Dati trasferiti in USA senza le garanzie del GDPR: stop all’uso di Google Analytics

È recente notizia che il Garante per la protezione dei dati personali italiano abbia “dichiarato illegittimo” Google Analytics.

Prima di correre ai ripari è necessaria però una breve digressione sui fatti.

IL CASO

Una Società italiana è stata ammonita dal Garante per aver fatto uso di Google Analytics.

L’illiceità riscontrata dal Garante, tuttavia, non riguarda l’uso di Google Analytics in sé, bensì il fatto che i dati raccolti vengano trasferiti verso gli USA dove gli stessi non vengono trattati con le stesse cautele garantite dal Regolamento UE n. 2016/679.

Come noto, Google Analytics è un servizio che consente ai gestori di siti web di raccogliere dati a fini statistici per ottimizzare i servizi resi e monitorare l’attività di  marketing, analizzando l’interazione degli utenti con un determinato sito web. Recentemente il servizio ha attivato la possibilità per i gestori dei siti web di utilizzare l’opzione IP – Anonymization che consente di inviare a Google Analytics l’indirizzo IP dell’utente, privato delle ultime sei cifre.

LA NON CORRETTA ANONIMIZZAZIONE

Ora, l’indirizzo IP è in tutto e per tutto un dato personale in quanto, raccogliendo informazioni sul tipo di dispositivo in uso, lingua, data e ora di utilizzo, consente di identificare l’utente. Il dato personale per essere trattato e/o trasferito deve essere anonimizzato, altrimenti l’uso che ne viene fatto è illegittimo. Dato che Google è in possesso di innumerevoli informazioni, la semplice eliminazione delle ultime sei cifre dell’indirizzo IP non consente una corretta anonimizzazione, questo perché utilizzando le informazioni a sua disposizione, Google potrebbe arricchire l’indirizzo IP rendendo così nuovamente identificabile l’utente.

IL LOGIN A PIATTAFORME WEB TRAMIE GMAIL

Oltretutto, si è andati anche a indagare sull’uso combinato – che fanno molti siti web – di login tramite gmail.

L’Autorità di controllo ha evidenziato che, compiendo l’accesso al sito web tramite il proprio account Google, venivano raccolti anche quei dati, quindi l’indirizzo email oltre al numero di telefono ed eventuali ulteriori dati personali inseriti dall’utente quali genere, data di nascita o immagine del profilo.

La misura adottata è quindi stata ritenuta inadeguata, comportando l’illiceità del trasferimento di dati personali verso gli Stati Uniti ai sensi dell’art. 44 e dell’art. 46 del Regolamento, dove oltretutto, la normativa locale non garantisce un livello di protezione equivalente a quello garantito dal GDPR.

Per i titolari di siti web è dunque necessario accertare che le modalità di utilizzo dei cookie e degli altri strumenti di tracciamento utilizzati siano conformi al Capo V del Regolamento e che i dati se trasferiti vengano trattati in modo conforme alla normativa.

POSSIBILI SOLUZIONI? Non resta che attendere….

Ad oggi si stanno ipotizzando varie soluzioni per evitare ogni problematica per i titolari di siti web.

Una delle più adottate al momento (e forse la più consona) consiste nel configurare l’integrazione di Google Analytics “lato client”, in modo da includere un codice JavaScript su ogni pagina pertinente di un sito Web, che imposterà determinati cookie per generare ID differenti sia utente sia dispositivo per ciascun sito comunque idonei a generare statistiche di utilizzo per il sito web.

Più banale suggerimento è quello di utilizzare sistemi analoghi a Google Analytics; ve ne sono molteplici a pagamento ed alcuni anche opensource con sede  all’interno dell’UE.

Ad ogni modo, vista la diffusione di sistemi quali quello di Google Analytics per le imprese titolari di siti web, è oggi prima di tutto auspicabile un adeguamento da parte di Google stessa. Non ci resta quindi che monitorare la situazione e attendere indicazioni più precise sul tema anche da parte del Garante.



Lascia un commento