Seguendo le orme di Austria e Francia, il Garante per la Protezione dei Dati Personali è diventata la terza autorità nazionale a ritenere l’uso di Google Analytics non conforme alla normativa UE sulla protezione dei dati.
Il comunicato stampa del Garante
Il Garante per la Protezione dei Dati Personali, in un comunicato stampa pubblicato il 23 giugno 2022, ha denunciato un editore web per aver utilizzato lo strumento di analisi in un modo che consentisse il trasferimento illegale di parti chiave dei dati personali degli utenti negli Stati Uniti senza tutele necessarie.
Ciò include le interazioni degli utenti con i siti Web, le singole pagine visitate, gli indirizzi IP dei dispositivi utilizzati per accedere ai siti Web, le specifiche del browser, i dettagli relativi al sistema operativo del dispositivo, la risoluzione dello schermo e la lingua selezionata, nonché data e tempo delle visite.
Un’indagine complessa
Il Garante della Privacy ha dichiarato di essere giunta a tale conclusione dopo “una complessa istruttoria avviata sulla base di una serie di reclami e in coordinamento con altre autorità privacy europee”, in collaborazione con altri U.E. autorità di protezione dei dati.
Il Garante ha affermato che il trasferimento di informazioni personali viola la legislazione sulla protezione dei dati perché gli Stati Uniti sono un “paese senza un livello di protezione adeguato“, sottolineando al contempo la “possibilità per le autorità governative e le agenzie di intelligence degli Stati Uniti di accedere ai dati personali trasferiti senza le dovute garanzie“.
La denuncia a Caffeina Media srl
Al sito web in questione, Caffeina Media srl, uno dei più importanti editor in Italia, è stato concesso un periodo di 90 giorni per allontanarsi da Google Analytics per garantire la conformità al GDPR.
Inoltre, il Garante ha richiamato l’attenzione dei webmaster sull’illegalità dei trasferimenti di dati negli Stati Uniti derivanti dall’uso di Google Analytics, raccomandando ai proprietari dei siti di passare a strumenti alternativi di misurazione dell’audience che soddisfino i requisiti del GDPR.
“Alla scadenza del termine di 90 giorni stabilito nella sua decisione, il Garante verificherà che i trasferimenti di dati in questione siano conformi al GDPR dell’UE, anche attraverso ispezioni ad hoc“.
Decisione che segue quella dell’Authority francese
All’inizio di giugno, l’organismo di vigilanza francese sulla protezione dei dati, la CNIL, ha pubblicato una guida aggiornata sull’uso di Google Analytics, ribadendo la pratica come illegale ai sensi delle leggi sul regolamento generale sulla protezione dei dati (GDPR) e concedendo alle organizzazioni interessate un periodo di un mese per conformarsi.
“L’implementazione della crittografia dei dati da parte di Google si è rivelata una misura tecnica insufficiente perché Google LLC crittografa i dati stessi e ha l’obbligo di concedere l’accesso o fornire i dati importati in suo possesso, comprese le chiavi di crittografia necessarie per rendere i dati intelligibile“, ha detto il regolatore.
La risposta di Google
Google ha detto a TechCrunch, blog statunitense, che sta rivedendo l’ultima decisione. Nel gennaio 2022, il gigante della tecnologia aveva sottolineato che Google Analytics “non traccia le persone o profila le persone su Internet” e che le organizzazioni possono controllare i dati raccolti tramite il servizio.
L’azienda con sede a Mountain View, che ospita tutti i dati raccolti attraverso la piattaforma di analisi negli Stati Uniti, ha anche affermato di offrire una funzione di mascheramento dell’indirizzo IP che, se abilitata, rende anonime le informazioni nei server locali prima che vengano trasferite a qualsiasi server al di fuori dell’UE. Tra l’altro, questa funzione sarà abilitata per impostazione predefinita con Google Analytics 4.
Ti è piaciuto questo articolo? Contatta Noi Sicurezza per una consulenza in materia di protezione dei dati: