Alla luce del provvedimento n. 244 del 9 giugno (noto grazie al comunicato stampa del 23 giugno) il Garante per la protezione dei dati personali ha confermato che il trattamento relativo ai servizi preposti da Google Analytics risulti in violazione delle norme previste dal Regolamento UE 679/2016 (noto comunemente sotto l’acronimo “GDPR”) evidenziando in particolar modo le disposizioni previste per il trasferimento dei dati al di fuori dell’Unione europea.

Quando si cita Google Analytics, si fa riferimento ad uno strumento di web analytics che permette l’analisi di statistiche relative agli utenti che navigano o semplicemente accedono ad un determinato sito internet (nello specifico, questo servizio, in Europa, viene concesso da Google Ireland Limited).

L’attuale parere del Garante nasce da un caso del 2020, ed è relativo ad un sito che aveva implementato la vecchia versione di Google Analytics senza effettivi accorgimenti tecnici volti a prevenire il trasferimento di dati personali negli USA, pertanto, il sito web che utilizza il servizio “GA”, senza le garanzie previste dal Regolamento Ue, viola la normativa sulla protezione dei dati perché trasferisce i dati degli utenti negli Stati Uniti (dove non vi sono adeguati livelli di protezione).

La complessa istruttoria è stata oggetto di esame da parte del Garante per la privacy, la quale, dopo una serie di reclami, si è recentemente conclusa ed è emerso che i gestori dei siti web che utilizzano Google Analytics raccolgono, attraverso i c.d. cookie, informazioni sulle interazioni degli utenti con i siti in questione, le pagine visitate ed infine i vari servizi proposti. I vari dati raccolti includono indirizzo IP del dispositivo dell’utente ed informazioni connesse al browser, al sistema operativo, alla risoluzione dello schermo, alla lingua scelta ed infine persino la data e l’orario in cui è stato visitato il sito web. Tutte queste informazioni sono state l’oggetto di trasferimento verso gli Stati Uniti, pertanto, tale “passaggio” è stato dichiarato illecito, ribadendo l’indirizzo IP costituisce un dato personale il quale non potrebbe divenire anonimo nel caso in cui venga “troncato” vista la capacità di Google di incrementarlo con altri dati presenti.

I provvedimenti presi da parte del Garante consistono nell’ammonizione di Caffeina Media S.r.l. che gestisce un sito web, dovendo, essa, ad oggi, conformarsi al Regolamento europeo entro novanta giorni. In tale scenario, è stato confermato che l’uso di Google Analytics comporta, un trasferimento di dati verso gli USA, regolato tramite delle Clausole contrattuali standard ai sensi schema tipo adottato il 5 febbraio 2010 dalla Commissione europea con decisione n. 2010/87/UE, le quali sono integrate dalle misure di garanzia supplementari, che gli utenti dei siti non la possibilità di verificare. Inoltre, a seguito della sentenza “Schrems II” grazie alla quale la Corte di Giustizia dell’Unione europea ha invalidato il cosiddetto Privacy Shield, il trasferimento verso gli USA può verificarsi soltanto ricorrendo ad uno dei transfer tool previsti dall’art. 46 del Regolamento (affinché venga confermato e garantito un livello di protezione dei dati essenzialmente equivalente a quello garantito all’interno del SEE).

In conclusione, dichiarando l’illiceità del trattamento, l’Autorità garante ha sottolineato la possibilità, per le Autorità governative e le agenzie di intelligence statunitensi, di accedere ai dati personali trasferiti senza le dovute garanzie, rilevando al riguardo che, alla luce delle indicazioni fornite dall’EDPB (Raccomandazione n. 1/2020 del 18 giugno 2021), le misure che integrano gli strumenti di trasferimento adottate da Google non garantiscono, un effettivo livello di protezione dei dati personali. In sintesi, alla luce delle suesposte considerazioni, l’Autorità ha richiesto un certo livello di attenzione – alla vicenda – i vari gestori italiani di siti web, pubblici e privati, verso la considerazione illecita dei trasferimenti effettuati verso gli Stati Uniti attraverso Google Analytics, invitando alla verifica della conformità delle modalità di utilizzo di cookie e altri strumenti di tracciamento utilizzati sui propri siti web.

Nel caso di specie, il Garante ha ammonito la società destinataria del provvedimento, ingiungendo alla sospensione dell’utilizzo di Google Analytics e precisando la necessità di una celere conformazione al trattamento al GDPR entro 90 giorni dalla data di comunicazione del provvedimento (tale raccomandazione incombe, invero, su tutti i gestori di siti internet che utilizzano Google Analytics, che dovranno attivarsi per conformarsi alla prescrizioni contenute nel provvedimento).