Nuova decisione su Google Analytics: anonimizzare gli indirizzi IP non è sufficiente

– Un sito web che utilizza Google Analytics, senza le misure di sicurezza previste dal GDPR, viola la legge sulla privacy perché trasferisce i dati degli utenti negli Stati Uniti, Paese che non dispone di un’adeguata protezione dei dati.

Lo scrive l’Autorità Garante per la protezione dei dati personali italiana Garante i Un comunicato stampa Giovedì.

È il caso

Il regolamento europeo sulla protezione dei dati, GDPR, afferma che se i dati personali devono essere trasferiti in un paese al di fuori dell’UE, il paese di destinazione deve seguire le stesse norme sulla protezione dei dati personali dell’UE. In questo modo, i cittadini europei devono essere sicuri che i loro diritti non vengano lesi se i dati vengono utilizzati o archiviati in altre parti del mondo.

Tuttavia, le norme europee del GDPR contrastano con le leggi sulla sorveglianza di numerosi altri paesi. Le leggi sulla sorveglianza degli Stati Uniti conferiscono al governo degli Stati Uniti ampi poteri per ottenere dati dalle società statunitensi.

Pertanto, l’utilizzo dei cloud provider statunitensi ha ricevuto molta attenzione dopo la cosiddetta sentenza Schrems II, che ha stabilito che l’accordo Privacy Shield ampiamente utilizzato non era sufficiente per proteggere i dati europei delle aziende statunitensi.

Google Analytics è un popolare servizio gratuito utilizzato da molti siti Web per tenere traccia delle tendenze e dei modelli di utilizzo del sito Web. Il servizio raccoglie, tra l’altro, indirizzi IP e movimenti sul sito web.

L’organizzazione per la privacy NOYB (None of Your Business) ritiene che l’uso violi il GDPR e ha presentato 101 reclami relativi all’uso di Google Analytics e Facebook Connect sui siti Web europei.

Le autorità competenti in Austria, Francia e Italia hanno tutte dichiarato che l’uso di Google Analytics è illegale in Europa. Dal momento che le autorità europee di controllo dei dati collaborano, è improbabile che ci siano decisioni contrastanti in diversi paesi.

L’Autorità norvegese per la protezione dei dati non ha ancora pubblicato i risultati dei suoi tre reclami.

Lavorando a stretto contatto con altri regolatori di dati in Europa, Garante ha condotto quella che descrivono come una “indagine complessa” basata su diversi reclami.

Conclusione: i siti Web che utilizzano Google Analytics raccolgono, tramite i cookie, informazioni sull’interazione dell’utente con i siti Web, le pagine visitate ei servizi. I dati raccolti includono indirizzi IP, informazioni sul browser, sistema operativo, risoluzione dello schermo, selezione della lingua, data e ora. Queste informazioni vengono trasferite negli Stati Uniti, il che è illegale ai sensi della sentenza Schrems II.


Non è sufficiente rendere anonimo l’indirizzo IP

– L’indirizzo IP è un dato personale e non è stato anonimizzato, anche se è stato troncato – vista la capacità di Google di arricchire questi dati con informazioni aggiuntive di cui già dispone, scrive il Garante.

Seguono quindi sia l’Austria che la Francia, che hanno concluso che l’anonimizzazione proposta da Google rimuovendo parte delle cifre dall’indirizzo IP non è sufficiente.

L’Austria ha parcheggiato nella sua ultima decisione le argomentazioni sull’anonimizzazione e sull’approccio basato sul rischio sono irrilevanti.

In attesa di un nuovo accordo transatlantico sui dati

Il 25 marzo si è tenuto Il presidente degli Stati Uniti Joe Biden e la presidente della Commissione europea Ursula von der Leyen insieme sul podio e hanno dichiarato con orgoglio di aver “accettato un accordo senza precedenti per proteggere la privacy dei nostri cittadini”.

La notizia ha fatto sperare nella tanto attesa chiarezza giuridica dopo che la sentenza Schrems II del 2020 ha stabilito che il Privacy Shield, l’accordo che assicurava lo scambio legittimo di dati personali attraverso l’Atlantico, non era valido.

Un tale accordo renderebbe ancora una volta senza problemi l’uso di strumenti come Google Analytics.

Ma anche prima che il testo dell’accordo sia in vigore, avverte i sostenitori della privacy che assicureranno che il nuovo “quadro transatlantico sulla privacy” sia testato in tribunale. Potrebbero quindi essere necessari diversi anni prima che sia pronto un vero e proprio nuovo accordo di trasferimento dei dati.

Gli utenti di Google Analytics dovrebbero comunque fare attenzione a cercarlo strumenti di analisi web alternativi come strumento, come lo conosciamo, si estinguerà nel 2024.

Avvisa i proprietari di siti web

Il Garante, che ha gestito il reclamo, ha ora 90 giorni per modificare la propria prassi. Il Garante coglie l’occasione per inviare un avviso a tutti i proprietari di siti web italiani.

– Il Garante per la protezione dei dati personali italiano desidera informare tutti gli operatori di siti web italiani, privati ​​e pubblici, che è illegale trasferire dati negli Stati Uniti attraverso l’uso di GA, scrive il Garante.


Commenti:

Abbiamo cambiato il sistema di commento degli articoli. Per creare un account utente, ti registri con BankID.

Ulisse Bellucci

Evil travel geek. Pensatore. Risolutore di problemi pluripremiato. Amante della pancetta. Lettore appassionato. Esperto televisivo devoto. Imprenditore

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *