Google Analytics nella bufera. “È illecito, i dati vanno negli Usa”
Provvedimento del Garante della privacy contro un'azienda italiana che non si sarebbe adeguata al sistema di garanzie previsto dalle regole Ue
Il sito web che utilizza il servizio Google Analytics senza le garanzie previste dal Regolamento Ue, viola la normativa sulla protezione dei dati. Lo afferma il Garante per la privacy a conclusione di una complessa istruttoria.
Un’indagine avviata sulla base di una serie di reclami e in coordinamento con altre autorità privacy europee. Perché si parla di violazione per Analytics? Il motivo è semplice: Google Analytics trasferisce negli Stati Uniti i dati degli utenti. Ma le autorità europee considerano gli Usa un paese privo di un adeguato livello di protezione.
Come ci traccia Analytics
Dall’indagine del Garante è emerso che i gestori dei siti web che utilizzano Analytics raccolgono, mediante i cookies – le tracce informatiche che ci ‘seguono’ mentre navighiamo in Rete – molte informazioni. In particolare sulle interazioni degli utenti con i siti stessi. Così come con le singole pagine visitate e con i servizi proposti. Tra i molteplici dati raccolti, indirizzo IP del dispositivo dell’utente e informazioni relative al browser. Ma anche al sistema operativo, alla risoluzione dello schermo del device, alla lingua selezionata, nonché data e ora della visita al sito web. Tali informazioni sono risultate oggetto di trasferimento verso gli Stati Uniti. Nel dichiarare l’illiceità del trattamento è stato ribadito che l’indirizzo IP costituisce un dato personale. E anche nel caso fosse ‘troncato’ non diverrebbe un dato anonimo.
Perché Google può arricchirlo con altri dati di cui è in possesso. All’esito di tali accertamenti su Analytics il Garante ha adottato il primo di una serie di provvedimenti con cui ha ammonito Caffeina Media S.r.l.. Si tratta di un’azienda che gestisce un sito a cui il garante ha ingiunto di conformarsi al Regolamento europeo entro 90 giorni. Il tempo si ritiene congruo per consentire al gestore di adottare misure adeguate di tutela circa il trasferimento. Altrimenti scatta la sospensione dei flussi di dati verso gli Stati Uniti.
Rischio maxi multa
Caffeina Media, insomma, rischia una sanzione. Questo sarebbe una escalation rispetto a quanto fatto finora in Europa. Come ricorda Il Sole 24 Ore, su Analytics in Francia e Austria ci si è limitati a una diffida, alla luce appunto dell’attuale incertezza normativa. “Le imprese devono valutare di dismettere questo strumento perché non è chiaro se si possa usare nell’Unione europea” spiega al Sole Anna Cataleta, avvocato esperto di privacy.
Pa italiana elimina Analytics
“Dovrebbero fare come la Pubblica amministrazione italiana, che sta dismettendo Google Analytics. Per legge infatti la Pubblica amministrazione deve valutare strumenti alternativi a Google Analytics, open source. Cioè dotati di meccanismi di anonimizzazione forte, by design e non solo ex post come fa Google“.