Google: stop all’uso di Google Analytics. Dati trasferiti negli Usa senza adeguate garanzie.

L’Autorità Garante per la protezione dei dati personali (in seguito il “Garante”) si è pronunciata con provvedimento del 9 giugno u.s. prevedendo che il sito web che utilizza il servizio di Google Analytics, senza le garanzie previste dal GDPR, viola la normativa sulla protezione dei dati perché trasferisce i dati degli utenti negli Stati Uniti ritenuti privi di un adeguato livello di protezione dei dati.

Il provvedimento in esame impone alle società che utilizzano il servizio di Google Analytics di verificare la possibilità di adeguamento al GDPR ovvero di individuare soluzioni alternative.

In particolare, il Garante ha ammonito una società, gestore di un sito web, ingiungendo alla stessa di conformarsi al GDPR entro novanta giorni. Il tempo indicato è stato ritenuto congruo per consentire al gestore di adottare misure adeguate al trasferimento, pena la sospensione dei flussi di dati effettuati, per il tramite di Google Analytics, verso gli Stati Uniti.

In sintesi, il provvedimento ha stabilito che:

  • l’utilizzo di Google Analytics da parte dei gestori dei siti web comporta il trasferimento dei dati personali degli utenti verso Google LLC con sede negli Stati Uniti;
  • l’indirizzo IP costituisce un dato personale nella misura in cui consenta di identificare un dispositivo, rendendo indirettamente identificabile l’interessato;
  • l’opzione “anonimizzatone IP” messa a disposizione da Google non consiste in una anonimizzazione ma in una pseudonimizzazione dell’indirizzo IP lasciando a Google la possibilità di reidentificare l’utente;
  • nonostante fossero state sottoscritte le Standard Contractual Clauses, nel caso di specie, le misure supplementari adottate da Google sono state ritenute inadeguate e dunque i trasferimenti sono stati dichiarati illeciti.

In particolare, l’adozione della cifratura non risulta adeguata ad evitare i rischi di un accesso, ai fini di sicurezza nazionale, ai dati trasferiti dall’UE da parte delle autorità statunitensi poiché la chiave di cifratura è in capo a Google LLC che su richiesta dovrebbe consegnarla;

  • le valutazioni sull’adeguatezza del trasferimento sono in capo al titolare (e non a Google che ricopre il ruolo di responsabile del trattamento ai sensi dell’art. 28 del GDPR) che deve dare adeguata informativa agli interessati sui trasferimenti posti in essere e le garanzie adottate.

Sul tema si è espressa anche l’Autorità Garante francese (in seguito la “CNIL”) il 7 giugno u.s.

In particolare, la CNIL ha affermato che sia illegittimo avvalersi di Google Analytics salvo la possibilità di utilizzare un server proxy per evitare qualsiasi contatto diretto tra il terminale dell’utente Internet e i server di Google. Tuttavia, è necessario garantire che questo server soddisfi una serie di criteri per poter ritenere che questa misura aggiuntiva sia in linea con quanto previsto dall’European Data Protection Board nelle sue raccomandazioni del 18 giugno 2021.

La CNIL ha fornito alcune istruzioni per l’uso corretto di un proxy server (tra cui: non comunicare l’indirizzo IP utente ai server del terzo extra-UE; sostituire l’ID utente da parte del proxy, in modalità automatizzata; ecc.).

In considerazione dell’orientamento delle Autorità Garanti, le società Titolari del trattamento dotate di siti web dovranno verificare la conformità delle operazioni di trattamento svolte mediante trasferimenti in paesi terzi, con particolare attenzione all’uso di Google Analytics.

A cura di:

Avv. Caterina Vecchio

Avv. Talisia Cigaina

Il presente documento ha lo scopo di fornire una prima informativa generale sulle novità normative e, pertanto, non potrà essere utilizzato o interpretato quale parere legale. Un’analisi precisa delle ricadute della normativa rispetto alla singola società potrà essere effettuata solamente su specifico incarico.