E’ ormai un vero e proprio allert quello con cui il Garante Privacy ammonisce Caffeina Media Srl per aver utilizzato Google Analytics, strumento dichiarato e riconosciuto dal Garante non conforme al GDPR.
Secondo il Garante i dati acquisiti tramite il servizio del colosso californiano sono trasferiti negli Stati Uniti, mettendo a rischio la loro riservatezza.
Verranno avviati dei controlli per cui i gestori di siti web dovranno verificare la conformità dei sistemi alla normativa vigente.
L’utilizzo del servizio Google Analytics (GA) nei siti web, in assenza delle garanzie richieste dal Reg. UE 679/2016 (RGPD o GDPR), viola la normativa europea sulla protezione dei dati in virtù del trasferimento delle informazioni degli utenti negli Stati Uniti, paese che attualmente non offre adeguate garanzie in materia di protezione dei dati personali. E’ quanto affermato dall’Autorità garante per la protezione dei dati personali al termine di complesse indagini effettuate in coordinamento con altre autorità europee.
Il problema per l’ennesima volta si sviluppa in merito all’utilizzo non sempre appropriato di cookie, infatti i gestori dei siti web che si avvalgono di Google Analytics raccolgono attraverso gli stessi numerosissime informazioni relative alle interazioni degli utenti con il sito medesimo, le pagine visitate e i servizi presenti.
Particolare rilievo è l’informazione sull’indirizzo IP che viene fornito dall’utente al momento dell’accettazione dei cookie, questo aspetto ha fatto si che il Garante ribadisse la circostanza secondo cui “l’indirizzo IP è qualificabile come dato personale anche se incompleto”, proprio a causa della capacità di Google Analytics di rendere identificato o identificabile l’utente o il dispositivo mediante l’utilizzo di tutte le ulteriori informazioni raccolte.
I dati acquisiti mediante i cookie, come verificato dall’Autorità, sono trasferiti verso gli Stati Uniti.
Tale trasferimento mette a rischio le informazioni in considerazione della possibilità per le autorità governative e le agenzie di intelligence statunitensi di accedere ai dati personali trasferiti senza le dovute garanzie, ne discende, che «le misure che integrano gli strumenti di trasferimento adottate da Google non garantiscono, allo stato, un livello adeguato di protezione dei dati personali degli utenti», anche alla luce di quanto stabilito dal Comitato Europeo per la Protezione dei Dati Personali (EDPB) con la Raccomandazione 18 giugno 2021 n. 1/2020.
Si rammenta a tal proposito che, nel caso in questione, il titolare del trattamento dei dati personali è inquadrabile come “esportatore” di informazioni verso paesi terzi e, pertanto, ricade in capo allo stesso la responsabilità di verificare, secondo quanto previsto dall’art. 46 GDPR, anche in collaborazione col soggetto “importatore”, che tali paesi offrano adeguate tutele e garanzie in merito alla protezione dei dati personali. Qualora da tale verifica emergano delle criticità, è onere del titolare del trattamento porre in essere ulteriori misure cautelative finalizzate a garantire la conformità delle attività di trattamento agli standard richiesti dal GDPR.
Il Garante, ha sottolineato il gran numero di segnalazioni e quesiti giunti alla sua attenzione in merito alla questione, invitando i gestori di siti internet, pubblici e privati, a verificare che i cookie e gli ulteriori sistemi di tracciamento presenti sui loro portali online, con particolare attenzione a Google Analytics e ad altri servizi analoghi, siano conformi a quanto prescritto dalla normativa vigente.
Il provvedimento del Garante e le successive dichiarazioni, in definitiva, pongono l’accento sul concetto di Accountability, principio fondamentale che permea lo spirito del Reg. UE n. 679/2016.
