Il Garante Privacy Italiano con il provvedimento del 08 giugno 2022 ribadisce che il trasferimento dei dati personali in paesi extra UE è vietato.
Lo stesso, con il provvedimento ha ammonito la società Caffeine Media Srl per aver effettuato un trattamento di dati personali sul proprio sito web, per il tramite di Google Analytics, in violazione del Regolamento Europeo in materia di protezione di dati personali, ingiungendo l’azienda a conformarsi entro 90 giorni.
Le indicazioni dovrebbero essere valutate da parte di tutte le aziende che utilizzano il servizio di osservazione costante del traffico dati sul proprio sito web.
Google Analytics è un servizio di Google che consente di monitorare le statistiche relative al proprio sito web, al fine di migliorarne le prestazioni. I dati che vengono raccolti sono: l’indirizzo IP del dispositivo dell’utente, informazioni relative al browser, al sistema operativo, alla risoluzione dello schermo, alla lingua selezionata, nonché alla data e ora della visita al sito web.
Una volta raccolti, Google Analytics effettua un trasferimento di dati dall’Europa agli Stati Uniti, compresi i dati personali (come l’indirizzo IP).
Tale attività si ritiene illecita qualora il trasferimento non operi sulla base di adeguate garanzie, come indicato nella decisione internazionale di adeguatezza c.d. Privacy Shield della sentenza c.d. Schrems II della Corte di Giustizia Europea.
In particolare, oltre alla sottoscrizione di apposite clausole contrattuali standard, sarebbe necessario adottare misure tecniche quali l’anonimizzazione o la pseudonimizzazione che impediscano il trasferimento dei dati personali al fornitore statunitense, a prescindere dal fatto che il servizio si basi principalmente su data center europei o che il contratto sia stipulato formalmente con una società del gruppo europea.
Considerando anche che Google aveva dichiarato inizialmente che i dati venivano trattati in forma aggregata e a fini statistici e limitatamente ai dati anonimizzati. Tuttavia, Google vista la quantità di dati raccolti riusciva a combinarli e risalire ai singoli utenti, rendendo inefficaci le tecniche di anonimizzazione adottate finora.
Per questo il Garante ritiene illecito l’utilizzo di Google Analytics qualora non siano garantire dai gestori di siti web adeguate garanzie.
In questi giorni abbiamo raccolto diverse domande che vi riportiamo di seguito.
È sufficiente anonimizzare gli indirizzi IP?
No, il Garante specifica che: “nel dichiarare l’illeceità del trattamento è stato ribadito che l’indirizzo IP costituisce un dato personale e anche nel caso fosse troncato nel diverrebbe un dato anonimo, considerata la capacità di Google di arricchirlo con altri dati di cui è in possesso.”
Come posso continuare a controllare il traffico del mio sito web?
La soluzione più conveniente al momento è di utilizzare un sistema alternativo, come ad esempio Matomo, che è un software gratuito e open source, che può essere installato nel proprio server e configurato per analizzare il traffico del sito web.
Installandolo, in territorio europeo, i dati saranno in piano controllo del gestore del sito web.
Matomo si basa infatti su un database MYSQL locale, quindi non ha bisogno di appoggiarsi ad un servizio esterno in cloud, come invece avviene per Google Analytics.
Alternativa?
Se non sono necessarie sul nostro sito web le statistiche l’alternativa sarebbe quella di disabilitare temporaneamente Google Analytics in attesa di un adeguamento alla normativa.
Ricordiamo che per il territorio italiano restano comunque da considerare come prevalenti le indicazioni del provvedimento generale del Garante per la protezione dei dati personali “Linea guida cookie e altri strumenti di tracciamento” del 10 giugno 2021.
0 commenti