I siti web che utilizzano il servizio Google Analytics, senza le garanzie previste dal Regolamento UE, violano il GDPR perché trasferiscono negli Stati Uniti, Paese privo di un adeguato livello di protezione, i dati degli Utenti.

Lo ha stabilito il provvedimento del Garante Privacy dello scorso 9 giugno che “ha condannato” l’uso di Google Analytics ammonendo (ma non sanzionando) la Società in questione. Il provvedimento è di notevole importanza perché, a seguito di un reclamo, il Garante ha preso una sua prima posizione ufficiale su una faccenda spinosa, e cioè la liceità del trasferimento di dati verso gli Stati Uniti dopo che la Corte di Giustizia UE ha invalidato il privacy shield e nel mentre ci troviamo ancora in attesa di un nuovo accordo USA-Europa sulle garanzie per il trasferimento dei dati. In particolare, la Società è stata ammonita ed ora ha 90 giorni per introdurre adeguate misure per il trasferimento dei dati; in caso contrario, Il Garante Privacy provvederà alla sospensione dei flussi di dati verso gli USA.

Ricordiamo che Google Analytics è lo strumento di web analytics fornito da Google ai gestori dei siti internet che consente la generazione di dettagliate statistiche sugli Utenti. Lo strumento è utilizzatissimo da chi fa digital marketing per ottimizzare le proprie attività on line e la Società cui è rivolto il provvedimento del Garante non è che una delle tantissime realtà italiane sui cui sistemi è installata la versione gratuita di Google Analytics.

Il Garante Privacy non si è limitato ad ammonire la Società in questione bensì ha chiesto a tutte le società di valutare attentamente il trasferimento dei dati all’estero con strumenti come Analytics.

Il motivo per il quale Google Analytics viola il GDPR è, innanzitutto, un problema formale di nomina: Google, infatti, facendo tracciamento dei dati degli Utenti dei siti web, diviene Responsabile del Trattamento, conformemente all’art. 28 del GDPR e dovrebbe, pertanto, essere nominato relativamente alle attività di trattamento. L’impossibilità, per qualsivoglia Titolare del trattamento, di imporre a Google (o a una qualsiasi altra Big Tech) le proprie istruzioni documentate, è uno dei principali cortocircuiti del GDPR. Nei fatti Google si autonomina con i “Google Analytics Terms of Service” e i “Google Ads Data Processing Terms”, propri documenti auto prodotti e consegnati (senza alcuna possibilità di discussione) ad ogni soggetto che necessiti di utilizzare suoi applicativi, dall’alto di una palese sproporzione di forza fra le parti contrattuali. Tali accordi definiscono Google Ireland Limited come Responsabile del trattamento ex art. 28 del GDPR e annoverano tra i subfornitori l’americana Google LLC, così innescando un problema di trasferimento internazionale di dati oltre oceano.

Ma il problema risiede nel fatto che i siti web raccolgono mediante cookies informazioni in ordine alle modalità di interazione di questi ultimi con il sito web, nonché con le singole pagine e con i servizi proposti. I dati raccolti consistono in:

  • identificatori online unici che consentono sia l’identificazione del browser o del dispositivo dell’Utente che visita il sito web;
  • indirizzo, nome del sito web e dati di navigazione;
  • indirizzo IP del dispositivo utilizzato dall’Utente (oramai pacificamente considerato dato personale);
  • informazioni relative al browser, al sistema operativo, alla risoluzione dello schermo, alla lingua selezionata, nonché a data e ora della visita al sito web.

L’aggravante è data dal fatto che l’Utente del sito web può essersi loggato al proprio account Google e quindi i dati poc’anzi citati possono essere associati ad altre informazioni presenti nel relativo account quali, ad esempio, l’indirizzo email (che costituisce l’user ID dell’account), il numero di telefono ed eventuali ulteriori dati personali, tra cui il genere, la data di nascita o l’immagine del profilo.

La soluzione proposta da Google Analytics si chiama “IP-Anonymization”: lo strumento oscura le ultime cifre dell’indirizzo IP, rendendolo virtualmente anonimo e, dunque, non più soggetto al GDPR. Tale strumento, tuttavia, non sempre è implementato trattandosi di personalizzazione lasciata agli Utenti, i quali sovente ignorano persino l’esistenza della soluzione.

Secondo il Garante Privacy la Società colpita dal provvedimento non ha attivato IP-Anonymization e, se pure l’avesse fatto, ciò non sarebbe stato comunque sufficiente per l’anonimizzazione. Infatti, il nome della stessa soluzione è fuorviante: non si tratta di una reale anonimizzazione ma di mera pseudoanonimizzazione, e ciò in quanto il troncamento dell’ultimo ottetto non impedisce a Google LLC di re-identificare l’Utente medesimo, tenuto conto delle informazioni relative agli Utenti del web complessivamente detenute dalla stessa. Oltre a questo, sussiste in capo alla medesima Google LLC la possibilità, qualora l’Interessato abbia effettuato l’accesso al proprio profilo Google, di associare l’indirizzo IP ad altre informazioni aggiuntive già in suo possesso (quali le informazioni contenute nell’account Utente).

Tenuto conto che, secondo le leggi sulla sicurezza nazionale U.S.A., deve essere permesso alle Autorità governative e alle agenzie di intelligence statunitensi di accedere ai dati trattati da soggetti quali Google LLC, dando loro ampissimi poteri di accesso e d’indagine, per il GDPR questa totale discrezionalità all’accesso e all’uso dei dati dei cittadini non è ammissibile: tale discrezionalità, infatti, non consentita alle autorità pubbliche nazionali e comunitarie (soggette a una serie di vincoli e di tutele) non lo può essere neppure per le autorità pubbliche extra europee.

Il Garante Privacy, tuttavia, ha sì ordinato la sospensione dei flussi verso Google LLC con sede negli Stati Uniti ma non ha comminato sanzioni nei confronti della Società interessata dal provvedimento, dichiarando che, stante l’asimmetria di potere contrattuale derivante dalla primaria posizione di mercato assunta da Google nel settore dei servizi di web analytics la Società ha erroneamente assunto come idonee, sulla base delle informazioni rese da Google, le misure supplementari adottate da quest’ultima senza esercitare alcun potere decisionale in merito alle stesse.

Vuoi essere sicuro che il tuo sito sia a norma di legge e che stai rispettando il Regolamento per la Protezione dei Dati Personali? Contatta i nostri consulenti Privacy col seguente modulo:

    PrivatoProfessionistaAzienda

    Acconsento al trattamento dei miei dati personali*
    Qui puoi consultare il testo della Privacy Policy