Secondo il Garante Google Analytics non è conforme al GDPR (e chi lo usa dovrebbe correre ai ripari)

L’uso di Google Analytics è illecito in Italia e a dirlo è il Garante per la protezione dei dati personali in persona: così molte testate hanno riassunto in queste ore una pronuncia, molto attesa e dai risvolti potenziali effettivamente drastici per chi gestisce siti web, dell’Authority sulla spinosa questione del trasferimento dei dati personali all’estero e in particolare verso paesi privi «di un adeguato livello di protezione», come lo sarebbero gli Stati Uniti.

Perché il Garante ha ammonito chi usa le statistiche di Google Analytics

Quello che nei fatti è successo è che, dopo aver ricevuto alcune segnalazioni, il Garante Privacy ha ammonito un’agenzia digitale che per alcuni progetti web, tra cui un magazine digitale, sfruttava le statistiche di Google Analytics. Lo ha fatto chiedendole di conformarsi alle previsioni del GDPR sul trattamento dei dati personali e dandole novanta giorni di tempo per adottare in particolare misure adeguate al trasferimento dei dati personali dei propri utenti all’estero, pena la sospensione dello stesso flusso.

Per almeno altri novanta giorni non ci sarà, insomma, alcun “ban” di Google Analytics in Italia. Certo, nella nota diffusa, il Garante ha richiamato tutti i gestori italiani di siti web e i loro titolari del trattamento a

«verificare la conformità delle modalità di utilizzo di cookie e altri strumenti di tracciamento utilizzati sui propri siti web, con particolare attenzione a Google Analytics e ad altri servizi analoghi, con la normativa in materia di protezione dei dati personali»

promettendo da parte propria possibili attività ispettive.

Google Analytics è illecito? I dubbi del Garante italiano

Su cosa si fonda, però, l’ipotesi che l’uso di Google Analytics è illecito in Italia? Come argomenta in modo approfondito Agenda Digitale, ci sono due ordini di problemi¹. Uno è di tipo formale: quando si utilizza Google Analytics per ottenere statistiche e dati riguardanti visite e attività sul proprio sito web è come se, di fatto, si stesse nominando Google LLC come titolare del trattamento dei dati personali in conformità all’art. 28 del GDPR; si viene a configurare in questo modo, però, uno squilibrio contrattuale non indifferente a sfavore del gestore del sito che, di fatto, non può dare istruzioni su come trattare i dati; non a caso a propria volta, facendo riferimento a termini e condizioni accettate nel momento in cui si incomincia a utilizzare Analytics, Google delega per l’Europa Google Ireland Limited come responsabile del trattamento e cita Google LLC come subfornitore. È con l’ultimo passaggio che il trasferimento di dati personali diventa estero e il problema si fa sostanziale: come scrive lo stesso Garante, infatti,

«i gestori dei siti web che utilizzano [Google Analytics] raccolgono, mediante cookie, informazioni sulle interazioni degli utenti con i predetti siti, le singole pagine visitate e i servizi proposti. Tra i molteplici dati raccolti, indirizzo IP del dispositivo dell’utente e informazioni relative al browser, al sistema operativo, alla risoluzione dello schermo, alla lingua selezionata, nonché data e ora della visita al sito web […] sono risultate oggetto di trasferimento verso gli Stati Uniti».

Da quando, con quella che è comunemente conosciuta come “Sentenza Scherms II”², la Corte di Giustizia Europea ha invalidato il Privacy Shield e mentre Unione Europea e Stati Uniti sono impegnati in – complicate – trattative per un nuovo accordo³ sul trasferimento estero dei dati personali degli utenti, come in parte già si accennava, gli Stati Uniti non possono essere considerati tra quei paesi in cui lo stesso trasferimento di dati avvenga in maniera sicura. Ancora il Garante, provando a spiegare perché l’uso di Google Analytics è illecito in Italia, ha citato in particolare

«la possibilità, per le Autorità governative e le agenzie di intelligence statunitensi, di accedere ai dati personali trasferiti senza le dovute garanzie».

Sembra esserci una stretta, a livello europeo, su come le big tech trattano i dati

È, a guardare bene, un tema su cui qualche tempo fa si era già espressa in maniera identica la corrispondente authority irlandese, prendendo a oggetto in quel caso però le attività di Meta in Europa.

Direttamente sulla questione di Google Analytics, prima del Garante Privacy italiano e in maniera simile, si erano espressi le autorità di controllo austriaca e francese e l’EDPS, ossia il Garante europeo della protezione dei dati.

Ciò potrebbe dimostrare per molti versi la volontà da parte di chi in Europa si occupa di privacy e corretto trattamento dei dati personali di una stretta sulle attività delle big tech. Big del digitale che, fin qui, erano state al riparo di un certo laisser faire che aveva permesso loro per esempio, per tornare ai dati e alle informazioni raccolte da Google Analitycs, di adottare come escamotage l’anonimizzazione parziale dell’indirizzo IP dei visitatori dei siti per evitare che fosse categorizzato come dato personale: come se, anche se in parte anonimo, associato a una serie di altri dati raccolti tramite lo stesso Google Analitycs o già a disposizione di Google nel caso degli utenti che navigano dopo aver effettuato il login sul proprio account, non lo restasse nella sostanza.