L’Italia afferma che Google Analytics viola il GDPR

L’Agenzia italiana per la protezione dei dati ha appena messo in guardia un sito contro l’uso di Google Analytics, ritenendo che non sia conforme al Regolamento generale sulla protezione dei dati (GDPR). Sempre più paesi europei si stanno ribellando allo strumento di analisi dell’audience dell’azienda di Mountain View.

Google Analytics invia i dati negli Stati Uniti

Come spiega il regolatore italiano in Un comunicato stampai dati utilizzati da Google per fornire informazioni in Google Analytics sono personali, comprendono in particolare l’indirizzo IP del dispositivo dell’utente nonché informazioni sul browser, sistema operativo, risoluzione dello schermo, lingua selezionata, data e ora del consultazione della pagina.

Tuttavia, questi dati vengono trasferiti negli Stati Uniti, dove la legislazione sulla protezione dei dati è molto meno rigida rispetto all’Unione Europea, il che costituisce una violazione del GDPR secondo l’agenzia: “Un sito web che utilizza Google Analytics senza le tutele previste da il GDPR dell’UE viola la legge sulla protezione dei dati, perché trasferisce i dati degli utenti negli Stati Uniti, Paese che non dispone di un livello adeguato di protezione dei dati”, scrive.

L’agenzia ha quindi ordinato alla società italiana in questione, Caffeina Media, di conformarsi alla normativa europea entro 90 giorni. Se non riesce a farlo, sarà disposta la sospensione dei flussi di dati legati a Google Analytics verso gli Stati Uniti “. Le autorità italiane hanno anche colto l’occasione per mettere in guardia tutte le aziende del Paese: “ L’Agenzia per la protezione dei dati esorta tutti i titolari del trattamento a verificare che l’uso dei cookie e di altri strumenti di tracciamento sui propri siti Web sia conforme alla normativa sulla protezione dei dati; ciò vale in particolare per Google Analytics e servizi simili “.

Anche Francia e Austria hanno affrontato Google Analytics

Questa non è la prima volta che un paese europeo prende posizione contro l’uso di Google Analytics in relazione al GDPR. Nel gennaio 2022 le autorità austriache hanno coinvolto un editore tedesco per gli stessi motivi. Un mese dopo, la CNIL ha notificato a Google il trasferimento dei dati relativi ad Analytics negli Stati Uniti.

Secondo le autorità austriache, italiane e francesi, è possibile che i servizi di intelligence americani abbiano accesso a questi dati; ritengono che la società di Mountain View non abbia messo in atto misure adeguate per proteggere queste informazioni. L’Agenzia italiana per la protezione dei dati ricorda, ad esempio, che ” un indirizzo IP è un dato personale e non verrebbe anonimizzato anche se troncato, data la capacità di Google di arricchire questi dati con informazioni aggiuntive in esso contenute “.

Google Analytics trasferisce molti dati negli Stati Uniti. Fotografia: Myriam Jessier / Unsplash

” Le persone vogliono che i siti web che visitano siano ben progettati, facili da usare e rispettosi della loro privacy. Google Analytics aiuta gli editori a capire come si comportano i loro siti e le loro app per i loro visitatori, ma non identificando le persone o tracciandole sul Web. Queste organizzazioni, non Google, controllano quali dati raccolgono questi strumenti e come vengono utilizzati. Google li aiuta fornendo una serie di salvaguardie, controlli e risorse per la conformità “Google ha detto di TechCrunch.

Dal 2020 il trasferimento di dati tra gli Stati Uniti e l’UE non è più regolamentato

Queste diverse decisioni fanno seguito alla sentenza Schrems II del 16 luglio 2020 adottata dalla Corte di Giustizia dell’Unione Europea, che ha annullato il Privacy Shield, accordo instaurato tra gli Stati Uniti e il Vecchio Continente per il trasferimento dei dati. Infatti, la giustizia europea ha stabilito che quest’ultima non ha tutelato a sufficienza le informazioni dei cittadini europei, in particolare per quanto riguarda le rivelazioni del whistleblower americano Edward Snowden.

A seguito di questo annuncio, l’ONG austriaca Noyb (None of Your Business), fondata dall’attivista Maximilien Schrems, ha presentato 101 denunce contro aziende in diversi Stati membri dell’UE, accusandole di trasferire illegalmente dati negli Stati Uniti.

Attualmente è in lavorazione un nuovo accordo tra Stati Uniti e Ue, ma i negoziati si trascinano. Come riportano i media TechCrunchil divario tra la legge sulla sorveglianza degli Stati Uniti e la legge sulla privacy dell’UE continua ad allargarsi sotto molti aspetti, quindi non è affatto certo che la sostituzione negoziata sarà abbastanza forte da sopravvivere alle inevitabili sfide legali.

In questo contesto, Google prevede di implementare ulteriori controlli al fine di fornire ai propri clienti garanzie in merito alla protezione dei dati degli utenti.