Duro colpo a Google. Un sito web che utilizza Google Analytics senza le garanzie stabilite nel Regolamento sulla protezione della privacy dell’Unione europea “viola la legge sulla protezione dei dati perché trasferisce i dati degli utenti negli Stati Uniti, che sono un Paese privo di un adeguato livello di protezione”. Così scrive il Garante della Privacy italiano, a conclusione di una complessa istruttoria avviata sulla base di una serie di reclami e in coordinamento con altre autorità privacy europee.
Il caso Caffeina Media
Tutto è partito dal caso Caffeina Media S.r.l. Il Garante ha adottato il primo di una serie di provvedimenti con cui ha ammonito questa società che gestisce un sito web a conformarsi al Regolamento europeo entro 90 giorni.
Il tempo indicato è stato ritenuto congruo per consentire al gestore di adottare misure adeguate per il trasferimento di questi dati verso gli Usa. Allo scadere del termine di 90 giorni, il Garante procederà a verificare la conformità al Regolamento Ue dei trasferimenti di dati effettuati.
Dall’indagine del Garante è emerso infatti che i gestori dei siti web che utilizzano Google Analytics raccolgono, mediante cookie, informazioni sulle interazioni degli utenti con questi siti, le singole pagine visitate e i servizi proposti (qui vi avevamo parlato dei dettagli ai quali stare attenti quando si usa Google).
“Dati sensibili agli Usa”
Tra i tantissimi dati raccolti, ci sono ad esempio l‘indirizzo IP del telefono o del computer, informazioni relative al browser, al sistema operativo, alla risoluzione dello schermo, alla lingua selezionata, ma anche la data e l’ora della visita al sito. L’indirizzo IP costituisce un dato personale e, anche nel caso fosse troncato, non diverrebbe un dato anonimo, considerata la capacità di Google di arricchirlo con altri dati di cui è in possesso, spiega il Garante.
Insomma, non solo l’intelligenza artificiale che diventa senziente, ma anche tantissimi dati strettamente personali. Tutte queste informazioni “sono state trasferite verso gli Stati Uniti” denuncia ancora il Garante. In particolare, sarebbero finite in mano alle agenzie di intelligence statunitensi, che hanno così potuto accedere a un’innumerevole serie di dati personali trasferiti “senza le dovute garanzie”.
Cosa devono fare tutti i gestori di siti web
Il punto, sottolinea il Garante, è dunque che gli strumenti di trasferimento adottati da Google “non garantiscono, allo stato, un livello adeguato di protezione dei dati personali degli utenti”. E sono sempre di più le segnalazioni in questo senso pervenute all’Autorità.
Per questo il Garante ha anche richiamato tutti i gestori italiani di siti web, pubblici e privati, sottolinenando proprio il divieto di trasferimenti effettuati verso gli Stati Uniti attraverso Analytics. E invita tutti i titolari del trattamento a verificare la conformità delle modalità di utilizzo di cookie e altri strumenti di tracciamento utilizzati sui propri siti web.
L’aggiornamento “regolare” di Google Analytics 4
Il report del Garante sembra non considerare però l’ultima versione disponibile di Analytics. Consapevole del fatto che il vecchio sistema non era in linea col Gdpr, Google ha aggiornato la piattaforma di raccolta dei dati lanciando qualche mese fa Analytics 4, che invece non registra né archivia gli indirizzi IP. O, meglio, elimina gli eventuali IP raccolti sugli utenti dell’Ue prima di registrare i dati tramite domini e server che si trovano in territorio europeo.
In poche parole, tutte le ricerche IP vengono eseguite su server che si trovano nell’Ue prima di inoltrare il traffico ai sistemi per l’elaborazione. Da fine maggio i gestori di siti italiani possono dunque aggiornare Analytics all’ultima versione disponibile per rispettare le norme del Gdpr e non subire l’intervento del Garante.
