Google Analytics: il Garante per la protezione dei dati personali italiano ha vietato il trattamento senza l’adozione di garanzie sul trasferimento dei dati personali – protezione dei dati

Questo articolo è stato scritto in collaborazione con Giulio Novellini

In data 9 giugno 2022 il Garante per la protezione dei dati personali italiano (Una garanzia di ciascuna delle tue proteine ​​personali -“Sicurezza”) È stata presa la decisione di vietare l’uso di Google Analytics senza implementare sufficienti garanzie aggiuntive.

La decisione è in linea con la posizione di altre autorità di vigilanza dell’UE (tra cui CNIL francese). È venuto in risposta a un’accusa contro Caffeina Media Srl (“una società“) in quanto l’utilizzo di Google Analytics da parte della Società sul proprio sito web garantisce il trasferimento di dati personali negli Stati Uniti in assenza delle tutele previste dalla Sezione V del Regolamento Generale UE sulla Protezione dei Dati 2016/679 (“)Regolamento generale sulla protezione dei dati“).

Nella delibera il Garante ha ritenuto quanto segue:

• Google Analytics richiede che i dati personali siano trasferiti in un Paese al di fuori dello Spazio Economico Europeo (ossia gli Stati Uniti d’America) perché Google Ireland (che agisce in qualità di responsabile del trattamento per conto della società che gestisce i siti web) si avvale di Google LLC come un responsabile del trattamento sussidiario per fornire il servizio Google Analytics.




• Gli indirizzi IP (che sono dati personali, perché consentono di identificare l’utente) sono trattati dai cookie di Google Analytics, tuttavia la legge statunitense non fornisce garanzie sufficienti per superare il “test” richiesto dalla Corte di giustizia europea in La seconda decisione di Shremes. In questo caso specifico, la società ha affermato di considerare basso il rischio che le autorità statunitensi accedano ai dati, in base al tipo di sito Web e ai contenuti offerti attraverso il sito Web (intrattenimento, notizie e simili). Tuttavia, Garante ha affermato che si trattava di una valutazione soggettiva e che la “probabilità” di tale accesso non è un elemento appropriato da utilizzare per valutare se la legislazione di un Paese al di fuori dello Spazio economico europeo prevede tutele adeguate.

Anche per questo motivo, la valutazione di adeguatezza della normativa statunitense non è stata ritenuta conforme ai requisiti previsti dal Regolamento Generale sulla Protezione dei Dati (GDPR) e Consiglio europeo per la protezione dei dati(“EDPB“).

• Le ulteriori misure preventive messe in atto dall’azienda non sono state sufficienti. Queste azioni consistono nell'”anonimizzare” i dati crittografando parte dell’indirizzo IP. Secondo Garante, Questo non è sufficiente nel contesto di Google Analytics, poiché la chiave di crittografia è nelle mani di Google E il Questa stessa azienda ha altri dati utente. Inoltre, l’obbligo di consentire l’accesso da parte delle autorità statunitensi riguarda anche i dati e le chiavi di crittografia; Pertanto, le autorità statunitensi possono facilmente battere la garanzia.




• Anche altre misure contrattuali adottate dalla società sono state ritenute insufficienti in termini di principio di accountability: ad esempio, valutare ogni specifica richiesta di accesso da parte dell’autorità statunitense, informare immediatamente l’interessato di tali richieste in merito ai propri dati, ecc. Secondo Garante, infatti, queste misure da sole non possono impedire l’accesso ai dati da parte delle autorità statunitensi, motivo per cui da sole non sono sufficienti a garantire la compatibilità della trasmissione dei dati.




• Garante ha respinto l’argomento secondo cui l’atteggiamento squilibrato dell’azienda nei confronti di Google avrebbe impedito l’attuazione di garanzie adeguate. Al contrario, secondo la garanzia, il principio di accountability richiede agli esportatori, in collaborazione con l’importatore, di garantire che la legislazione del paese terzo non influisca sulle clausole contrattuali standard.




• Infine, Garante ha osservato che la cookie policy pubblicata dalla società non menzionava i trasferimenti di dati, non menzionava l’esistenza di una decisione di adeguatezza della Commissione Europea o di tutele approvate, ed è quindi incompatibile con l’articolo 13 del GDPR.

Garante ha considerato una serie di circostanze attenuanti, tra cui il fatto che la violazione era chiaramente non intenzionale, data la posizione di leader di mercato di Google, e il fatto che la società ha collaborato con Garante durante l’indagine e ha implementato volontariamente misure aggiuntive. Alla luce di ciò, la società ha ricevuto una diffida e 90 giorni per conformarsi e ha adottato ulteriori misure per garantire uno standard di protezione più elevato (oltre a interrompere il trasferimento).

Il Garante ha inoltre osservato che la decisione dovrebbe essere presa in considerazione dall’avv qualsiasi controllore trattamento dei dati da parte di Google Analytics e che trascorsi i 90 giorni concessi alla Società, la garanzia verificherà – attraverso specifiche procedure attuative – che i titolari del trattamento abbiano ottemperato alla decisione. Sulla base di questa affermazione, è prevedibile un’ulteriore azione esecutiva ed è probabile che in futuro la garanzia non si limiterà a mettere in guardia le aziende che si trovano a utilizzare Google Analytics senza le necessarie garanzie aggiuntive.

Dato l’uso diffuso di Google Analytics, questa decisione dovrebbe avere un impatto significativo sul mercato italiano e sull’intera regione europea. Innanzitutto, è un precedente importante nell’era post-Schrems II, in cui si afferma che quando la trasmissione di dati “non crittografati” è inevitabile, è improbabile che la trasmissione sia considerata conforme. In secondo luogo, la garanzia afferma esplicitamente che il blocco di porzioni di indirizzi IP come ha fatto Google Analytics non è sufficiente per ritenere tali dati anonimi, poiché a Google Analytics non è poi vietato integrare i dati raccolti tramite i cookie di Google Analytics con altri dati personali (il che rende inefficace l’anonimato) . Pertanto, anche se Google adotta ulteriori garanzie per il trasferimento legale dei dati, è ragionevole attendersi che l’esenzione dal consenso prevista in un altro Linee guida sui cookie Non si applica a Google Analytics, a meno che non vengano adottate ulteriori misure specifiche per garantire che gli indirizzi IP rimangano veramente anonimi.

Il contenuto di questo articolo ha lo scopo di fornire una guida generale all’argomento. Si consiglia di seguire il consiglio di specialisti in tali circostanze.