria, ma da un comunicato stampa del Garante reperibile a questo link risulta chiaro che il principio su cui il provvedimento si fonda debba applicarsi a tutti i trasferimenti di dati personali sottesi, alle stesse condizioni, all’utilizzo di Google Analytics da parte di altri società/enti operanti in Italia.

Infatti, nel citato comunicato stampa, il Garante ha preannunciato delle verifiche sugli stessi allo scadere del medesimo termine concesso alla società oggetto del provvedimento per rendersi conforme alla normativa sul trasferimento dei dati.

In particolare, il Garante ha specificato quanto segue:

Con l’occasione l’Autorità richiama all’attenzione di tutti i gestori italiani di siti web, pubblici e privati, l’illiceità dei trasferimenti effettuati verso gli Stati Uniti attraverso GA, anche in considerazione delle numerose segnalazioni e quesiti che stanno pervenendo all’Ufficio. E invita tutti i titolari del trattamento a verificare la conformità delle modalità di utilizzo di cookie e altri strumenti di tracciamento utilizzati sui propri siti web, con particolare attenzione a Google Analytics e ad altri servizi analoghi, con la normativa in materia di protezione dei dati personali.

Allo scadere del termine di 90 giorni assegnato alla società destinataria del provvedimento, il Garante procederà, anche sulla base di specifiche attività ispettive, a verificare la conformità al Regolamento Ue dei trasferimenti di dati effettuati dai titolari.”

Chi sceglierà di continuare ad utilizzare Google Analytics, dovrà al momento farlo nella consapevolezza di esporsi a un rischio di subire sanzioni in seguito a possibili reclami, segnalazioni e/o alle attività ispettive preannunciate dal Garante Privacy, con impatti anche sulla reputation aziendale.

Si tratta peraltro di un rischio assai difficilmente calcolabile, sia in termini di probabilità di accadimento sia sotto il profilo del quantum della eventuale sanzione.

In concreto, in Italia i titolari di siti web che fanno ricorso a Google Analytics si trovano al momento a dover scegliere tra le seguenti soluzioni per agire in compliance con il quadro normativo attuale:

  • In ottica di conformità al principio generale di minimizzazione dei dati (art. 5, par. 1, lett.c del GDPR) – e quindi, a monte, a prescindere dalla questione in oggetto – verificare la necessità, rispetto alle effettive esigenze della propria organizzazione, di implementare uno strumento di tracciamento del traffico web (nello specifico, Google Analytics), e, nel caso non sia necessario rispetto alle finalità che si intendono perseguire, disabilitarlo;
  • Valutare l’adozione di strumenti alternativi di web analytics che non trasferiscano illecitamente i dati degli utenti al di fuori dell’Area Economica Europea. A questo link, ad esempio, è possibile trovare un elenco di soluzioni alternative proposte dal CNIL – il Garante Privacy francese – che possono essere utilizzate per tracciare il traffico sui propri siti web in conformità con la normativa sul trasferimento dei dati, reperibile a questo link
Facebook
Twitter
LinkedIn
WhatsApp
L’avvocato Maria Livia Rizzo svolge attività di consulenza legale stragiudiziale nel settore sanitario pubblico e privato nell’ambito della protezione dei dati personali – con

Ti potrebbe interessare anche...

Vuoi ricevere la newsletter informativa dello studio legale Stefanelli&Stefanelli?