L’Autorità Garante per la protezione dei dati personali, in coordinamento con le altre autorità di controllo per la privacy europee ed all’esito di una complessa attività istruttoria avviata a seguito di molteplici reclami, con provvedimento n. 224 del 9 giugno 2022, ha sostenuto che i siti web che utilizzano il servizio Google Analytics compiono un trasferimento di dati personali negli Stati Uniti violando le norme previste dal Regolamento UE (artt. 44 e 46 Regolamento 2016/679). Ciò in quanto gli Stati Uniti risulta quale Paese terzo privo di un adeguato livello di protezione dei dati (a seguito di sentenza “Shrems II”): detto altrimenti, Google Analytics non può essere utilizzato se si vuole essere conformi al GDPR.
Il Garante ha evidenziato, in particolare, la possibilità, per le Autorità governative e le agenzie di intelligence statunitensi, di accedere ai dati personali trasferiti senza le dovute garanzie, rilevando al riguardo che, alla luce delle indicazioni fornite dall’EDPB (Raccomandazione n. 1/2020 del 18 giugno 2021), le misure che integrano gli strumenti di trasferimento adottate da Google non garantiscono, allo stato, un livello adeguato di protezione dei dati personali degli utenti.
Detta tesi è stata motivata sostenendo che i gestori dei siti web che usufruiscono dello strumento Google Analytics raccolgono, mediante i cookies, informazioni relative alle modalità di interazione degli utenti con il sito web, con le singole pagine e con i servizi proposti. I dati raccolti consistono in identificatori online (nello specifico indirizzo IP del dispositivo dell’utente, dati di navigazione, e informazioni relative al browser, al sistema operativo, alla risoluzione dello schermo, alla lingua selezionata, nonché data e ora della visita al sito web) ed anche l’eventuale utilizzo dell’opzione “IP-Anonymization” (troncamento dell’ultimo ottetto dell’indirizzo IP), l’informazione che arriva a Google LLC non impedirebbe alla stessa di re-identificare l’utente interessato.
Nel summenzionato provvedimento n. 224 del 9 giugno 2022, il Garante chiarisce anche la posizioni privacy di Google quale responsabile del trattamento. Per tale ragione i gestori dei siti web hanno il dovere di adottare misure tecniche e organizzative adeguate a garantire, ed essere in grado di dimostrare, che il trattamento sia conforme a quanto previsto dalla normativa in materia di protezione dei dati personali (principio di accountability) e l’attuazione del principio di accountability, con riferimento ai trasferimenti di dati verso Paesi terzi, pone in capo al Titolare la responsabilità di verificare se la legge o la prassi di questi Paesi incida sull’efficacia delle garanzie adeguate contenute negli strumenti di trasferimento di cui all’art. 46 del Regolamento 2016/679.
Visto quanto sinora esposto appare quindi doveroso, per qualunque Titolare che utilizza tale sistema, intervenire al fine di conformarsi alle indicazioni offerte dall’Autorità Garante. A tal proposito, una valida alternativa potrebbe essere Matomo (già Piwik): si tratta di un open source ed è scaricabile gratuitamente sul server proprietario e, all’occorrenza, tutti i dati potranno essere salvati su server propri.
