Il 23 giugno il Garante per la protezione dei dati personali ha pubblicato un provvedimento sanzionatorio (CLICCA QUI per il documento) emesso nei confronti del gestore di un sito web che, attraverso lo strumento di web analytics fornito da Google, ha operato un trasferimento di dati personali extra UE in assenza di idonee garanzie in violazione del GDPR. Così facendo, il Garante ha imposto un sostanziale divieto di utilizzo di Google Analytics.

Hai domande? Contatta l’autore dell’articolo utilizzando il form in calce alla pagina

L’attività istruttoria

Il provvedimento è stato emesso al termine di un’istruttoria avviata a seguito di un reclamo da parte di un interessato che aveva segnalato un potenziale trasferimento di dati personali verso Google LLC (con sede negli Stati Uniti) in assenza delle garanzie previste dal Capo V del Regolamento (UE) 679/2016 (GDPR). Come noto, il framework normativo relativo ai trasferimenti di dati verso gli USA è al momento connotato da una forte incertezza a seguito dell’invalidazione del Privacy Shield avvenuto con la pronuncia della CGUE n. C-311/18 (cd. Schrems II) e al perdurare delle trattative tra Commissione europea e governo americano sul tema.

Nel corso dell’istruttoria l’Autorità ha accertato che attraverso Google Analytics il titolare del trattamento ha raccolto dati quali indirizzo IP, identificatori del browser, informazioni sul dispositivo utilizzato e sul sistema operativo e i dati di navigazione i quali possono consentire l’identificazione, diretta o indiretta, dell’interessato. Ciò anche nei casi in cui il titolare opti per la cd. “IP-Anonymization”, ovvero l’offuscamento di parte dell’indirizzo IP.

Il servizio di GA è fornito, in Europa, da Google Ireland Ltd in qualità di responsabile del trattamento, la quale, tuttavia, si avvale di Google LLC (in qualità di sub-responsabile) avente sede negli USA. Ciò perfeziona un trasferimento extra UE.

Il Garante ha affermato che, nonostante la sottoscrizione delle Clausole Contrattuali Standard (SCC), nonché dell’implementazione delle ulteriori misure di garanzia – tecniche, organizzative e contrattuali – contenute nei termini del servizio di GA, le criticità evidenziate dalla Corte di Giustizia nella sentenza Schrems II non possono dirsi superate.

L’assenza di un adeguato livello di protezione e i profili di violazione del GDPR nell’utilizzo di Google Analytics

Il provvedimento, per certi versi atteso e che, in ogni caso, traccia una linea di continuità con quanto già affermato da altre autorità di controllo europee (tra cui i garanti di Francia, Olanda e Austria), ha tuttavia una portata dirompente per l’ampiezza del divieto di utilizzo dello strumento di Google Analytics.

Infatti, ciò che fino ad ora non era ancora emerso dai provvedimenti comminati dalle altre autorità di controllo europee, era la valutazione circa la sostanziale inefficacia dell’IP-Anonymization. Il Garante italiano ha derubricato tale misura ad una mera pseudonimizzazione del dato relativo all’indirizzo di rete dell’utente attraverso il troncamento degli ultimi indicatori. Rilevando al contempo come Google LLC sia in possesso degli strumenti per reidentificare l’utente.

Nel caso di specie, il Garante ha ribadito che l’assenza di garanzie e misure adeguate in materia di protezione dei dati personali è dovuta ad alcune disposizioni di diritto interno statunitense che, in particolare, consentono alle agenzie di intelligence di accedere ai dati detenuti da provider e fornitori con estrema facilità e in assenza di idonee misure di trasparenza nei confronti degli interessati.

Risulta evidente, nella prospettiva dell’Autorità, che allo stato non sia superare tali criticità attraverso l’adozione di misure tecniche, organizzative o contrattuali.

Sanzioni e termini di adeguamento

Il provvedimento non contiene sanzioni pecuniarie, in ragione di alcuni elementi presi in considerazione dall’Autorità quali l’asimmetria informativa tra il titolare e Google che non ha consentito al gestore del sito di valutare l’inidoneità delle misure adottate unilateralmente dal fornitore, l’assenza di trattamento di dati appartenenti a particolari categorie, nonché il carattere colposo della violazione stessa.

Ciò ha portato a qualificare la condotta come “violazione minore” che ha determinato un ammonimento nei confronti del titolare e un’ingiunzione a sospendere i flussi di dati verso gli Stati Uniti di modo da conformare le attività di trattamento alle previsioni del GDPR e a quanto sancito dalla Corte di Giustizia entro il termine di 90 giorni.

Inoltre, nel comunicato con cui il provvedimento è stato pubblicato, l’Autorità ha invitato tutti i titolari del trattamento a conformarsi al contenuto del provvedimento, sospendendo l’utilizzo di Google Analytics, entro il medesimo termine, ammonendo che al termine del predetto periodo saranno avviate specifiche attività ispettive.

Hai domande? Contatta l’autore dell’articolo utilizzando il form qui sotto