Google Analytics è la parola di questi giorni tra gli addetti ai lavori nel settore della data protection.

Clamore ha suscitato il recente provvedimento n. 224 del 9 giugno e successivo, comunicato stampa del 23 giugno, del Garante per la Protezione dei Dati Personali italiano.

Sulla scia di quanto già affermato dall’Authority austriaca e da quella francese, ha ribadito l’illegittimità dell’uso di Google Analytics, dichiarando il trasferimento di dati personali verso gli Stati Uniti non conforme al GDPR.

I gestori dei siti web che utilizzano Google Analytics raccolgono informazioni sulle interazioni degli utenti con i siti, le pagine visitate e i servizi proposti.

I dati analizzati vengono trasferiti a Google negli Stati Uniti.

Nel provvedimento, il Garante italiano ha voluto ribadire che l’indirizzo IP rappresenta un dato personale a tutti gli effetti.

Il processo di anonimizzazione utilizzato consentirebbe lo stesso a Google, considerata la sua capacità di mettere a confronto una enorme quantità di informazioni, di identificare con precisione l’utente.

Al contempo, come noto, i servizi di sicurezza statunitensi utilizzano alcuni identificativi online, come gli indirizzi IP e gli Unique Identification Number per la raccolta delle informazioni e la sorveglianza degli individui.

Quindi, per tali motivi, secondo il Garante non sussistono, al momento, adeguate garanzie nel trasferimento di dati verso gli Stati Uniti.

L’accountability del Titolare

L’Autorità Garante ha ribadito il principio di accountability del Titolare.

Il principio di accountability prevede che il titolare deve mettere in atto tutte le misure adeguate a garantire un legittimo trasferimento dei dati verso tutti i paesi non dotati di una decisione di adeguatezza.

Ne consegue che, in assenza di condizioni sufficienti a garantire un trasferimento dei dati conforme alla legislazione europea, il titolare non deve effettuare il trattamento.

Nel caso specifico, il Garante Privacy ha ritenuto che non sia legittimo il trasferimento dei dati di Google Analytics.

Cosa debbono adeguarsi le aziende?

Preliminarmente, bisognerebbe svolgere un’analisi accurata di tutto il processo di trattamento dei dati e di aggiornamento del registro dei trattamenti.

Ovvero:

• compiere un’analisi di tutte le tipologie di dati trattati e, successivamente, effettuare una valutazione del rischio conseguente alle attività di trattamento;
• svolgere un’analisi e una revisione puntuale del registro dei trattamenti, sia lato titolare sia lato responsabili;
• aggiornare l’informativa fornita agli interessati, con la precisazione di tutti i processi di trattamento e di trasferimento dei dati all’estero.

Alcune Possibili soluzioni

Dunque, d’ora in avanti l’uso di Google Analytics è sempre illegittimo?

Non è proprio così.

Innanzitutto, per ora è ancora possibile utilizzare Google Analytics.

Il titolare del trattamento potrebbe, ad esempio, continuare ad utilizzare i Google Analytics adottando un sistema di crittografia con chiave privata, in possesso del titolare stesso.

In questo modo verrebbero trasferiti i dati già anonimizzati cui Google non potrebbe avere accesso in alcun modo. Tuttavia, l’Analytics di Google potrebbe non riuscire ad analizzare i dati inviati abbassando notevolmente la qualità del servizio.

In alternativa, il titolare potrebbe continuare ad usare i Google Analytics in vista del prossimo probabile nuovo accordo sul trasferimento dei dati tra USA e UE.

Per ora, i garanti europei seguono la linea dell’ammonimento senza sanzioni di tipo pecuniario. Purtroppo, non è ancora chiaro quando si raggiungerà questo accordo.

Un’altra possibile soluzione sarebbe quella di utilizzare dei server per l’analisi del dato che abbiano Data Center in Europa.

Tale decisione, ad esempio, è stata adottata dalla Pubblica Amministrazione italiana, che non può più avvalersi del servizio di Google per questo tipo di attività.

In conclusione, bisogna tenere presente che il principio di accountability vale sempre e per tutti i trattamenti che comportano il trasferimento di dati personali verso gli Stati Uniti e, più in generale, verso tutti quegli stati che non sono dotati di una decisione di adeguatezza da parte della Commissione Europea.