Non conformità di Google Analytics al GDPR: ne risponde il titolare del sito.

Avvocato privacy Marche

Il Garante Privacy italiano, con provvedimento del 9.6.2022, pubblicato lo scorso 23 giugno, ha statuito la responsabilità di un’azienda italiana, titolare di un sito internet, a causa dell’illegittimo trattamento dei dati dei propri utenti, derivante dal trasferimento dei dati, tramite Google Analytics, dal proprio sito internet verso gli USA senza adeguate garanzie, facendo proprie, in questo modo, le censure già sollevate nei mesi scorsi dalle omologhe autorità austriache e francesi, che avevano già espresso giudizi sulla non conformità tra tale strumento e il GDPR.

I termini della questione

In materia di privacy, infatti, i trasferimenti di dati personali verso Paesi non appartenenti allo Spazio Economico Europeo o verso un’organizzazione internazionale sono consentiti a patto che l’adeguatezza del Paese terzo o dell’organizzazione sia riconosciuta con decisione della Commissione europea (art. 45 del Regolamento UE 2016/679), che sono vincolanti per i Paesi dell’Unione.

In mancanza di tale decisione, l’art. 46 del Regolamento UE 2016/679 consente il trasferimento di dati extra UE nei casi in cui il titolare o il responsabile del trattamento forniscano garanzie adeguate che prevedano diritti azionabili e mezzi di ricorso effettivi per gli interessati. A titolo di esempio, il titolare del trattamento di un’azienda stabilita in Europa può stipulare un contratto col titolare dell’azienda che si trova nel Paese terzo se le clausole che costituiscono l’accordo sono tali da offrire un livello di protezione effettivo e analogo a quello imposto nel mercato europeo dal GDPR.

Si pensi all’adozione di un codice di condotta con cui il titolare o il responsabile del trattamento nel Paese terzo si impegna ad applicare, con strumenti effettivi, tutte le garanzie previste dal GDPR, con particolare riguardo ai diritti degli interessati.

Il trasferimento di dati “europei” verso gli USA

Nel caso di Google Analytics, strumento gratuito di proprietà dell’azienda statunitense Google LLC, il trasferimento di dati da una qualsiasi azienda europea, aderente al servizio, verso gli Stati Uniti, ove ha sede Google medesima, avviene in base a condizioni che non tutelano la privacy così come disciplinata dall’attuale normativa europea.

In particolare, secondo il Garante la piattaforma di Google che fornisce statistiche e strumenti per l’analisi delle performance del proprio sito online “viola la normativa sulla protezione dei dati perché trasferisce negli Stati Uniti, Paese privo di adeguato livello di protezione, i dati degli utenti”.

Il gestore del sito internet, infatti, raccoglie diversi dati degli utenti quali, ad esempio, l’indirizzo IP del dispositivo utilizzato ed altre informazioni relative al browser, al sistema operativo, alla risoluzione dello schermo, tra cui la lingua selezionata, la data e l’ora della visita sul portale. Questi dati, indipendentemente dalle modalità con cui vengono raccolti, vengono trasferiti nei server USA, con modalità di trattamento a più riprese ritenute inidonee dall’Unione europea.

Da ultimo, nello specifico, si ricordano le conseguenze della Sentenza della Corte di Giustizia dell’Unione europea, Schrems II, del 16.7.2020, che ha annullato il noto accordo Privacy Shield sulla regolamentazione del trasferimento dei dati personali dei cittadini europei nei server americani.

Malgrado negli ultimi anni tale flusso di dati sia stato comunque effettuato tramite modalità alternative, la recente decisione del Garante ha un impatto dirompente sul mercato, visto l’utilizzo di Google Analytics su quasi tutti i siti web.

Principio di accountability

A fare le spese di tutto questo è però il singolo titolare del sito internet che, in quanto Titolare del Trattamento, è tenuto a mettere in atto “misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento – anche se realizzato da soggetti nominati dal medesimo come Responsabili – è effettuato conformemente al Regolamento.

Normativamente spetta dunque al titolare del sito internet, in qualità di Titolare del Trattamento, il compito di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali nel rispetto della normativa rilevante in materia, a nulla rilevando la sostanziale assenza di potere contrattuale tra questi e la piattaforma scelta, sostanziale monopolista nella fornitura gratuita di un tale servizio.

L’attuazione del principio nei trasferimenti dati verso Paesi terzi

L’attuazione del principio di accountability con riferimento ai trasferimenti dei dati verso paesi terzi pone in capo al titolare, in qualità di esportatore, la responsabilità di verificare, caso per caso e, ove necessario, in collaborazione con l’importatore nel paese terzo, se la legge o la prassi di quest’ultimo incidano sull’efficacia delle garanzie adeguate contenute negli strumenti di trasferimento di cui all’articolo 46 del Regolamento.

Considerazioni finali

In attesa di rapidi aggiornamenti sul punto, si suggerisce a tutti i titolari di siti internet di operare quanto prima un check con i propri consulenti e con i tecnici incaricati e di individuare – se necessario – strumenti d’analisi alternativi a quello ritenuto illegittimo, nonché soluzioni tecniche conformi alle prescrizioni GDPR, evitando così possibili sanzioni.

Nel provvedimento in esame, infatti, il Garante si è limitato al solo ammonimento del titolare del sito, anche in ragione della novità della questione e della collaborazione mostrata nella fase istruttoria, concedendo allo stesso un termine di 90 giorni per adeguarsi al Regolamento europeo, pena “la sospensione dei flussi di dati effettuati, per il tramite di Google Analytics, verso gli Stati Uniti”, ma si dubita che tale approccio possa proseguire ancora per molto tempo.

Il Provvedimento del Garante è consultabile al seguente link.

Il testo del Regolamento UE 2016/679 è disponibile al seguente indirizzo.

Per ulteriori approfondimenti in materia di privacy e, più in generale, diritto informativo, puoi consultare altri nostri articoli ai seguenti link:

Il nuovo digitale europeo

Diritto d’opposizione al trattamento dei dati personali dell’utente telefonico.

L’Antitrust detta le linee guida per le condizioni d’uso dei social network

IDENTITÀ ED EREDITÀ DIGITALE: QUALE REGOLAMENTAZIONE?

Lascia un commento

You must be logged in to post a comment.
Privacy Preferences
When you visit our website, it may store information through your browser from specific services, usually in form of cookies. Here you can change your privacy preferences. Please note that blocking some types of cookies may impact your experience on our website and the services we offer.