A seguito del caso di alcuni mesi fa, torniamo a parlare di Google Analytics e problematiche con il GDPR, ma questa volta i provvedimenti sembrano ben più drastici.
Dopo alcuni mesi di incertezze, segnalazioni e richieste di chiarimenti, il Garante della Protezione dei dati, con il Provvedimento n. 224 del 9 giugno 2022, di cui al Comunicato Stampa pubblicato ieri, si è finalmente pronunciato, in modo netto, in relazione all’utilizzo nei siti web degli strumenti di tracciamento “Google Analytics”, sia da parte di soggetti privati che di soggetti pubblici.
In questo video con l’Avvocato Giuseppe Croari andiamo a fare un riepilogo della situazione e valutare alcune soluzioni alternative per continuare a fare attività di Analytics:
Con tale provvedimento il Garante ha dichiarato che a nulla servono gli strumenti e le misure di tutela ad oggi adottati, tra cui, in particolare: anonimizzazione dei dati raccolti tramite questi cookies, contrattualizzazione del rapporto tramite Google Ireland Limited e server ubicati in UE, e nemmeno l’utilizzo delle “standard contractual clauses” (SCC) della Commissione Europea.
Il fatto che Google LCC, con sede negli Stati Uniti, possa comunque essere coinvolta nel trattamento dei dati, quale sub-responsabile del trattamento per conto di Google Ireland, e il fatto che gli Stati Uniti siano ritenuti un paese che non offre garanzie sufficienti per la protezione dei dati personali rappresentano un limite insuperabile che, stando al suddetto Provvedimento dell’Autorità Garante, rende illecito il trattamento dei dati personali degli utenti di un sito web se posto in essere da titolare per il tramite di Google Analytics, in quanto violativo degli artt. 5, par. 1, lett. a) e par. 2, dell’art. 13, par. 1, lett. f), dell’art. 24, e degli artt. 44 e 46, del GDPR.
La posizione presa ora dall’Autorità Garante è piuttosto rigida e ritiene appunto non sufficienti nemmeno le proprie indicazioni contenute nelle Linee Guida in vigore da gennaio di quest’anno in merito ai cookie analytics per rendere legittimo l’utilizzo di tali strumenti, qualora come fornitore/destinatario dei dati risulti, anche solo indirettamente, la società statunitense Google LCC.
Entro quando mettere a norma i siti web con Google Analyitics
Con il provvedimento citato il Garante ha, peraltro, concesso un termine di 90 giorni alla società direttamente interessata per mettersi a norma, invitando al contempo anche tutti gli altri utilizzatori di tale strumento a porre rimedio alle violazioni riscontrate.
Ora come ora, di conseguenza, consigliamo di disabilitare l’utilizzo di Google Analytics, in attesa, da un lato, di maggiori indicazioni da parte del Garante su quali potrebbero essere le maggiori misure di tutela da adottare per poter ricorrere a tali strumenti e, dall’altro lato, di probabili interventi delle stesse società Google LCC e Google Ireland Ltd, volti a ripristinare il lecito utilizzo dei propri strumenti all’interno dell’UE.
Evidenziamo, peraltro, che, poiché il Garante ha dichiarato che gli Stati Uniti sono un paese che non offre adeguate garanzie per la tutela dei diritti degli interessati, resterebbe possibile utilizzare gli strumenti di Google Analytics in caso di espresso e consapevole consenso da parte dell’interessato, ai sensi dell’art. 49, par. 1, lett. a) del GDPR, secondo cui è ammesso il trasferimento o un complesso di trasferimenti di dati personali verso un paese terzo soltanto se “l’interessato abbia esplicitamente acconsentito al trasferimento proposto, dopo essere stato informato dei possibili rischi di siffatti trasferimenti per l’interessato, dovuti alla mancanza di una decisione di adeguatezza e di garanzie adeguate”.
Si potrebbe, quindi, eventualmente strutturare un meccanismo di preventiva informativa e successiva acquisizione del consenso da parte degli interessati: meccanismo che potrebbe legittimare tale utilizzo, ma che appare sicuramente macchinoso, aggiungendosi e differenziandosi dal consenso già richiesto per le altre tipologie di cookies, tramite la cookiebar e gli ulteriori pannelli di gestione dei consensi; consigliamo la visione del video allegato all’articolo per altre soluzioni.
Il nostro partner Studio Legale FCLEX resta a disposizione per ulteriori chiarimenti o per valutare ed implementare soluzioni alternative di Analytics sul tuo sito web.
