Privacy, il garante italiano: Google Analytics viola il Gdpr

La decisione è solo l'ultima delle autorità europee contro Google Analytics, che le autorità per la protezione dei dati accusano di trasferire illegalmente dati negli Stati Uniti. [EPA-EFE/FILIP SINGER]

Il Garante per la privacy italiano si è unito ai colleghi di Austria e Francia nel vietare il servizio di Google per il trasferimento (illegale) di dati negli Stati Uniti.

L’Autorità garante della privacy italiana ha adottato giovedì (23 giugno) una decisione in cui afferma che i siti internet che utilizzano il servizio di analisi web fornito da Google senza le necessarie garanzie violano il Regolamento generale sulla protezione dei dati (Gdpr), la legge sulla protezione dei dati dell’Ue.

La decisione è l’ultima di una serie di provvedimenti contro Google Analytics, che le autorità per la protezione dei dati accusano di trasferire illegalmente negli Stati Uniti, un Paese che si ritiene non abbia un livello adeguato di protezione dopo la storica sentenza Schrems II della Corte di giustizia dell’Ue del luglio 2020. L’attivista per la privacy Max Schrems, che ha dato il nome alla causa, ha presentato insieme alla sua Ong, Noyb, decine di denunce in tutti i Paesi dell’Ue contro Google Analytics. La prima decisione è stata quella dell’autorità austriaca, seguita da quella francese.

In un comunicato, l’autorità ha dichiarato che la decisione è il risultato di una complessa indagine basata su una serie di reclami e in coordinamento con altri organismi europei di vigilanza sulla privacy. Ed ha rilevato come lo strumento analitico raccolga diversi tipi di dati degli utenti, tra cui il tipo di browser web, il sistema operativo; la lingua, data e ora di accesso; la risoluzione dello schermo e, cosa forse più importante, l’indirizzo IP del dispositivo.

Gli indirizzi IP sono considerati dati personali, in quanto possono essere ricondotti a una persona specifica. Per il Garante, il fatto che l’indirizzo IP sia stato trasferito negli Stati Uniti in modo parziale non costituisce di per sé un’anonimizzazione, poiché Google è in grado di combinarlo con altri dati, ad esempio l’indirizzo e-mail.

“L’autorità italiana per la protezione dei dati ha chiarito che Google Analytics non utilizza dati anonimi. Quella che Google chiama “anonimizzazione dell’IP” è in realtà una mera pseudo-anonimizzazione, perché l’eliminazione di una parte dell’indirizzo IP non impedisce a Google di identificare nuovamente quell’utente, tenendo conto delle informazioni in suo possesso sugli utenti del web nel loro complesso”, ha spiegato Gianclaudio Malgieri, professore associato di diritto e tecnologia presso la Edhec Business School.

L’autorità italiana non è l’unica ad aver messo a tacere la speranza che lo strumento di analisi possa essere utilizzato in modo lecito se si adottano determinate misure di salvaguardia. In una recente sessione di domande relativa alla decisione su Google Analytics, l’autorità francese Commission nationale de l’informatique et des libertés ha specificato che nessuna salvaguardia può essere ritenuta soddisfacente poiché tutti i dati raccolti dal servizio di Google sono ospitati sul territorio degli Stati Uniti.

“In base al principio di responsabilità, sia Google che il responsabile del trattamento dei dati dell’Ue che utilizza Google Analytics potrebbero e dovrebbero adottare garanzie aggiuntive per rendere il trasferimento dei dati lecito. Ad oggi, le misure proposte da Google Analytics sono considerate inadeguate”, ha aggiunto Malgieri.

“Google Analytics aiuta gli editori a capire come i loro siti e le loro applicazioni funzionano per i loro visitatori, ma non identificando le persone o tracciandole attraverso il web. Sono queste organizzazioni, e non Google, a controllare quali dati vengono raccolti con questi strumenti e come vengono utilizzati. Google ci aiuta fornendo una serie di garanzie, controlli e risorse per la conformità”, ha dichiarato un portavoce di Google a EURACTIV.

L’autorità ha concesso al responsabile del trattamento dei dati in questione 90 giorni di tempo per adeguare il proprio sito web alle norme Ue sulla protezione dei dati. Per il Garante, ciò significa in pratica bloccare del tutto l’uso di Google Analytics, dal momento che non è possibile mettere in atto alcuna salvaguardia per impedire ai servizi segreti statunitensi di accedere ai dati personali provenienti dall’Ue.

Tutti i gestori di siti web devono essere avvertiti in modo analogo dal Garante, che ha sottolineato che dovranno rivalutare l’uso di Google Analytics o di strumenti simili che trasferiscono illegalmente dati personali negli Stati Uniti.