Google Analytics illegale? Non conforme al GDPR

L’equivalente austriaco del Garante della Privacy, il Datenschutzbehörde cd. DSB, ha dichiarato illegale l’utilizzo di Google Analytics, perché non conforme alle norme del GDPR sulla Protezione dei Dati Personali.

Questo provvedimento prende le mosse da alcuni precedenti sviluppi sul tema, che posso definirsi il retroterra giuridico e culturale della Decisione del Garante austriaco.

Vediamo le tappe fondamentali che hanno accompagnato un allarme sempre maggiore da parte delle Istituzioni Europee, dovuto – a detta di alcuni – ad un certo lassismo da parte degli interessati e quali sono le tutele mancate a cui il GDPR fa riferimento, venendo nella prassi – alle volte – ignorato.

 

Google Analytics e il Cloud Act 

Il Cloud Act è una legge statunitense che obbliga le Società a fornire l’accesso ai dati personali di cui dispongono, compresi quelli di cittadini terzi, senza richiedere il consenso ai diretti interessati.

Il tutto accompagnato ad un sistema di sorveglianza statale in materia, nella sostanza immune da qualsivoglia limite.

Non è necessario essere esperti del settore per comprendere immediatamente come un atto di questo tenore violi in toto l’europeo GDPR.

 

cloud act privacy analytics

 

Privacy Shield: Google Analytics e GDPR

Il Privacy Shield è, invece, un accordo tra l’Unione Europea e gli Stati Uniti, a previsione di una certa tipologia di garanzie per quanto riguarda i dati sia di cittadini che di imprese europei, trasferiti negli USA.

Il 16 luglio 2020, la Corte di Giustizia – con la Sentenza Schrems II (caso C-311/18) – aveva stabilito l’invalidità di tale intesa, in quanto baluardo non sufficiente ad un’adeguata protezione dei dati personali, sensibilmente aumentata ed approfondita grazie al GDPR.

Inoltre, il sistema statunitense di sorveglianza statale invade quel limite che il Regolamento europeo sulla privacy ha tracciato in maniera netta e decisa, a tutela della dimensione privata dei cittadini.

Secondo la Corte il trasferimento di dati verso un paese terzo è legittimo solamente se quest’ultimo garantisce un adeguato livello di protezione conforme al GDPR ed il loro trattamento rispetta il principio di proporzionalità, requisiti entrambi fallaci nella normativa USA.

Per ulteriori informazioni su Privacy Shield e dati trasferiti negli USA leggi questo articolo.

 

Google Analytics e il trattamento dei dati

Google Analytics è un servizio offerto da Google, utilizzato per programmare e monitorare l’andamento di un sito web in generale, ma anche nello specifico per supportare le attività di digital marketing dei siti stessi: attraverso meccanismi di comparazione statistica, offre ai proprietari dei domini degli studi focalizzati sul pubblico che usufruisce delle loro piattaforme, in modo da garantire un aumento della performance e, quindi, del fatturato.

Per stilare queste statistiche, Google Analytics ricorre all’utilizzo e al trattamento di alcuni dati degli utenti utilizzatori dei siti oggetto dell’analisi.

 

google analytics gdpr

 

Le criticità sull’utilizzo di Google Analytics in tema privacy

Il titolare di un sito web utilizzava Google Analytics per ottenere delle statistiche volte allo studio delle preferenze e delle abitudini dei visitatori del suo sito, un’attività tutt’altro che insolita. Il ricorrente contestava, sia al titolare del sito che a Google stesso, di non poter effettuare le suddette attività, dal momento che il Privacy Shield non è più applicabile nei rapporti EU-USA.

Il Garante austriaco ha valutato positivamente talune azioni portate avanti dal convenuto, ossia l’adozione di specifiche misure tecniche e organizzative adottate nel rispetto nella normativa, oltreché l’anonimizzazione degli indirizzi IP degli utenti.

Tutto ciò però non è bastato a garantire la conformità del trattamento dei dati al GDPR, tanto che, nella sua decisione, il Garante austriaco ha posto in evidenza le seguenti maggiori criticità:

  • insufficienza delle clausole contrattuali standard: sulla scorta di Schrems II, la DSB ha osservato che le clausole contrattuali standard non sono vincolanti per i Paesi terzi, di conseguenza nemmeno per i sistemi e programmi di sorveglianza di governo ed intelligence statunitensi;
  • tutela minima delle clausole di protezione standard: le clausole di protezione standard offrono la sola garanzia contrattuale di conformità alla legislazione europea;
  • insufficienza delle misure ulteriori messe in atto: le misure tecniche e organizzative adottate nel rispetto nella normativa, oltreché l’anonimizzazione degli indirizzi IP degli utenti non sono sufficienti per esonerare i dati raccolti dall’ingerenza dei sistemi e programmi USA;
  • obbligo di fornitura dei dati da parte di Google A.: Google A. rappresenta un fornitore di servizi di comunicazione elettronica ed è di conseguenza obbligato a fornire i dati personali alle autorità statunitensi.

Per tali ragioni l’utilizzo di Google Analytics in territorio europeo è stato dichiarato illegittimo da parte della DSB.

 

Cassazione del Privacy Shield e la vulnerabilità dei dati 

Il Privacy Shield non è stato ancora sostituito da una normativa ad hoc, atta a regolamentare l’utilizzo ed il trattamento dei dati che varcano l’oceano.

Ad oggi le big tech americane interessate al tema hanno modificato le policy di loro competenza ma, a detta di alcuni, tali aggiustamenti non sono sufficienti per arginare il vero problema di compatibilità tra le normative.

D’altro canto, alcune aziende europee che si interfacciano con gli USA pare stiano procrastinando un vero e proprio adeguamento del funzionamento dei loro siti sotto questo preciso aspetto, ma la decisione del Garante austriaco di certo non potrà rimanere troppo a lungo soltanto carta scritta.

Per qualsiasi dubbio inerente all’utilizzo di Google Analytics e sul trattamento dei dati personali contatta il nostro studio legale partner FCLEX a Bologna, chiedendo dell’Avvocato Giuseppe Croari, esperto di diritto dell’informatica e nuove tecnologie, e richiedi una consulenza specializzata e personalizzata.

avvocato giuseppe croari

Redazione Diritto dell’Informatica

GDPRICTMarketingNewsNewsPrivacy e sicurezza InformaticaSentenze
gennaio 26, 2022
analyticsgdprgooglegoogle analyticsillegaleprivacy
logo fclex nero

Scopri anche

intelligenza artificiale settimana lavorativa

Rivoluzione Lavorativa: Intelligenza Artificiale e Settimana da 4 Giorni – Implicazioni Giuridiche

28 Mar
Leggi tutto
linee guida agcom influencer

Nuove Linee guida AGCOM per Influencer e Content Creator: Criticità, multe e sfide nel Contesto Giuridico

17 Gen
Leggi tutto
ecommerce sanzioni direttiva omnibus 2023 omnibus

Nuovi obblighi per gli eCommerce: maggiori responsabilità per le imprese e tutele per i consumatori

14 Apr
Leggi tutto
recesso contratto clausola ecommerce limite

Diritto di recesso dal contratto: limiti e clausola di recesso

6 Apr
Leggi tutto
COME REGISTRARE MARCHIO

Come registrare un marchio? Le 5 domande più frequenti

29 Mar
Leggi tutto
guadagnare con marchio e licenza

Licensing e modelli di Business: 5 licenze per monetizzare il tuo marchio

18 Gen
Leggi tutto

Ultimi aggiornamenti

password garante

Linee guida del Garante Privacy in materia di Funzioni Crittografiche e Conservazione delle Password

Con il provvedimento n. 9962283 del 7 dicembre 2023, il Garante per la Protezione dei Dati Personali e l’Agenzia per la cybersicurezza nazionale (ACN) hanno emanato alcune Linee Guida in materia “Funzioni Crittografiche e Conservazione delle Password”. Successivamente, con un comunicato del 1° marzo 2024, il […]
aprile 4, 2024
Leggi tutto
intelligenza artificiale settimana lavorativa

Rivoluzione Lavorativa: Intelligenza Artificiale e Settimana da 4 Giorni – Implicazioni Giuridiche

Avv. Giuseppe Croari – Dott.ssa Francesca Gattarello Ad oggi sono notoriamente risaputi i vantaggi che l’intelligenza artificiale ha apportato anche nel mondo del lavoro (a tal proposito vi segnaliamo questo articolo). A ciò si aggiunga la maggiore consapevolezza che la società ha acquisito, negli ultimi anni, […]
marzo 28, 2024
Leggi tutto
contratto vendere webinar

Il Contratto come strumento per vendere di più

Hai mai pensato al tuo contratto come a un’arma segreta per il successo? Probabilmente no. La maggior parte delle persone considera il contratto come un ostacolo burocratico, un documento noioso e pieno di “legalese” incomprensibile. Ma se ti dicessi che il tuo contratto può essere molto […]
marzo 15, 2024
Leggi tutto

Iscriviti alla nostra newsletter

i nostri social

Guarda i nostri video e rimani aggiornato con notizie e guide

Lo sapevi che per continuare a fare Smart Working in azienda bisognerà adottare degli accorgimenti entro il 30 giugno?

Le modalità per fare marketing si sono evolute di pari passo alle norme in tema di privacy, questo porta ad un binomio complesso: lead generation e privacy. Come fare contatti rispettando però il GDPR?

Il marchio oggi non rappresenta meramente un simbolo identificativo, ma diviene uno degli elementi fondanti della brand identity di un’impresa. La registrazione è fondamentale per tutela e VALORE del tuo business.

scopri altri video

Dirittodellinformatica.it è rivista telematica registrata il 08.04.2008 presso il Tribunale di Foggia (n. 10/08 registro periodici, cron. n. 816/08). Proprietari del sito: Gianluigi Fioriglio e Giuseppe Croari. Direttore responsabile: Gerardo Antonio Cavaliere. P.I. Studio Legale Associato Fioriglio-Croari: 02863681207.

Il contenuto del sito è sottoposto a licenza Creative Commons (Attribuzione-Non commerciale-Non opere derivate 3.0 Unported). E' possibile riprodurre, distribuire, comunicare al pubblico, esporre in pubblico, rappresentare, eseguire e recitare il contenuto del sito purché sia attribuita esplicitamente la paternità di ogni sua singola parte; non sono consentiti utilizzi per fini commerciali, nè alterazioni o trasformazioni del contenuto del sito.

© 2024 dirittodellinformatica.it