Nelle scorse settimane numerosi titolari del trattamento (società pubbliche e private, enti, etc.) hanno ricevuto una mail da un sedicente gruppo di hacker italiani con cui lo stesso segnalava la non conformità dell’impianto privacy rispetto a Google Analytics di siti web.
Questo “gruppo” si è definito “di attiviste e attivisti, cittadine e cittadini attenti alla privacy ed alla tutela dei diritti cibernetici nel nostro Paese” e ha invitato i destinatari della mail a contattarli (evidentemente per “offrire” servizi di consulenza o simili).
In questi giorni, è arrivata la risposta del Garante dichiarando che il sito web il quale utilizza il servizio Google Analytics (GA), senza le garanzie previste dal GDPR (Regolamento Ue 679/2016 relativo alla protezione dei dati personali delle persone fisiche), vìola la normativa sulla protezione dei dati perché trasferisce negli Stati Uniti, Paese privo di un adeguato livello di protezione, i dati degli utenti.
Che cos’è il servizio Google Analytics
Analitycs è il servizio di web analytics che Google mette gratuitamente a disposizione dei suoi utenti, per consentire un completo monitoraggio del proprio sito web. Attraverso sofisticati metodi di integrazione con lo spazio online ed efficienti sistemi di raccolta dati, Google Analytics è in grado di collezionare un enorme numero di informazioni relative al comportamento degli utenti in navigazione sulle pagine visitate.
L’ampia mole di dati che la piattaforma raccoglie ed analizza è, poi, raggruppata in output comprensibili e organizzati in tabelle, flussi e grafici di immediata interpretazione: una delle funzioni di Google Analytics è infatti quella di rendere fruibili a chiunque elaborazioni che altrimenti sarebbero decisamente complesse.
In estrema sintesi, dal monitoraggio degli analytics è possibile, infatti, capire se la strategia digitale che hai deciso di adottare sta funzionando.
L’istruttoria del Garante
Dall’indagine del Garante è emerso che i gestori dei siti web che utilizzano GA raccolgono, mediante cookie, informazioni sulle interazioni degli utenti con i predetti siti, le singole pagine visitate e i servizi proposti. Tra i molteplici dati raccolti, indirizzo IP del dispositivo dell’utente e informazioni relative al browser, al sistema operativo, alla risoluzione dello schermo, alla lingua selezionata, nonché data e ora della visita al sito web. Tali informazioni sono risultate oggetto di trasferimento verso gli Stati Uniti. Nel dichiarare l’illiceità del trattamento è stato ribadito che l’indirizzo IP costituisce un dato personale e anche nel caso fosse troncato non diverrebbe un dato anonimo, considerata la capacità di Google di arricchirlo con altri dati di cui è in possesso.
All’esito di tali accertamenti il Garante ha adottato il primo di una serie di provvedimenti con cui ha ammonito Caffeina Media S.r.l. che gestisce un sito web, ingiungendo alla stessa di conformarsi al Regolamento europeo entro novanta giorni. Il tempo indicato è stato ritenuto congruo per consentire al gestore di adottare misure adeguate al trasferimento, pena la sospensione dei flussi di dati effettuati, per il tramite di GA, verso gli Stati Uniti.
Il Garante ha evidenziato, in particolare, la possibilità, per le Autorità governative e le agenzie di intelligence statunitensi, di accedere ai dati personali trasferiti senza le dovute garanzie, rilevando al riguardo che, alla luce delle indicazioni fornite dall’EDPB (Raccomandazione n. 1/2020 del 18 giugno 2021), le misure che integrano gli strumenti di trasferimento adottate da Google non garantiscono, allo stato, un livello adeguato di protezione dei dati personali degli utenti.
Allo scadere del termine di 90 giorni assegnato alla società destinataria del provvedimento, il Garante procederà, anche sulla base di specifiche attività ispettive, a verificare la conformità al Regolamento Ue dei trasferimenti di dati effettuati dai titolari.
L’invito del Garante ai gestori di siti web
Con l’occasione l’Autorità richiama all’attenzione di tutti i gestori italiani di siti web, pubblici e privati, l’illiceità dei trasferimenti effettuati verso gli Stati Uniti attraverso GA, anche in considerazione delle numerose segnalazioni e quesiti che stanno pervenendo all’Ufficio. E invita tutti i titolari del trattamento a verificare la conformità delle modalità di utilizzo di cookie e altri strumenti di tracciamento utilizzati sui propri siti web, con particolare attenzione a Google Analytics e ad altri servizi analoghi, con la normativa in materia di protezione dei dati personali.
Questo articolo ti è stato utile?
Consulta le nostre sezioni dedicate al Regolamento 679/2016 (GDPR) e privacy e al supporto alle stazioni appaltanti. Puoi anche iscriverti alla nostra newsletter e non perdere le notizie più importanti in tema di Appalti, anticorruzione, digitalizzazione della PA e D.Lgs. 231 responsabilità delle persone giuridiche. Non preoccuparti, saremo moderati. Anche noi odiamo lo SPAM.