Il Garante per la Protezione dei Dati Personali (“GPDP” o “Garante” o “Autorità”), con provvedimento n. 9782890 emesso nei confronti della società Caffeina Media S.r.l. (vd. allegato), ha affermato che il trasferimento di dati personali verso gli Stati Uniti effettuato da un sito web mediante Google Analytics viola il Regolamento (UE) 679/2016 (“GDPR”).
Di seguito alcuni dei principali rilievi svolti dal Garante:
- Google Analytics permette il trattamento di dati personali, nella misura in cui consente la raccolta dell’indirizzo IP associato a un dispositivo di comunicazione elettronica. La possibilità di identificare l’interessato risulta amplificata quando l’utente di un sito web accede al proprio account Google, poiché in tale ipotesi l’indirizzo IP è abbinato ad altre informazioni contenute nell’account dell’utente;
- la funzione di “IP-Anonymization” messa a disposizione da Google Analytics consiste, invero, in una pseudonimizzazione del dato relativo all’indirizzo IP dell’utente, in quanto il mascheramento dell’ultimo ottetto non impedisce a Google LLC di re-identificare l’utente medesimo, tenuto conto delle informazioni complessivamente detenute da Google in relazione allo stesso;
- le Standard Contractual Clauses, nella loro versione antecedente all’aggiornamento del giugno 2021, sono del tutto insufficienti a fungere da adeguata garanzia per il trasferimento dei dati verso gli Stati Uniti; la nuova versione comunque necessita di essere integrata con misure che permettano effettivamente di porre al riparo i dati personali da possibili ingerenze dovute alla normativa applicabile nel paese di destinazione dei dati, laddove considerato inidoneo a offrire, in materia privacy, una legislazione sostanzialmente equivalente a quella vigente all’interno dell’Unione Europea;
- le misure supplementari che Google offre in questo senso non valgono a colmare il gap di cui sopra. In particolare, la crittografia dei dati (sia quando in transito che quando “a riposo”) non rappresenta uno strumento adeguato qualora il destinatario dei dati continui a detenere la chiave di decriptazione. Il destinatario, infatti, può essere obbligato dalle autorità straniere (nel caso in esame, dalle autorità di intelligence statunitensi) a fornire la chiave per accedere ai dati oggetto di indagine.
Muovendo da queste considerazioni e principi – rilevato che l’utilizzo da parte della società del servizio Google Analytics comportava una violazione del GDPR e, in particolare, del Capo relativo al trasferimento dei dati al di fuori dello Spazio Economico Europeo – il GPDP ha deciso di ammonire Caffeina Media S.r.l., ingiungendole di conformarsi alla normativa entro 90 giorni a pena della sospensione dei flussi di dati verso gli Stati Uniti.
La decisione del nostro Garante si allinea a precedenti pronunce sul tema delle autorità di controllo austriaca e francese, anch’esse invitate a dire la loro su reclami proposti da interessati rappresentati dall’associazione no-profit fondata da Maximilian Schrems, noto attivista per la privacy alla fonte delle sentenze della Corte di Giustizia dell’Unione Europea che hanno invalidato le decisioni di adeguatezza per il trasferimento dei dati personali verso gli Stati Uniti, rispettivamente chiamate “Safe Harbour” e “Privacy Shield”.
Nel provvedimento e nel relativo comunicato stampa, l’Autorità lascia intendere che a questa decisione ne faranno seguito altre, tenuto conto delle numerose segnalazioni e quesiti che stanno pervenendo al suo ufficio.
Il GPDP, quindi, richiama l’attenzione di tutti i titolari del trattamento / gestori di siti web sull’illiceità dei trasferimenti di dati effettuati tramite Google Analytics o servizi analoghi, invitando tali soggetti a verificare la conformità dei loro siti alla normativa sulla protezione dei dati personali, adottando, se del caso, tempestive contromisure.