Il caso “Google Analytics” affrontato dall’Autorità Garante con il provvedimento del 09 giugno 2022 prende spunto dalla pronuncia C-311/18, del 16 luglio 2020 (c.d. Schrems II), con la quale la Corte di Giustizia dell’Unione Europea, nel dichiarare l’invalidità della decisione della Commissione UE n. 2016/1250 del 12 luglio 2016, sull’adeguatezza della protezione offerta dal regime dello scudo UE-USA per la privacy (c.d. Privacy Shield), ha constatato che il diritto interno degli Stati Uniti comporti deroghe alla normativa in materia di protezione di dati che eccedono le restrizioni ritenute necessarie in una società democratica.
Tutto ciò con particolare riferimento alle disposizioni che consentono alle Autorità pubbliche, nel quadro di determinati programmi di sicurezza nazionale, di accedere senza adeguate limitazioni ai dati personali oggetto di trasferimento, nonché alla mancata previsione di diritti, in capo ai soggetti interessati, azionabili in sede giudiziaria.
L’Autorità Garante nell’affrontare il caso in esame ha accertato che i trasferimenti effettuati verso Google LLC (con sede negli Stati Uniti), per il tramite dello strumento di Google Analytics, sono stati posti in essere in violazione del Regolamento.
A nulla serve la nomina di Google Ireland Limited (prevista dal 1° maggio 2021) quale responsabile, sulla base dei “Google Analytics Terms of Service” e dei “Google Ads Data Processing Terms”, dal momento che può avvalersi di altri soggetti, in qualità di sub-responsabili del trattamento, fra cui Google LLC.
Sotto il profilo della categoria dei dati trattati, questi consistono in:
Come si evince, vengono trattati dati personali, rendendo pertanto indirettamente identificabile l’interessato.
Inoltre, qualora il visitatore del sito web faccia accesso al proprio account Google i dati sopra indicati possono essere associati ad altre informazioni presenti nel relativo account, quali l’indirizzo email ed eventuali ulteriori dati personali.
Ne segue, osserva il Garante, che la funzione denominata “IP-Anonymization” (una forma di pseudonimizzazione) che comporta l’invio a Google Analytics dell’indirizzo IP dell’utente previo oscuramento dell’ottetto meno significativo non impedisce a Google LLC di re-identificare l’utente medesimo, tenuto conto delle informazioni complessivamente detenute dalla stessa relative agli utenti del web.
A queste considerazioni si aggiunga che la Corte di Giustizia con la medesima pronuncia, ha ribadito la validità della decisione n. 2010/87/CE della Commissione del 5 febbraio 2010, ma ha anche puntualizzato che in base al principio di accountability, i titolari del trattamento, in qualità di esportatori, sono comunque tenuti a verificare, caso per caso e in collaborazione con l’importatore nel paese terzo, se la legge o la prassi di quest’ultimo incidano sull’efficacia delle garanzie contenute nelle predette clausole; ciò al fine di determinare se le garanzie previste dalle clausole contrattuali tipo possano essere rispettate nella pratica.
Per questi motivi il Garante evidenzia che l’utilizzo di Google Analytics, da parte dei gestori dei siti web comporta il trasferimento dei dati personali dei visitatori dei suddetti siti verso Google LLC con sede negli Stati Uniti. Tali trasferimenti, in quanto effettuati verso un paese terzo che non garantisce un livello di protezione adeguato ai sensi della normativa di protezione dei dati (ossia gli Stati Uniti), devono essere posti in essere in conformità al Capo V del Regolamento.
Fonte: Federprivacy