Non si è fatta attendere la decisione dell’Autorità Garante italiana che, con il provvedimento n. 224/2022, ha confermato quanto già disposto dal Garante europeo, francese e austriaco, circa il divieto di trasferimento di dati personali in Paesi privi degli adeguati livelli di protezione, come gli Stati Uniti.
Il GDPR europeo, infatti, vieta di trasferire informazioni, a meno che non vengano prese misure tecniche, organizzative e contrattuali tali da garantire uno standard di tutela uguale a quello di ciascuno Stato membro.
IL PROVVEDIMENTO E LE INDICAZIONI DEL GARANTE PRIVACY
Il provvedimento è scaturito a seguito di un reclamo promosso da un privato cittadino avverso una società che gestisce un sito web. Dall’indagine del Garante è emerso che il sito web utilizzava il servizio Google Analytics, il quale non assicura le garanzie previste dalla normativa privacy europea, poiché, trasferisce negli Stati Uniti, Paese privo di un adeguato livello di protezione, i dati degli utenti.
Con il provvedimento in esame, l’Autorità Garante ha affermato che i gestori dei siti web, che utilizzano Google Analytics, raccolgono, mediante cookie, informazioni sulle interazioni degli utenti con i siti, le singole pagine visitate e i servizi proposti. Tra i molteplici dati raccolti vi rientrano: indirizzo IP del dispositivo dell’utente, informazioni relative al browser, al sistema operativo, alla risoluzione dello schermo, alla lingua selezionata, nonché data e ora della visita al sito web. Tali informazioni sono risultate oggetto di trasferimento verso gli Stati Uniti.
Nel provvedimento, oltre ad essere dichiarata l’illiceità del trattamento, viene ribadito che l’indirizzo IP costituisce un dato personale e anche nel caso fosse troncato o oscurato in parte non diverrebbe un dato anonimo. Infatti, tanto la pseudonimizzazione quanto la crittografia degli indirizzi IP possono essere sottoponibili ad un procedimento inverso (reverse engineering) e quindi consentire a Google d’avere accesso, in chiaro, ai dati personali degli utenti, utilizzando anche altri dati di cui è già in possesso (indirizzo e-mail, il numero di telefono, dati anagrafici come la data di nascita, anche la propria immagine del profilo Google).
Con tale decisione l’Autorità Garante ha ammonito alla società cui il reclamo è stato indirizzato di conformarsi al GDPR entro novanta giorni. Il tempo indicato è stato ritenuto congruo per consentire al gestore di adottare misure adeguate al trasferimento, pena la sospensione dei flussi di dati effettuati, per il tramite di Google Analytics, verso gli Stati Uniti.
COSA FARE ADESSO? QUALI ALTERNATIVE?
Il Provvedimento emanato dal Garante è sicuramente un monito per tutti gli altri gestori di siti web italiani, pubblici e privati, che dovranno procedere alla verifica della conformità delle modalità di utilizzo di cookie e altri strumenti di tracciamento utilizzati sui propri siti web, con particolare attenzione a Google Analytics e ad altri servizi analoghi, così da essere conformi ai dettami della normativa in materia di protezione dei dati personali. Il problema non sembra risolto nemmeno dall’aggiornamento c.d. Google Analytics 4 o GA4 (lanciata a fine maggio 2022), con la quale – secondo Google – verrebbero eliminati gli indirizzi IP raccolti sugli utenti UE prima di registrare i dati tramite domini e server che si trovano in Europa, consentendo inoltre di disattivare la raccolta dati di Google Signals in base all’area geografica e i dati granulari su località e dispositivo legati al luogo di provenienza. In realtà, diverse analisi terze evidenziano la mancata risoluzione del problema principale: la trasmissione verso Google di dati di interessati identificati o identificabili (che proseguirebbe in altro modo, tramite script e uso di identificatori).
Pertanto, fino a quando non si perverrà ad un nuovo accordo tra Europa e USA per il trasferimento e trattamento di dati personali, occorrerà abbandonare Google Analytics preferendogli soluzioni alternative conformi al GDPR. Tra queste, segnaliamo MATOMO (https://matomo.org/), già noto come Piwik, sistema utilizzato, tra gli altri, dal sito web della Commissione Europea.
Non si è fatta attendere la decisione dell’Autorità Garante italiana che, con il provvedimento n. 224/2022, ha confermato quanto già disposto dal Garante europeo, francese e austriaco, circa il divieto di trasferimento di dati personali in Paesi privi degli adeguati livelli di protezione, come gli Stati Uniti.
Il GDPR europeo, infatti, vieta di trasferire informazioni, a meno che non vengano prese misure tecniche, organizzative e contrattuali tali da garantire uno standard di tutela uguale a quello di ciascuno Stato membro.
IL PROVVEDIMENTO E LE INDICAZIONI DEL GARANTE PRIVACY
Il provvedimento è scaturito a seguito di un reclamo promosso da un privato cittadino avverso una società che gestisce un sito web. Dall’indagine del Garante è emerso che il sito web utilizzava il servizio Google Analytics, il quale non assicura le garanzie previste dalla normativa privacy europea, poiché, trasferisce negli Stati Uniti, Paese privo di un adeguato livello di protezione, i dati degli utenti.
Con il provvedimento in esame, l’Autorità Garante ha affermato che i gestori dei siti web, che utilizzano Google Analytics, raccolgono, mediante cookie, informazioni sulle interazioni degli utenti con i siti, le singole pagine visitate e i servizi proposti. Tra i molteplici dati raccolti vi rientrano: indirizzo IP del dispositivo dell’utente, informazioni relative al browser, al sistema operativo, alla risoluzione dello schermo, alla lingua selezionata, nonché data e ora della visita al sito web. Tali informazioni sono risultate oggetto di trasferimento verso gli Stati Uniti.
Nel provvedimento, oltre ad essere dichiarata l’illiceità del trattamento, viene ribadito che l’indirizzo IP costituisce un dato personale e anche nel caso fosse troncato o oscurato in parte non diverrebbe un dato anonimo. Infatti, tanto la pseudonimizzazione quanto la crittografia degli indirizzi IP possono essere sottoponibili ad un procedimento inverso (reverse engineering) e quindi consentire a Google d’avere accesso, in chiaro, ai dati personali degli utenti, utilizzando anche altri dati di cui è già in possesso (indirizzo e-mail, il numero di telefono, dati anagrafici come la data di nascita, anche la propria immagine del profilo Google).
Con tale decisione l’Autorità Garante ha ammonito alla società cui il reclamo è stato indirizzato di conformarsi al GDPR entro novanta giorni. Il tempo indicato è stato ritenuto congruo per consentire al gestore di adottare misure adeguate al trasferimento, pena la sospensione dei flussi di dati effettuati, per il tramite di Google Analytics, verso gli Stati Uniti.
COSA FARE ADESSO? QUALI ALTERNATIVE?
Il Provvedimento emanato dal Garante è sicuramente un monito per tutti gli altri gestori di siti web italiani, pubblici e privati, che dovranno procedere alla verifica della conformità delle modalità di utilizzo di cookie e altri strumenti di tracciamento utilizzati sui propri siti web, con particolare attenzione a Google Analytics e ad altri servizi analoghi, così da essere conformi ai dettami della normativa in materia di protezione dei dati personali. Il problema non sembra risolto nemmeno dall’aggiornamento c.d. Google Analytics 4 o GA4 (lanciata a fine maggio 2022), con la quale – secondo Google – verrebbero eliminati gli indirizzi IP raccolti sugli utenti UE prima di registrare i dati tramite domini e server che si trovano in Europa, consentendo inoltre di disattivare la raccolta dati di Google Signals in base all’area geografica e i dati granulari su località e dispositivo legati al luogo di provenienza. In realtà, diverse analisi terze evidenziano la mancata risoluzione del problema principale: la trasmissione verso Google di dati di interessati identificati o identificabili (che proseguirebbe in altro modo, tramite script e uso di identificatori).
Pertanto, fino a quando non si perverrà ad un nuovo accordo tra Europa e USA per il trasferimento e trattamento di dati personali, occorrerà abbandonare Google Analytics preferendogli soluzioni alternative conformi al GDPR. Tra queste, segnaliamo MATOMO (https://matomo.org/), già noto come Piwik, sistema utilizzato, tra gli altri, dal sito web della Commissione Europea.