Il sito web che utilizza il servizio Google Analytics (GA), senza le garanzie previste dal Regolamento (UE) 2016/679 (GDPR), viola la normativa sulla protezione dei dati personali perché trasferisce i dati degli utenti negli Stati Uniti, Paese che non garantisce un adeguato livello di protezione. Lo ha affermato il Garante per la Protezione dei Dati Personali a conclusione di una complessa istruttoria avviata sulla base di una serie di reclami e in coordinamento con altre autorità privacy europee.

Dall'istruttoria è emerso che i gestori dei siti web che utilizzano Google Analytics raccolgono e successivamente trasferiscono verso gli USA, mediante cookie, informazioni sulle interazioni degli utenti con i predetti siti. Nel dichiarare l’illiceità di questo tipo di trattamento, il Garante ha ribadito che l’indirizzo IP raccolto dai cookie di Google Analytics costituisce un dato personale e che, anche nel caso in cui ne venga “mascherata” l’ultima parte, non può essere considerato un dato anonimo, considerata la capacità di Google di arricchirlo con altri dati di cui è in possesso.

Il Garante Privacy ha, quindi, invitato tutti i titolari (sia soggetti pubblici che privati) di siti web a verificare la loro conformità e, eventualmente, ad adeguarli entro un termine di 90 giorni (da conteggiare dalla data del provvedimento).

Google Analytics, ma non solo…

Questo provvedimento dal Garante italiano è solo uno degli interventi che a livello europeo hanno preso in considerazione i servizi e le piattaforme utilizzate quotidianamente da titolari (pubblici o privati) europei e che comportano il trasferimento di dati negli USA.

Secondo le Autorità privacy tedesche, ad esempio, l’uso di una fan page su Facebook configurerebbe una serie di violazioni del GDPR di tale gravità da rendere di fatto inutilizzabile il servizio da parte di amministratori e titolari della pagina.

E lo stesso metro di giudizio si dovrebbe applicare a tutti quei servizi cloud, ben più impattanti per le aziende e le PA, che possono comportare un trasferimento di dati al di fuori dello spazio economico europeo.

Tutto questo, ovviamente, fino a quando Stati Uniti e Unione Europea non negozieranno un nuovo accordo per regolamentare questi flussi transfrontalieri di dati personali.

Quindi, cosa devo fare per il mio sito?

In primo luogo, sgombriamo il campo da un dubbio: il Garante non ha mai escluso che, con particolari configurazioni e/o misure tecniche aggiuntive, l’utilizzo di Google Analytcs possa essere conforme al dettato normativo.

Di contro, le soluzioni astrattamente applicabili a GA3 “Universal” appaiono difficilmente percorribili. Per quanto attiene, invece, a Google Analytics 4, il Garante Privacy non si è ancora espresso: le indicazioni di Google circa il superamento delle criticità della versione precedente (che è possibile trovare QUI) dovranno, quindi, in attesa di un pronunciamento dell’Authority, essere valutate dal singolo titolare.

Un'altra soluzione, tranquillamente applicabile a tutte quelle realtà che non fanno un utilizzo avanzato di GA per finalità di advertising, è quella di valutare un’alternativa a Google Analytics:

• implementare un sistema analitico “on premise”;
• utilizzare soluzioni saas alternative a quella di Google.

A questo proposito, QUI potete trovare la pagina del CNIL (Garante Privacy francese) in cui sono indicate alcune alternative all'analitica di Google.

_______

- - - 
Approfondimento a cura dello Studio Avvocati D'Agostini di Udine che collabora con Friuli Innovazione nell'ambito dello sportello ICT Digital Law