Ho ricevuto sulla posta elettronica della mia azienda la richiesta di cancellazione dei dati personali di un utente che dice di avere navigato sul sito della mia impresa riscontrando essere attivo il servizio di analisi di Google Analytics. Mi chiede la rimozione delle informazioni che possono identificarlo, perché un provvedimento del Garante italiano della privacy ne vieterebbe l’utilizzo. Devo prendere sul serio questa richiesta?
Diverse imprese ci hanno segnalato di avere ricevuto la comunicazione di cui l’associato scrive ed alla quale evidenziamo la necessità di dare adeguato riscontro, nei tempi che l’art.12 del Regolamento UE 16/679 prevede (30 gg dalla richiesta).
Il contesto di riferimento è il provvedimento con il quale il Garante Privacy italiano, il 09/06/2022, ha decretato lo stop all’uso di Google Analytics, una delle applicazioni messe a disposizione da Google ai gestori di siti internet per l’analisi dei comportamenti degli utenti sul web, al fine di ottimizzare i servizi resi e monitorare le campagne pubblicitarie, largamente utilizzata da parte delle aziende, anche se non sempre consapevolmente.
La decisione dell’Autorità italiana segue quelle già adottate in precedenza da altre Autorità europee, a seguito di numerosi reclami presentati ed è motivata dalla considerazione che tale applicazione attuerebbe un trasferimento di dati al di fuori dell’UE, in mancanza dell’adozione delle garanzie richieste dal GDPR.
Infatti, Google LLC, la società a cui vengono effettivamente trasferite le informazioni tramite Google Analytics ha sede negli Stati Uniti, anche se, a livello contrattuale, negli ultimi anni, il ruolo di Responsabile del trattamento è stato attribuito ad una società dello stesso Gruppo con sede in Europa.
Alla base del provvedimento ci sono le sentenze con le quali la Corte di Giustizia Europea ha invalidato il vecchio accordo USA-UE (cd. “Privacy Shield”) che legittimava il trasferimento dei dati da parte dell’UE negli Stati Uniti, ritenendo che le garanzie offerte in questo Paese, sulla protezione dei dati personali, non fossero adeguate a quelle offerte dal GDPR.
Il provvedimento ammonitorio che il Garante Italiano ha adottato in giugno riguardava un’azienda del settore dell’editoria che utilizzava il servizio di Google Analytics, nella sua versione gratuita, al solo fine di ottenere informazioni aggregate sull’attività degli utenti del sito web. Un caso, quindi, all’apparenza poco “preoccupante”, dal punto di vista della rischiosità del trattamento dei dati, sia per la finalità perseguita, sia per la natura dei dati trattati (indirizzo IP del dispositivo utente, informazioni sul browser, lingua selezionata, data/ora visita al sito).
Al contrario, il Garante italiano, ammonendo la società destinataria del provvedimento a comunicare entro 90 gg le misure adottate per garantire la conformità del trasferimento al GDPR, coglie l’occasione per richiamare tutti i Gestori dei siti web che utilizzano il servizio, a prestare particolare attenzione nell’impiego di questo strumento e di altri servizi analoghi, considerato che l’esportazione di dati verso gli Stati Uniti, se il Titolare non adotti misure supplementari a protezione dei dati personali, attualmente è da considerarsi illecito.
La nuova versione in corso di implementazione (Google Analytics 4) potrà forse essere una soluzione, come potrebbe esserlo un nuovo accordo fra Europa ed Usa sul trasferimento dei dati, ma, nelle more in cui ciò avvenga, è necessario che le aziende titolari di siti affrontino il problema da subito, facendo insieme ai propri consulenti una valutazione obiettiva sul reale interesse all’uso dello strumento, le alternative commerciali presenti in Europa, la completezza e trasparenza delle informazioni fornite agli utenti.
