Ogni sito web che utilizza il servizio Google Analytics senza le garanzie previste dal Regolamento UE, viola la normativa sulla protezione dei dati perché trasferisce i dati degli utenti negli Stati Uniti, un paese senza un livello di protezione adeguato.
Lo afferma il Garante Privacy a conclusione di una complessa istruttoria avviata sulla base di una serie di denunce e in coordinamento con altre autorità privacy europee. Dall’istruttoria del Garante è emerso che i gestori dei siti web che utilizzano Google Analytics raccolgono, tramite i cookie, informazioni sulle interazioni degli utenti con i suddetti siti, le singole pagine visitate ed i servizi offerti.
Tra i tanti dati raccolti, l’indirizzo IP del dispositivo dell’utente e le informazioni relative al browser, al sistema operativo, alla risoluzione dello schermo, alla lingua selezionata, nonché alla data e all’ora della visita al sito web. È stato riscontrato che queste informazioni sono state trasferite negli Stati Uniti. Nel dichiarare l’illegittimità del trattamento è stato ribadito che l’indirizzo IP costituisce un dato personale.
All’esito di tali accertamenti, il Garante ha adottato il primo di una serie di provvedimenti con i quali ha ammonito molti siti, intimandoli di conformarsi al Regolamento Europeo entro novanta giorni. Il tempo indicato è stato ritenuto congruo per consentire al gestore di adottare misure adeguate per il trasferimento, a pena di sospensione, dei flussi di dati effettuati, tramite GA, negli Stati Uniti.
Una decisione presa molto attentamente
Il Garante ha evidenziato, in particolare, la possibilità per le autorità governative e le agenzie di intelligence statunitensi di accedere ai dati personali trasferiti senza le dovute garanzie, rilevando al riguardo che, alla luce delle informazioni fornite dall’EDPB (Raccomandazione n. 1/2020 di 18 giugno 2021), le misure che integrano gli strumenti di trasferimento adottati da Google non garantiscono attualmente un livello adeguato di protezione dei dati personali.
In tale occasione, l’Autorità richiama l’attenzione di tutti i gestori italiani di siti web, pubblici e privati, sull’illegittimità dei trasferimenti effettuati negli Stati Uniti, anche in considerazione delle numerose segnalazioni e quesiti pervenuti all’Ufficio. E invita tutti i titolari del trattamento a verificare la conformità delle modalità di utilizzo dei cookie e degli altri strumenti di tracciamento utilizzati sui propri siti web, con particolare attenzione a Google Analytics e altri servizi similari, alla normativa in materia di protezione dei dati personali.