Alla luce di quanto complessivamente rilevato dal Garante privacy (provv. del 9.6.2022), l’utilizzo di Google Analytics da parte dei gestori dei siti web comporta il trasferimento dei dati personali dei visitatori dei suddetti siti verso Google LLC, con sede negli Stati Uniti. Tali trasferimenti, in quanto effettuati verso un paese terzo, che non garantisce un livello di protezione adeguato ai sensi della normativa di protezione dei dati (ossia gli Stati Uniti), devono essere posti in essere in conformità al Capo V del Regolamento UE 2016/679.

L’Autorità Garante per la protezione dei dati personali, infatti, ha accertato che la legislazione e le prassi del paese terzo (USA) impediscono all’importatore di rispettare gli obblighi previsti dallo strumento di trasferimento prescelto, di conseguenza gli esportatori dovrebbero adottare misure supplementari che garantiscano un livello di protezione dei dati personali sostanzialmente equivalente a quello previsto dal Regolamento.

L’Autorità Garante ha altresì accertato che i meccanismi di cifratura dei dati non sono sufficienti ad evitare i rischi di un accesso, ai fini di sicurezza nazionale, ai dati trasferiti dall’Unione europea da parte delle Autorità pubbliche degli Stati Uniti, in quanto le tecniche di cifratura adottate prevedono che la disponibilità della chiave di cifratura sia in capo a Google LLC che la detiene, in qualità di importatore, in virtù della necessità di disporre dei dati in chiaro per effettuare elaborazioni e fornire servizi. L’obbligo di consentire l’accesso, da parte delle Autorità statunitensi, ricade su Google LLC non solo con riferimento ai dati personali importati, ma anche in ordine alle eventuali chiavi crittografiche necessarie per renderli intelligibili. Ne consegue che, fintanto che la chiave di cifratura rimanga nella disponibilità dell’importatore, le misure adottate non possono ritenersi adeguate.

È stato anche dichiarato che le clausole contrattuali tipo e le misure organizzative non sono idonee a garantire il rispetto della normativa vigente, pertanto l’esportatore (titolare del trattamento) è tenuto ad adottare misure supplementari che consentano all’importatore (Google LC) di rispettare gli obblighi previsti dallo strumento adottato ai sensi dell’art. 46 del Regolamento.

L’adesione all’opzione di “IP-Anonymization” messa a disposizione da Google; il miglioramento infrastrutturale in termini di sicurezza; l’aggiornamento del content management system utilizzato per la creazione e la gestione del sito; l’analisi di fattibilità dell’implementazione di uno strumento alternativo di web analytics che “non si affiderà più esclusivamente a tracciamenti tramite cookie e che non conserverà più gli indirizzi IP degli interessati” son stati considerati dal Garante privacy (nel caso esaminato) scelte idonee a configurare una responsabilità attenuata ma insufficienti per il rispetto della normativa vigente in materia di protezione dei dati personali.

Il titolare del trattamento è quindi tenuto a mettere in atto “misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento di dati personali è effettuato conformemente al Regolamento (c.d. principio di accountability; cfr. art. 5, par. 2 e art. 24, par. 1 del Regolamento).

SOLUZIONE SICURA

Si rileva che il titolare del trattamento, gestore del sito web, dovrebbe individuare opzioni più sicure, quali il ricorso ad hosting stabiliti nel perimetro UE, ovvero che non prevedano trasferimenti extra UE senza adeguate garanzie, giacché sussistono alternative a Google Analytics.

Pertanto, si potrebbe evitare di correre rischi e rimuovere GA, sostituendolo con altri servizi. Si possono scegliere servizi alternativi a Google Analytics (come Matomo, Piwik, ecc…) che permettono di avere un controllo sui dati e di mantenere gli stessi nel perimetro dell’UE (verificando quindi che i dati non possano essere accessibili da paesi terzi extra UE).

Nel caso, invece, in cui si ritenesse imprescindibile l’uso di Google Analytics o di servizi di Google suscettibili di trasferimenti di dati verso gli USA, è necessario adottare misure supplementari.

Misure supplementari tecniche

In buona sostanza occorrerebbe una misura tecnica che impedisca l’accesso a Google LC ai dati personali (indirizzi IP) degli interessati.

Informativa resa ai sensi dell’art. 13 del Regolamento UE 2016/679

Con riferimento alle informazioni che andrebbero essere rese agli interessati ai sensi dell’art. 13 del Regolamento, devono essere indicati gli elementi di cui all’art. 13, par. 1, lett. f) del Regolamento, ovverosia la decisione di trasferire i dati extra Ue verso un paese terzo (USA), per il quale è assente una decisione di adeguatezza della Commissione, nonché in merito alla possibilità e ai rischi di accesso ai suoi dati da parte delle autorità USA per fini di sicurezza nazionale.

Raccolta del consenso, ai sensi dell’art. 49, par. 1, lett. a), Reg. Ue 2016/679

Il trasferimento dei dati verso gli USA, tramite Google Analytics., andrebbe quindi effettuato previo esplicito consenso degli interessati, i quali in tal caso dovrebbero essere previamente informati dei possibili rischi e della mancanza di una decisine di adeguatezza, al fine di poter effettuare una scelta consapevole e libera, mediante un’effettiva opzione che non abbia effetti negativi o ritorsivi nei loro confronti.

CONCLUSIONI

- Evitare trasferimenti verso USA (Extra UE) mediante implementazione di servizi alternativi: opzione sicura e preferibile ai fini della protezione dei dati personali.
- In alternativa, non esente da rischi di sanzioni: limitare il trattamento dei dati, ad es. mediante funzione di IP-Anonymization, evitando di trasferire dati particolari o sensibili.
- Adottare misure tecniche che impediscano accesso ai dati, ad es. server proxy.
- Implementare le informative nel rispetto dell’art. 13, par. 1, lett. f), Reg. U2016/679.
- Raccolta del consenso, ai sensi dell’art. 49, par. 1, lett. a), Reg. Ue 2016/679.

DPO Avv. Marco Pagliara