Con provvedimento n. 224 del 23 giugno 2022 il Garante Privacy italiano, conformandosi alle decisioni del Garante francese e di quello austriaco, ha dichiarato che il servizio Google Analytics (GA), trasferendo dati negli Stati Uniti in assenza di adeguate protezioni, è da considerarsi illegittimo per violazione della normativa sulla protezione dei dati.
Infatti, Google Analytics raccoglie un’immensa quantità di dati (dispositivo utilizzato dell’utente, indirizzo e nome del sito web, dati di navigazione, indirizzo IP, informazioni relative al browser, al sistema operativo, alla risoluzione dello schermo, alla lingua selezionata, nonché a data e ora della visita al sito web) che trasferisce negli USA.
Si ricorda che il Regolamento Europeo sulla protezione dei dati vieta il trasferimento dei dati personali verso Paesi non appartenenti allo Spazio Economico Europeo o verso organizzazioni internazionali in assenza di una decisione di adeguatezza della Commissione europea (art. 45 del Regolamento UE 2016/679).
La decisione che permetteva il trasferimento dei dati negli Stati Uniti (Privacy Shield) è stata invalidata il 16.07.20 dalla Corte di Giustizia Europea con la c.d. sentenza Schrems II.
Si precisa, inoltre, che in ragione del principio di stabilimento, perché sussista trasferimento dei dati extra UE non è necessario che i dati vengano fisicamente archiviati in server situati al di fuori dello spazio economico europeo, ma che la società che li tratta abbia la sede al di fuori dei limiti territoriali indicati.
Per dovere di completezza si precisa che sussistono altre basi che permettono il trasferimento dei dati extra UE (art. 46 e 49 del Regolamento UE 2016/679) ma che detti presupposti non sono applicabili al “caso Google Analytics”.
Il Garante ha, altresì, precisato che non è sufficiente attivare la funzione “IP-Anonymization” in quanto ciò non impedisce a Google LLC di identificare l’utente.
Quindi, alla luce di questa pronuncia Google Analytics dovrà essere rimosso immediatamente da tutti i siti.
Si puntualizza che non sarà sufficiente migrare su Google Analytics 4 in quanto anche questo applicativo trasferisce dati negli USA. Di nessun valore è l’impostazione di GA4 che permette la cancellazione degli IP, infatti, gli stessi prima vengono raccolti, quindi trasferiti extra UE, e poi cancellati. Analogamente non rende compliance detto sistema la non raccolta degli IP perché GA4 trasferisce a Big G altri dati che consentono, in astratto, di identificare o re-identificare un utente.
Torna ad Articoli e News