Il trasferimento dei dati negli USA attraverso l’uso di Google Analytics viola il regolamento generale sulla protezione dei dati. Recentemente il Garante Privacy italiano si è espresso in materia di trattamento dei dati personali svolto da Google su siti che ospitano il servizio Analytics. Questo servizio permette di fare un tracciamento dei comportamenti degli utenti sul sito dove è ospitato fornendo delle metriche di utilizzo utili ai gestori dei siti web.
Le evidenze recenti
Il fatto preso in sé non costituisce un illecito alla luce del Regolamento Europeo Generale sul trattamento dei Dati Personali (RGDP all’italiana o GDPR all’inglese) approvato nel 2016 in sede europea ed entrato in vigore a Maggio 2018. L’illecito però assume rilevanza nel momento in cui si vanno monitorando i trasferimenti che Google, attraverso Analytics, fa dei dati che ottiene con i suoi codici di rilevamento del traffico.
I dati ottenuti da Google Analytics sono definiti come dati personali che, anche se pseudoanonimizzati (ovvero parzialmente mascherati), rappresentano un elemento sufficiente a ricondurre informazioni aggregate tra di loro a un singolo utente. Nella maggior parte dei casi esposti dal Garante Privacy si tratta di informazioni relative:
• all’indirizzo IP del dispositivo dell’utente;
• al browser utilizzato;
• al sistema operativo;
• alla risoluzione dello schermo;
• alla lingua selezionata;
• alla data e ora della visita al sito web.
Le informazioni che raccoglie Google, attraverso Analytics, vengono trasferite negli Stati Uniti, nazione che (su base della sentenza Schrems 2) non è conforme a ricevere dati personali provenienti dalla Spazio Economico Europeo.
Purtroppo quindi, senza il rispetto di determinate condizioni che sono inserite all’interno del GDPR, non è possibile procedere al trasferimento di detti dati verso gli USA.
Cosa significa questo pronunciamento contro Google in favore degli utenti
In altre parole non è consentito, a Google Analytics, il trattamento dei dati raccolti ed elaborati all’interno dello Spazio Economico Europeo o dati di cittadini europei. In questo senso, quindi, il Garante Privacy italiano comunica ai gestori dei siti web nazionali di dismettere, nel termine di 90 giorni, Google Analytics dai propri portali internet e interrompere così l’illecito.
Le implicazioni per gli utenti del pronunciamento del Garante contro Google
Dal 25 Maggio 2018, data di entrata in vigore del GDPR, gli utenti stanno sperimentando una sempre progressiva tutela della loro privacy online. La comunicazione del Garante Privacy italiano si va ad allineare alla posizione del Consiglio Europeo dei Garanti che assume una posizione forte a tutela degli interessi di utenti e consumatori.
Con l’obbligo imposto ai gestori di siti web a dismettere Google Analytics nel termine di 90 giorni, viene protetta ulteriormente la privacy dei cittadini in favore di sistemi di analisi dei dati più rispettosi della vita privata dei consumatori e che comunque permetta a detti gestori di ottenere dati utili a migliorare l’esperienza di navigazione degli utenti.
Come difendersi dai trasgressori
I trasgressori ci saranno comunque e le strade da proseguire sono diverse. Alcune più immediate, altre meno. Nello specifico possiamo dire che i trasgressori alla direttiva del Garante Privacy rischiano davvero grosso sotto diversi profili giuridici.
Nel caso in cui sia trascorso il termine di 90 giorni dall’obbligo imposto dall’Autorità Garante e il sito web non sia stato reso conforme è possibile comunicare al Garante stesso la violazione. Sarà sufficiente accedere all’indirizzo web del Garante Privacy, andare alla sezione “Come agire”, proseguire fino a “RECLAMI E SEGNALAZIONI” e seguire gli step che verranno indicati di volta in volta.
Inoltre, in attesa che il percorso di verifica da parte dell’Autorità abbia il suo corso, è possibile ridurre l’invasività dei cookies direttamente via browser. Normalmente è possibile disabilitare i cookies accedendo al pannello delle impostazioni del proprio browser, entrare alla sezione Privacy e selezionare l’opzione più restrittiva sui cookie che sono ammessi online.