– Un sito web che utilizza Google Analytics, senza le misure di sicurezza previste dal GDPR, viola la legge sulla privacy perché trasferisce i dati degli utenti negli Stati Uniti, Paese che non dispone di un’adeguata protezione dei dati.
Lo scrive l’Autorità Garante per la protezione dei dati personali italiana Garante i Un comunicato stampa Giovedì.
È il caso
Il regolamento europeo sulla protezione dei dati, GDPR, afferma che se i dati personali devono essere trasferiti in un paese al di fuori dell’UE, il paese di destinazione deve seguire le stesse norme sulla protezione dei dati personali dell’UE. In questo modo, i cittadini europei devono essere sicuri che i loro diritti non vengano lesi se i dati vengono utilizzati o archiviati in altre parti del mondo.
Tuttavia, le norme europee del GDPR contrastano con le leggi sulla sorveglianza di numerosi altri paesi. Le leggi sulla sorveglianza degli Stati Uniti conferiscono al governo degli Stati Uniti ampi poteri per ottenere dati dalle società statunitensi.
Pertanto, l’utilizzo dei cloud provider statunitensi ha ricevuto molta attenzione dopo la cosiddetta sentenza Schrems II, che ha stabilito che l’accordo Privacy Shield ampiamente utilizzato non era sufficiente per proteggere i dati europei delle aziende statunitensi.
Google Analytics è un popolare servizio gratuito utilizzato da molti siti Web per tenere traccia delle tendenze e dei modelli di utilizzo del sito Web. Il servizio raccoglie, tra l’altro, indirizzi IP e movimenti sul sito web.
L’organizzazione per la privacy NOYB (None of Your Business) ritiene che l’uso violi il GDPR e ha presentato 101 reclami relativi all’uso di Google Analytics e Facebook Connect sui siti Web europei.
Le autorità competenti in Austria, Francia e Italia hanno tutte dichiarato che l’uso di Google Analytics è illegale in Europa. Dal momento che le autorità europee di controllo dei dati collaborano, è improbabile che ci siano decisioni contrastanti in diversi paesi.
L’Autorità norvegese per la protezione dei dati non ha ancora pubblicato i risultati dei suoi tre reclami.
Lavorando a stretto contatto con altri regolatori di dati in Europa, Garante ha condotto quella che descrivono come una “indagine complessa” basata su diversi reclami.
Conclusione: i siti Web che utilizzano Google Analytics raccolgono, tramite i cookie, informazioni sull’interazione dell’utente con i siti Web, le pagine visitate ei servizi. I dati raccolti includono indirizzi IP, informazioni sul browser, sistema operativo, risoluzione dello schermo, selezione della lingua, data e ora. Queste informazioni vengono trasferite negli Stati Uniti, il che è illegale ai sensi della sentenza Schrems II.
Non è sufficiente rendere anonimo l’indirizzo IP
– L’indirizzo IP è un dato personale e non è stato anonimizzato, anche se è stato troncato – vista la capacità di Google di arricchire questi dati con informazioni aggiuntive di cui già dispone, scrive il Garante.
Seguono quindi sia l’Austria che la Francia, che hanno concluso che l’anonimizzazione proposta da Google rimuovendo parte delle cifre dall’indirizzo IP non è sufficiente.
Nella sua ultima decisione, l’Austria ha scommesso sia le argomentazioni sull’anonimizzazione che l’approccio basato sul rischio come irrilevanti.
In attesa di un nuovo accordo transatlantico sui dati
Il 25 marzo, il presidente degli Stati Uniti Joe Biden e la presidente della Commissione europea Ursula von der Leyen si sono riuniti sul podio e hanno annunciato con orgoglio di aver “accettato un accordo senza precedenti per proteggere le vite private dei nostri cittadini.
La notizia ha fatto sperare nella tanto attesa chiarezza giuridica dopo che la sentenza Schrems II del 2020 ha stabilito che il Privacy Shield, l’accordo che assicurava lo scambio legittimo di dati personali attraverso l’Atlantico, non era valido.
Un tale accordo renderebbe ancora una volta senza problemi l’uso di strumenti come Google Analytics.
Ma anche prima che il testo dell’accordo sia in vigore, i difensori della privacy avvertono che assicureranno che il nuovo “quadro transatlantico sulla privacy” sia testato in tribunale. Potrebbero quindi essere necessari diversi anni prima che sia pronto un vero e proprio nuovo accordo di trasferimento dei dati.
Tuttavia, gli utenti di Google Analytics dovranno ricercare strumenti di analisi web alternativi poiché lo strumento sappiamo che verrà chiuso nel 2024.
Avvisa i proprietari di siti web
Il Garante, che ha gestito la denuncia, ha ora 90 giorni per modificare la propria prassi. Il Garante coglie l’occasione per inviare un avviso a tutti i proprietari di siti web italiani.
– Il Garante per la protezione dei dati personali italiano desidera informare tutti gli operatori di siti web italiani, privati e pubblici, che è illegale trasferire dati negli Stati Uniti attraverso l’uso di GA, scrive il Garante.
Evil travel geek. Pensatore. Risolutore di problemi pluripremiato. Amante della pancetta. Lettore appassionato. Esperto televisivo devoto. Imprenditore
:quality(70)/cloudfront-eu-central-1.images.arcpublishing.com/mentormedier/VEIRTDHCM24DNCL3KSVROKI6ZE.jpg)
