Il sito web che utilizza il servizio Google Analytics, senza le garanzie previste dal Regolamento Ue, viola la normativa sulla protezione dei dati perché trasferisce negli Stati Uniti, Paese privo di un adeguato livello di protezione, i dati degli utenti. Questo è quanto ha affermato il Garante per la privacy a conclusione di una complessa istruttoria avviata sulla base di una serie di reclami e in coordinamento con altre autorità privacy europee.

Nello specifico è emerso che i gestori dei siti web che utilizzano Google Analytics raccolgono, mediante cookie, informazioni sulle interazioni degli utenti con i predetti siti, le singole pagine visitate e i servizi proposti. Tra i molteplici dati raccolti ci sono: l’indirizzo IP (Internet Protocol Address), ovvero l’indirizzo di un dispositivo, computer, server web, stampanti, ecc., in una rete interna o esterna dell’utente e le informazioni relative al browser, al sistema operativo, alla risoluzione dello schermo, alla lingua selezionata, nonché alla data e all’ora della visita al sito web. Tali informazioni sono risultate oggetto di trasferimento verso gli Stati Uniti, dove ha sede Google LLC. In considerazione del fatto che l’indirizzo IP, rientra ai sensi del Regolamento generale sulla protezione dei dati (GDPR) tra gli identificativi online, e quindi dei dati personali, deve essere adeguatamente protetto e non può essere trasferito senza adeguate garanzie verso Paesi Extra UE, tra cui gli Stati Uniti.

Come specificato dal Garante italiano, a seguito di un accertamento e di relativo provvedimento (n. 224 del 9 giugno 2022) nei confronti di una società che trasferiva dati dell’analisi dell’attività degli utenti del proprio sito web all’estero, anche alla luce delle indicazioni fornite dall’EDPB (European Data Protection Board) con la Raccomandazione n. 1/2020 del 18 giugno 2021, le misure che integrano gli strumenti di trasferimento adottate da Google attraverso Analytics non garantiscono, allo stato, un livello adeguato di protezione dei dati personali degli utenti.

E questo per due motivi:

- L’indirizzo IP costituisce un dato personale “nella misura in cui consenta di identificare un dispositivo di comunicazione elettronica, rendendo pertanto indirettamente identificabile l’interessato in qualità di utente”, specialmente nel caso in cui “l’IP sia associato ad altre informazioni relative al browser utilizzato, alla data e all’ora della navigazione”.

- L'indirizzo IP non può mai essere nascosto completamente e ci sono diversi metodi per risalirvi e anche nel caso fosse troncato non diverrebbe un dato anonimo, considerata la capacità di Google di arricchirlo con altri dati di cui è in possesso.

Altresì, nonostante sia stata annunciata l’intesa per garantire la sicurezza delle informazioni di cittadini residenti nell’Unione Europea e imprese negli Stati Uniti già a marzo di quest’anno, dopo il blocco dei trasferimenti transatlantici seguito alla sentenza Schrems II che ha invalidato il Privacy Shield (luglio 2020), questa ancora è a livello di bozza.

Ciò significa che tutt’ora non c’è una norma condivisa che autorizza al trasferimento di dati oltreoceano, e che quindi un semplice utilizzo di servizio cloud ad oggi potrebbe comportare un problema ai sensi del Regolamento EU 679/2016.  

Per chi ancora non lo sapesse con la sentenza “Schrems II” la Corte di Giustizia dell’Unione Europea dichiarava l’inadeguatezza della protezione offerta dal cd. Privacy Shield, osservando che alcune disposizioni normative statunitensi (in particolare l’Executive Order 12333 e il Foreign Intelligence Surveillance Act) autorizzano le Autorità pubbliche, per finalità di sicurezza nazionale, ad accedere ai dati personali trasferiti negli USA in maniera sostanzialmente illimitata e senza riconoscere in favore degli interessati mezzi di tutela in sede giudiziaria. Nella pratica, questo significa che in mancanza di misure che garantiscano un livello di protezione adeguato alle persone fisiche, spetta, dunque, all’esportatore adottare misure supplementari che garantiscano un livello di protezione dei dati personali sostanzialmente equivalente a quello previsto dal Regolamento.

Con l’occasione l’Autorità richiama all’attenzione di tutti i gestori italiani di siti web, pubblici e privati, l’illiceità dei trasferimenti effettuati verso gli Stati Uniti attraverso Google Analytics, anche in considerazione delle numerose segnalazioni e quesiti che stanno pervenendo all’Ufficio.

‍

‍