Agosto 18, 2022

Conca Ternana Oggi

Ultime notizie e rapporti economici sull'Italia.

Google Analytics: il Garante per la protezione dei dati personali italiano ha vietato il trattamento senza l’adozione di garanzie sul trasferimento dei dati personali – protezione dei dati

FTC si concentra sui servizi in abbonamento - Suggerimenti per agire contro i "modelli oscuri" - Media, comunicazioni, IT, intrattenimento

Per stampare questo articolo è sufficiente registrarsi o accedere a Mondaq.com.

Questo articolo è stato scritto in collaborazione con Giulio Novellini

In data 9 giugno 2022 il Garante per la protezione dei dati personali italiano (Una garanzia di ciascuna delle tue proteine ​​personali -“Sicurezza”) È stata presa la decisione di vietare l’uso di Google Analytics senza implementare sufficienti garanzie aggiuntive.

La decisione è in linea con la posizione di altre autorità di vigilanza dell’UE (tra cui CNIL francese). È venuto in risposta a un’accusa contro Caffeina Media Srl (“una società“) in quanto l’utilizzo di Google Analytics da parte della Società sul proprio sito web garantisce il trasferimento di dati personali negli Stati Uniti in assenza delle tutele previste dalla Sezione V del Regolamento Generale UE sulla Protezione dei Dati 2016/679 (“)Regolamento generale sulla protezione dei dati“).

Nella delibera il Garante ha ritenuto quanto segue:

  • Google Analytics richiede che i dati personali siano trasferiti in un Paese al di fuori dello Spazio Economico Europeo (ossia gli Stati Uniti d’America) perché Google Ireland (che agisce in qualità di responsabile del trattamento per conto della società che gestisce i siti web) si avvale di Google LLC come un responsabile del trattamento sussidiario per fornire il servizio Google Analytics.

  • Gli indirizzi IP (che sono dati personali, perché consentono di identificare l’utente) sono trattati dai cookie di Google Analytics, tuttavia la legge statunitense non fornisce garanzie sufficienti per superare il “test” richiesto dalla Corte di giustizia europea in La seconda decisione di Shremes. In questo caso specifico, la società ha affermato di considerare basso il rischio che le autorità statunitensi accedano ai dati, in base al tipo di sito Web e ai contenuti offerti attraverso il sito Web (intrattenimento, notizie e simili). Tuttavia, Garante ha affermato che si trattava di una valutazione soggettiva e che la “probabilità” di tale accesso non è un elemento appropriato da utilizzare per valutare se la legislazione di un Paese al di fuori dello Spazio economico europeo prevede tutele adeguate.

Anche per questo motivo, la valutazione di adeguatezza della normativa statunitense non è stata ritenuta conforme ai requisiti previsti dal Regolamento Generale sulla Protezione dei Dati (GDPR) e Consiglio europeo per la protezione dei dati(“EDPB“).

  • Le ulteriori misure preventive messe in atto dall’azienda non sono state sufficienti. Queste azioni consistono nell'”anonimizzare” i dati crittografando parte dell’indirizzo IP. Secondo Garante, Questo non è sufficiente nel contesto di Google Analytics, poiché la chiave di crittografia è nelle mani di Google E il Questa stessa azienda ha altri dati utente. Inoltre, l’obbligo di consentire l’accesso da parte delle autorità statunitensi riguarda anche i dati e le chiavi di crittografia; Pertanto, le autorità statunitensi possono facilmente battere la garanzia.

  • Anche altre misure contrattuali adottate dalla società sono state ritenute insufficienti in termini di principio di accountability: ad esempio, valutare ogni specifica richiesta di accesso da parte dell’autorità statunitense, informare immediatamente l’interessato di tali richieste in merito ai propri dati, ecc. Secondo Garante, infatti, queste misure da sole non possono impedire l’accesso ai dati da parte delle autorità statunitensi, motivo per cui da sole non sono sufficienti a garantire la compatibilità della trasmissione dei dati.

  • Garante ha respinto l’argomento secondo cui l’atteggiamento squilibrato dell’azienda nei confronti di Google avrebbe impedito l’attuazione di garanzie adeguate. Al contrario, secondo la garanzia, il principio di accountability richiede agli esportatori, in collaborazione con l’importatore, di garantire che la legislazione del paese terzo non influisca sulle clausole contrattuali standard.

  • Infine, Garante ha osservato che la cookie policy pubblicata dalla società non menzionava i trasferimenti di dati, non menzionava l’esistenza di una decisione di adeguatezza della Commissione Europea o di tutele approvate, ed è quindi incompatibile con l’articolo 13 del GDPR.

Garante ha considerato una serie di circostanze attenuanti, tra cui il fatto che la violazione era chiaramente non intenzionale, data la posizione di leader di mercato di Google, e il fatto che la società ha collaborato con Garante durante l’indagine e ha implementato volontariamente misure aggiuntive. Alla luce di ciò, la società ha ricevuto una diffida e 90 giorni per conformarsi e ha adottato ulteriori misure per garantire uno standard di protezione più elevato (oltre a interrompere il trasferimento).

Il Garante ha inoltre osservato che la decisione dovrebbe essere presa in considerazione dall’avv qualsiasi controllore trattamento dei dati da parte di Google Analytics e che trascorsi i 90 giorni concessi alla Società, la garanzia verificherà – attraverso specifiche procedure attuative – che i titolari del trattamento abbiano ottemperato alla decisione. Sulla base di questa affermazione, è prevedibile un’ulteriore azione esecutiva ed è probabile che in futuro la garanzia non si limiterà a mettere in guardia le aziende che si trovano a utilizzare Google Analytics senza le necessarie garanzie aggiuntive.

Dato l’uso diffuso di Google Analytics, questa decisione dovrebbe avere un impatto significativo sul mercato italiano e sull’intera regione europea. Innanzitutto, è un precedente importante nell’era post-Schrems II, in cui si afferma che quando la trasmissione di dati “non crittografati” è inevitabile, è improbabile che la trasmissione sia considerata conforme. In secondo luogo, la garanzia afferma esplicitamente che il blocco di porzioni di indirizzi IP come ha fatto Google Analytics non è sufficiente per ritenere tali dati anonimi, poiché a Google Analytics non è poi vietato integrare i dati raccolti tramite i cookie di Google Analytics con altri dati personali (il che rende inefficace l’anonimato) . Pertanto, anche se Google adotta ulteriori garanzie per il trasferimento legale dei dati, è ragionevole attendersi che l’esenzione dal consenso prevista in un altro Linee guida sui cookie Non si applica a Google Analytics, a meno che non vengano adottate ulteriori misure specifiche per garantire che gli indirizzi IP rimangano veramente anonimi.

Il contenuto di questo articolo ha lo scopo di fornire una guida generale all’argomento. Si consiglia di seguire il consiglio di specialisti in tali circostanze.

Articoli popolari su: Privacy da tutto il mondo

12 passaggi da eseguire prima e durante una violazione dei dati

Godfrey & Kahn SC

La tua organizzazione, come molte altre, è probabilmente consapevole del grave rischio che comporta una violazione dei dati. Nessuno vuole che le informazioni personali dei dipendenti o dei partecipanti al piano di benefit vengano rubate.

Conformità alla legge statunitense sulla privacy dei dati

Wampell Pond Dickinson

Nel maggio 2017, il mondo della privacy dei dati è cambiato irreparabilmente quando quattro membri dell’esercito cinese hanno violato la società di reporting del credito Equifax, esponendo le informazioni personali di quasi 150 milioni di americani.

READ  Recensione del ristorante Cucina di Armani a Vero Beach, Florida.