L’Autorità Garante Privacy italiana si esprime sul caso Google Analytics


Un commento di Guido Scorza, Autorità Garante Privacy


La recente decisione con la quale il Garante per la protezione dei dati personali ha ordinato a un editore (caffeinemagazine.it), utilizzatore del servizio Google Analytics di sospenderne l’utilizzo – o meglio di sospendere il trasferimento dei dati personali negli Stati Uniti d’America sotteso al funzionamento del servizio – qualora entro tre mesi non riesca ad adottare misure giuridiche e/o organizzative e/o tecnologiche capaci di garantirne un funzionamento compatibile con il GDPR ha scatenato, come in parte comprensibile, reazioni diverse, contrastanti, estreme, talvolta ragionevoli e talvolta completamente irragionevoli.

Vale la pena, per questo, provare a ricondurre quanto accaduto nel suo alveo naturale.

È vero che la decisione ha, inesorabilmente, una portata che trascende il singolo caso sul quale l’Autorità si è pronunciata perché esistono certamente migliaia o decine di migliaia di soggetti pubblici e privati che utilizzano il servizio esattamente come lo utilizza l’editore destinatario del servizio.

E l’autorità, infatti, con il comunicato stampa con il quale ha informato dell’adozione del provvedimento ha rappresentato che, trascorsi i tre mesi in questione, inizierà a fare ispezioni e verifiche per fare in modo, per quanto possibile, che tutti quanti si trovino in posizioni identiche, siano trattati allo stesso modo, così da evitare il crearsi di antipatiche asimmetrie.

Ed è egualmente vero che la portata del provvedimento trascende il perimetro degli utilizzatori di Google Analytics perché ci sono decine di altri servizi forniti da società americane che per funzionare presuppongo il trasferimento di dati personali dal vecchio al nuovo continente.

Tuttavia, guai a dimenticare che la famosa decisione della Corte di Giustizia non ha vietato tutti i trasferimenti tra Europa e Stati Uniti ma più semplicemente annullato la decisione di adeguatezza adottata dalla Commissione europea a valle dell’accordo del cosiddetto Privacy Shield.

Ma trasferire dati personali negli USA – così come in altri Paesi in relazione ai quali, allo stato, non esiste una decisione di adeguatezza – non era vietato prima della Sentenza nota come Schrems II e non è vietato oggi a valle di tale Sentenza.

Il GDPR, infatti, prevede una serie di altre condizioni di legittimità del trasferimento di dati personali al di fuori dell’Europa.

Non è vero, quindi che chiunque allo stato stia trasferendo dati dall’Europa agli Stati Uniti d’America stia violando le regole.

Un accertamento caso per caso è indispensabile per capire se e in che termini il trasferimento extra UE sia lecito o illecito.

In tanti, poi, all’indomani della decisione hanno segnalato che Google ha, frattanto, rilasciato una versione aggiornata del servizio – GA4 – che sarebbe idonea a superare le criticità emerse nel corso dell’istruttoria all’origine del provvedimento oggetto di discussione a limitare il trasferimento e/o la conservazione di dati personali dall’Europa agli Stati Uniti.

Sul punto vale la pena di essere molto chiari.

Gli uffici del Garante non hanno avuto occasione di esaminare la versione 4 di Google Analytics semplicemente perché il titolare del trattamento oggetto del provvedimento non la utilizzava, né sin qui tale versione è venuta in rilievo in altri procedimenti analoghi.

Impossibile in queste condizioni, pertanto, dire se essa sia o meno in grado di risolvere il problema e consentire l’uso di Google Analytics in conformità alla disciplina europea sul trasferimento dei dati personali negli USA.

Quello che, tuttavia, si può certamente dire è che per rendere il servizio conforme alle regole europee non basta né che gli indirizzi IP degli utenti siano cancellati da Google un istante dopo la raccolta, né che non siano affatto raccolti se, al loro posto, sono comunque raccolti e trasferiti nella disponibilità della casa madre americana di Big G altri dati che consentano a quest’ultima e, dunque – agendo essa in qualità di responsabile del trattamento – almeno in astratto al titolare del trattamento di identificare o re-identificare un utente.

Qualche conclusione


Easyteam.org SRL consiglia, come sempre, di affrontare le questioni relative alla privacy e al trattamento dei dati:

  • senza agire di impulso
  • ponderando bene tutti gli aspetti
  • valutando bene tutti gli aspetti normativi
  • consultando degli esperti nelle materie informatiche e giuridiche

e soprattutto consiglia di diffidare dei consulenti che sollecitano cambiamenti drastici e veloci, perchè queste richieste sono molto probabilmente il segno che l’argomento è stato affrontato in maniera frettolosa e senza la dovuta (e auspicata, da parte di chi si spaccia come consulente esperto!) attenzione e profondità.

Post simili