Il dipartimento Data & Technology Innovation di Lexia Avvocati ha analizzato il provvedimento per identificare le azioni utili da intraprendere da parte dei proprietari di siti web in Italia
Il trattamento dei dati personali degli utenti posto in essere tramite lo strumento Google Analytics (nello specifico, la versione GA3) fornito da Google Ireland Limited sarebbe illecito: in linea con pronunce analoghe delle autorità francese e austriaca, il Garante Privacy italiano ha infatti dichiarato che i gestori dei siti web che utilizzano Google Analytics raccoglierebbero, mediante cookie, dati personali che possono essere oggetto di trasferimento verso la statunitense Google LLC e, dunque, verso un Paese che non offrirebbe garanzie adeguate contro il rischio di accesso illecito ai dati personali da parte delle autorità americane.
Vediamo nel dettaglio il contenuto del provvedimento e i comportamenti che i gestori di siti web dovrebbero adottare nel breve periodo al fine di uniformarsi alle indicazioni del Garante Privacy.
Il provvedimento del Garante Privacy
Nel provvedimento emesso il 9 giugno 2022 il Garante Privacy ha esaminato l’utilizzo dei Google Analytics da parte di un gestore di un sito web, sostenendo che tali strumenti raccoglierebbero, mediante cookies trasmessi al browser degli utenti, informazioni in ordine alle modalità di interazione di questi con il sito web ed in particolare “… identificatori online unici che consentono sia l’identificazione del browser o del dispositivo dell’utente che visita il sito web, sia del gestore stesso del sito, indirizzo, nome del sito web e dati di navigazione, indirizzo IP del dispositivo…”. Poiché l’indirizzo IP costituisce un dato personale nella misura in cui consente di identificare un dispositivo di comunicazione elettronica, rendendo indirettamente identificabile l’interessato in qualità di utente, l’utilizzo degli strumenti di Google Analytics comporta il trattamento di dati personali.
Se è pur vero che nell’utilizzo dei Google Analytics i gestori di siti internet aderiscono ai “Google Analytics Terms of Service”, nominando la società irlandese Google Ireland Limited quale responsabile del trattamento dei dati personali ai sensi dell’articolo 28 del GDPR, tuttavia i “Google Analytics Terms of Service” prevedono la possibilità per Google Ireland Limited di avvalersi di altri soggetti in qualità di sub-responsabili del trattamento dei dati personali, tra cui la statunitense Google LLC.
Secondo quanto espresso dal garante italiano, ciò comporterebbe il trasferimento dei dati personali dei visitatori dei siti raccolti tramite i Google Analytics verso un Paese – gli Stati Uniti – che, come premesso, non garantisce un livello di protezione adeguato ai sensi della normativa di protezione dei dati, anche a seguito dell’invalidamento del cd. Privacy Shield da parte della Corte di Giustizia Europea che permetteva il trasferimento dei dati personali dall’UE verso gli US.
Per questo, con il provvedimento il garante ha invitato il gestore del sito a conformare il trattamento di dati personali degli utenti effettuato per il tramite di Google Analytics, adottando adeguate misure supplementari.
Al provvedimento (che evidentemente trova applicazione solamente nei confronti del singolo gestore del sito web oggetto di indagine) ha fatto seguito in data 23 giugno 2022 un comunicato dello stesso Garante Privacy, con il quale ha richiamato all’attenzione di tutti i gestori italiani di siti web, pubblici e privati, la potenziale illiceità dei trasferimenti effettuati verso gli Stati Uniti e ha invitato tutti i titolari del trattamento a verificare la conformità con la normativa in materia di protezione dei dati personali delle modalità di utilizzo di cookie e altri strumenti di tracciamento utilizzati sui propri siti web, con particolare attenzione ai Google Analytics e ad altri servizi analoghi.
Interventi suggeriti per i proprietari di siti web
Sin tanto che il Garante Privacy o le istituzioni europee non forniscano indicazioni sull’utilizzo dei Google Analytics, è opportuno che ogni titolare del trattamento che effettua trasferimenti dei dati personali verso gli Stati Uniti (ivi compresi coloro che utilizzano i Google Analytics) effettui un assessment finalizzato a valutare se detto trasferimento dei dati personali sia conforme a quanto previsto dal Capo V (Trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali) del GDPR.
Pertanto, si consiglia a tutti i gestori di siti web di effettuare una valutazione d’impatto sull’utilizzo dei sistemi di web analytics, compresi i Google Analytics, finalizzata a:
- identificare quali servizi siano stati attivati dalla società con riferimento ai Google Analytics e quali dati personali sono trasmessi a Google Ireland Limited (e a Google LLC). L’analisi dovrà accertare se l’indirizzo IP dell’utente sia anonimizzato (ossia inidoneo ad identificare l’interessato) con la funzione “IP Anonymization” prima del salvataggio sui server di Google e se le misure di sicurezza adottate consentono di escludere la re-identificazione dell’utente. Nel caso in cui l’indirizzo IP non sia anonimizzato e/o sia comunque possibile re-identificare l’utente, sarà necessario implementare misure di sicurezza differenti, onde evitare che il trattamento dei dati personali sia considerato illecito;
- verificare e aggiornare l’informativa privacy presente sul sito, al fine di ricomprendervi l’informazione sul trasferimento dei dati personali verso un Paese extra UE;
- effettuare una valutazione circa le misure di sicurezza implementate dal gestore del sito web ed eventualmente adottare ulteriori misure di sicurezza anche in ottica di adeguamento alle disposizioni del Capo V del GDPR sul trasferimento dei dati personali extra-UE.
Nell’ipotesi in cui la valutazione di impatto non escluda il trasferimento di dati personali extra-UE, è opportuno sin d’ora che i gestori dei siti web adottino strumenti alternativi, compatibili con la normativa in materia di protezione dei dati personali. Lo stesso Garante Privacy ha indicato alcune possibili alternative (Simple Analytics, Plausibile, Matomo, Google Analytics 4), la cui adozione tuttavia non potrà prescindere dall’esito positivo di una valutazione d’impatto.
