Google Analytics, il Garante della privacy ne vieta l’uso: GDPR violato
I siti web che utilizzano Google Analytics violano la normativa sulla protezione dei dati perché trasferiscono i dati degli utenti negli Stati Uniti, Paese privo di un adeguato livello di protezione.
Lo ha messo nero su bianco il Garante per la privacy a conclusione di una complessa istruttoria avviata sulla base di una serie di reclami e in coordinamento con altre autorità privacy europee.
Google Analytics, la decisione del Garante della privacy
Dall’indagine del Garante è emerso che i gestori dei siti web che utilizzano Google Analytics raccolgono, mediante cookie, informazioni sulle interazioni degli utenti, le singole pagine visitate e i servizi proposti.
Tra i molteplici dati raccolti su cui il Garante ha puntato l’indice ci sono quelli relativi:
- all’indirizzo IP del dispositivo dell’utente
- al browser utilizzato
- al sistema operativo installato
- alla risoluzione dello schermo
- alla lingua selezionata
- alla data e all’ora della visita al sito web
Si è arrivati a questo punto dopo che, due anni fa, la Corte di Giustizia europea ha annullato gli strumenti giuridici con cui avvenivano questi trasferimenti dati da Europa a Usa in quanto la normativa statunitense non dava garanzie in termini di sorveglianza governativa su quei dati.
Usa ed Europa stanno contrattando un nuovo accordo di collaborazione sul trasferimento dati e fino da allora si è in un limbo di incertezza per le aziende che usano servizi statunitensi.
Nel dichiarare l’illiceità del trattamento, il Garante ha ribadito che l’indirizzo IP costituisce un dato personale e anche nel caso fosse troncato non diverrebbe un dato anonimo, considerata la capacità di Google di arricchirlo con altri dati di cui è in possesso.
Google Analytics, cosa cambia per le imprese italiane
Il Garante ha così adottato il primo di una serie di provvedimenti su Google Analytics con cui ha ammonito Caffeina Media Srl a conformarsi al Regolamento europeo entro 90 giorni.
La stretta del Garante della privacy riguarda tutte le aziende?
Sì, tutte quelle che utilizzano gli Analytics di Google. Per il Garante Analytics compie infatti un illecito nel trasferimento di dati europei all’estero illecito.
C’è un precedente nell’Unione europea?
Sì, ce ne sono 2: in Francia e in Austria. Qui però ci si è limitati a una diffida, alla luce appunto dell’attuale incertezza normativa. In Italia si rischia un effetto a catena.
La Pubblica amministrazione italiana sta già dismettendo Google Analytics?
Sì, per legge la PA deve valutare strumenti alternativi a Google Analytics, open source, dotati di meccanismi di anonimizzazione forte, by design e non solo ex post come fa Google.
Cosa devono fare adesso le aziende dotate di sito web?
Il Garante della privacy ha invitato “tutti i titolari del trattamento a verificare la conformità delle modalità di utilizzo di cookie e altri strumenti di tracciamento utilizzati sui propri siti web, con particolare attenzione a Google Analytics e ad altri servizi analoghi, con la normativa in materia di protezione dei dati personali“.
