È stato pubblicato lo scorso venerdì il provvedimento con cui il Garante per la protezione dei dati personali ha dichiarato l’illiceità del trasferimento dei dati negli Stati Uniti attuato da Caffeina Media S.r.l., nei confronti di Google LLC attraverso l’utilizzo del servizio Google Analytics.

La predetta decisione non ha sorpreso gli addetti ai lavori privacy. Era, infatti, nell’aria che dopo l’Autorità Francese e quella Austriaca anche il nostro Garante si sarebbe trovato a breve ad esprimersi sul caldo tema del trasferimento dei dati extra UE attuato da Google Analytics.

Nello specifico Caffeina Media S.r.l. (Titolare del Trattamento e gestore del sito web www.caffeinamagazine.it) è stata ammonita ad adeguarsi alla normativa vigente e ad adottare le dovute cautele circa il trasferimento dei dati all’estero entro il termine di 90 giorni, decorso il quale si provvederà alla sospensione dei flussi di dati verso gli USA.

Ma quali sono le osservazioni sollevate dall’Autorità Garante, che lo hanno portato a condividere la linea francese e austriaca? Andiamo a vederlo insieme.

Risale al mese di agosto 2020 il reclamo presentato al Garante per la protezione dei dati personali con cui un interessato ha segnalato la realizzazione di un illecito trasferimento dei dati verso paesi terzi (nello specifico USA) da parte di Caffeina Media S.r.l. mediante l’utilizzo di Google Analytics.

Ricevuto il reclamo l’Autorità Garante ha, quindi, avviato una lunga e complessa attività istruttoria, da cui è emerso che la società:

  • utilizzava sul proprio sito web la versione gratuita di Google Analytics per fini statistici, ovvero per ottenere informazioni aggregate circa le attività degli utenti all’interno del predetto sito;
  • raccoglieva, mediante i cookie trasmessi al browser degli utenti, informazioni in ordine alle modalità di interazioni di questi ultimi con il sito web, nonché con le singole pagine e con i servizi proposti. Nello specifico i dati trattati riguardavano: i) identificatori online unici che permettono di identificare il browser o il dispositivo dell’utente che visita il sito web, ii) indirizzo, nome del sito e dati di navigazione, iii) indirizzo IP del dispositivo utilizzato dall’utente che secondo il GDPR è un dato personale e iv) le informazioni relative al browser, al sistema operativo, alla risoluzione dello schermo, alla lingua selezionata, nonché alla data e ora della visita al sito web;
  • agiva quale Titolare del trattamento, designando prima Google LLC e, poi, Google Ireland Ltd. responsabile del trattamento ai sensi dell’art. 28 del GDPR e secondo quanto indicato nei “Google Analytics Termes of Service” e “Google Ads Data Processing Terms”;
  • non aveva attivato la funzione “IP-Anonymization” sin dall’inizio, ma solo successivamente e in considerazione dell’implementazione di una serie di misure tecniche.

Inoltre, il Garante per la protezione dei dati personali ha tenuto a sottolineare che:

  • Google Ireland Ltd. annovera tra i suoi sub-fornitori Google LLC con sede in USA, a cui i dati vengono trasferiti. In considerazione del predetto trasferimento, la società e Google Ireland Ltd. hanno, quindi, sottoscritto le clausole contrattuali standard adottate dalla Commissione Europea;
  • qualora l’utente dovesse fare accesso al proprio account Google, i dati raccolti potranno anche essere associati con altre informazioni di natura personale presenti nell’account stesso (quali, ad esempio, l’indirizzo e-mail, il numero di telefono, il genere, la data di nascita e l’immagine del profilo);
  • l’accorgimento dell’“IP-Anonymization” consente la sola pseudonimizzazione del dato, senza però impedire a Google LLC di re-identificare l’utente, anche tenuto conto delle informazioni detenute dalla stessa e relative agli utenti;
  • il diritto interno degli USA consente alle Autorità pubbliche, nel quadro di determinati programmi di sicurezza nazionale, di avere accesso a tutti i dati che risiedono negli USA senza adeguate limitazioni e senza fornire garanzie circa i diritti degli interessati.

Questi, quindi, gli elementi che hanno portato l’Autorità Garante a ritenere sussistente l’illecito trasferimento dei dati a Google LLC, che è stato attuato in assenza delle adeguate garanzie previste dal GDPR.

Che fare ora con il servizio di Google Analytics per evitare di incorrere in violazioni della normativa privacy?

Auspicando che le Autorità forniscano un supporto o quantomeno delle indicazioni di massima ai Titolari del trattamento e gestori dei siti web e nell’attesa che si arrivi quanto prima alla conclusione di un nuovo accordo tra UE e USA in merito al trasferimento dei dati, il consiglio è quello di:

  • verificare le configurazioni del servizio Google Analytics attivo sul proprio sito web ed effettuare le opportune considerazioni;
  • valutare la sostituzione del servizio Google Analytics con altri prodotti in grado di fornire garanzie adeguate o implementare misure di sicurezza tecniche, che consentano di soddisfare i requisiti di garanzia per il trasferimento dei dati negli USA di cui alle Raccomandazioni 01/2020 dell’EDPB, che, ahimè, risultano di difficile realizzazione.