Sapevamo che il giorno sarebbe arrivato: il Garante privacy ha vietato l'uso di Google Analytics. Almeno fino a che non arriverà un nuovo accordo che garantisca ai dati dei cittadini europei trasferiti negli USA un livello di protezione adeguato alle previsioni del GDPR.

Il precedente: la Corte di Giustizia europea invalida il Privacy Shield

Prima del 2015 il flusso di dati verso gli Stati Uniti era regolamentato dal Safe Harbor, ma in modo estremamente blando. Il 2013 però sconvolge questo sistema. Le rivelazioni di Edward Snowden sul gigantesco e illimitato sistema di sorveglianza di massa dell’NSA e della Cia con l’accordo di Google, Facebook e Apple sconvolgono il mondo. Gli USA spiano tutti, cittadini americani o non, con la collaborazione delle Big Tech. Sui giornali scoppia il cosiddetto “DataGate”. Così nel 2015 l’Unione Europea annulla il Safe Habor.

L’anno dopo arriva il Privacy Shield con il quale il governo degli Stati Uniti si impegna ad aumentare le tutele riguardo i dati dei cittadini europei.

Per saperne di più > Privacy Shield: l’UE annulla l’accordo per il trasferimento dei dati personali negli USA

Per saperne di più > Trasferimento dati negli USA: l’EDPB lancia un salvagente alle imprese dopo l’invalidazione del Privacy Shield

La decisione del Garante privacy: stop a Google Analytics

Nel Luglio del 2020 infatti la Corte di Giustizia dell’Unione Europea ha dichiarato non valida la decisione della Commissione UE che, nel 2016, aveva dichiarato il Privacy Shield adeguato in termini di protezione dei dati.

Il Privacy Shield regolava il trasferimento dati UE-USA e istituiva una serie di protezioni per per i dati di cittadini e imprese europee trasferiti in server USA. Per la Corte di Giustizia, “semplicemente”, tale accordo non offriva sufficienti garanzie. Inoltre, i programmi di sorveglianza americani vanno oltre i limiti previsti dalla normativa europea su privacy e dati. Insomma, il Privacy Shield non rispettava il GDPR e la sorveglianza massiva di Stato invade lo spazio privato del cittadino. 

Il Garante privacy dichiara anche in Italia lo stop a Google Analytics

"Il sito web che utilizza il servizio Google Analytics (GA), senza le garanzie previste dal Regolamento Ue, viola la normativa sulla protezione dei dati perché trasferisce negli Stati Uniti, Paese privo di un adeguato livello di protezione, i dati degli utenti."

si legge chiaramente nel comunicato stampa che il Garante ha pubblicato al termine di una complessa istruttoria originata da una serie di reclami. L'istruttoria ha fatto emergere come:

• l'uso di Google Analytics consente ai gestori di siti web di raccogliere tramite i cookie moltissimi dati. Tra questi l'indirizzo IP, le informazioni sul browser, sul sistema operativo e la risoluzione dello schermo, la lingua in uso, data e ora della visita sul sito web;
• tutti questi dati vengono trasferiti negli Stati Uniti.

Questa tipologia di trattamento dati è, dato l'attuale contesto normativo, illegittima.

Il Garante privacy non sanziona, ma da 90 giorni di tempo per adeguarsi

Il provvedimento del Garante a riguardo non emette alcuna sanzione e non è universale. Riguarda cioè, per adesso, una singola azienda. L'assenza di sanzione dipende, probabilmente dal fatto che ha voluto tenere in considerazione  che sono centinaia di migliaia le aziende europee con un sito web che usa Google Analytics e che si sono trovate, nei fatti, in un vuoto normativo non colmato. Infatti, nonostante l'annuncio di un nuovo accordo per il trasferimento dati negli USA sia stato dato pochi mesi fa, questo non è ancora formalizzato.

Per approfondire > Trasferimento dati negli USA: c’è un nuovo accordo UE-USA
Per approfondire > Il Garante Privacy su Google Analytics: decisione definitiva?

Alla luce di questo il Garante ha concesso 90 giorni di tempo per adeguare il sito web:

"Il tempo indicato è stato ritenuto congruo per consentire al gestore di adottare misure adeguate per il trasferimento, pena la sospensione dei flussi di dati effettuati, per il tramite di GA, verso gli Stati Uniti"

La specifica del Garante: l'indirizzo IP è un dato personale

Contestualmente a questo provvedimento, il Garante ha anche messo nero su bianco una specifica riguardante gli indirizzi IP. L'indirizzo IP è in tutto e per tutto un dato personale. Nel caso di Google, aggiunge, va anche ritenuto che non sia possibile renderlo un dato anonimo, neppure "troncandolo". D'altronde, spiega il Garante, Google dispone di così tanti dati da "avere la capacità di arrichirlo con altri dati di cui è un possesso". Vanificando quindi l'anonimizzazione.

Qui è disponibile il provvedimento completo del Garante