Il Garante si pronuncia su Google Analytics
Il sito web che utilizza il servizio Google Analytics (GA), senza le garanzie previste dal Regolamento Ue, viola la normativa sulla protezione dei dati perché trasferisce negli Stati Uniti, Paese privo di un adeguato livello di protezione, i dati degli utenti. Lo ha affermato il Garante per la privacy a conclusione di una complessa istruttoria avviata sulla base di una serie di reclami e in coordinamento con altre autorità privacy europee.
Con provvedimento del 9 giugno 2022 [doc. web n. 9782890], oggetto della newsletter del 23 giugno 2022, il Garante per la Protezione dei Dati Personali ha irrogato le sanzioni dell’ammonimento e dell’ingiunzione nei confronti di un gestore di sito web che ha utilizzato Google Analytics, assegnando il termine di 90 giorni per conformare il trattamento al Capo V del GDPR ed ordinando la sospensione dei flussi di dati personali verso Google LLC.
Il Garante in merito ha effettuato alcune considerazioni:
- le condizioni contrattuali di Google Analytics individuano (dal 1° maggio 2021) Google Ireland Ltd e non più Google LLC come contraente dello strumento; in tale quadro, seppure Google Ireland Ltd sia individuata quale responsabile del trattamento, Google LLC resta sostanzialmente sub-responsabile verso cui si realizza un flusso di dati personali;
- le misure adottate da Google sono inidonee ad impedire alle Autorità statunitensi di accedere ai dati trattati tramite Google Analytics in forza della legislazione e della prassi statunitensi applicabili e dei relativi programmi di sorveglianza (“FISA 702”);
- la funzione di anonimizzazione dell’IP (“IP Anonymization“) è ritenuta una forma di pseudonimizzazione piuttosto che di anonimizzazione, anche a fronte del fatto che l’incrocio dei dati in possesso di Google permette una re-identificazione dell’utente, a maggior ragione se la navigazione avvenga con account Google attivo;
- le ulteriori misure, quali la cifratura dei dati, sarebbero nondimeno inidonee a fronte del fatto che anche le relative chiavi rimarrebbero nella disponibilità dell’importatore dei dati.
Fonte: Garante Privacy