Google Analytics: secondo il Garante Privacy italiano viola la normativa sulla protezione dei dati personali

Si segnala un recente provvedimento adottato dal Garante della Privacy italiano il 9 giugno 2022 nei confronti della Società Caffeina Media srl. La società, in particolare, è stata ammonita per aver utilizzato il servizio Google Analytics.

Google Analytics è un servizio di web analytics che consente ai gestori di siti web di analizzare statistiche su ciascun utente al fine di indicizzare ed ottimizzare le proprie campagne marketing. La sua crescente popolarità e il suo utilizzo in molti Paesi hanno sollevato non poche perplessità con riferimento al rischio per la sicurezza dei dati e della privacy.

Se da un lato, infatti, la trasmissione di dati personali da e verso i Paesi esterni all'Unione è sicuramente funzionale e necessaria per l'espansione del commercio internazionale e della cooperazione internazionale, dall’altro, - ove i dati personali siano trasferiti dall'Unione a responsabili del trattamento, incaricati del trattamento e/o altri destinatari in paesi terzi e/o ad organizzazioni internazionali - il livello di protezione delle persone fisiche garantito dalla normativa europea non può essere compromesso (Considerando 101 del Regolamento GDPR 2016/679).

Nel caso di specie, dunque, secondo il Garante Privacy italiano, ogni sito web che utilizzi Google Analytics - posta l’assenza di garanzie previste dalla normativa europea - viola la normativa sulla protezione dei dati personali tramite la raccolta, mediante cookie, di informazioni sulle interazioni degli utenti con il predetto sito, nonché con le singole pagine e con i servizi proposti.

Dagli accertamenti è, infatti, emerso che l’utilizzo di Google Analytics comporta il trasferimento dei dati personali verso Google LLC con sede negli Stati Uniti e, dunque, viola il Regolamento GDPR 2016/679. Il trasferimento di tali dati, infatti, avviene in un Paese che non garantisce un livello di protezione adeguato, da cui ne consegue che deve essere posto in essere nei soli casi e alle condizioni previste dal Capo V del suindicato Regolamento.

I dati raccolti da Google Analytics

Il servizio offerto da Google LLC raccoglie elementi quali: dati online unici che consentono sia l’identificazione del browser o del dispositivo dell’utente, sia del gestore stesso del sito; indirizzo, nome del sito web e dati di navigazione; indirizzo IP del dispositivo utilizzato dall’utente; informazioni relative al browser, al sistema operativo, alla risoluzione dello schermo, alla lingua selezionata, nonché a data e ora della visita al sito web.

Il Garante si sofferma su un dato in particolare, ossia l’indirizzo IP del dispositivo utilizzato dall’utente, il quale «costituisce un dato personale nella misura in cui consente di identificare un dispositivo di comunicazione elettronica, rendendo pertanto indirettamente identificabile l’interessato in qualità di utente».

In senso conforme, il Considerando 30 del Regolamento GDPR 2016/679 ribadisce che: «le persone fisiche possono essere associate a identificatori online forniti dai loro dispositivi, applicazioni, strumenti e protocolli, come indirizzi di protocollo Internet, identificatori di cookie o altri identificatori come tag di identificazione a radiofrequenza. Ciò può lasciare tracce che, in particolare, se combinate con gli identificatori unici e altre informazioni ricevute dai server, possono essere utilizzate per creare profili di persone fisiche e identificarle».

I dati raccolti da Google Analytics, in particolare gli indirizzi IP, sono, quindi, qualificabili come dati personali in quanto consentono l'identificazione di un utente, e dunque, oggetto di tutela del Regolamento GDPR 2016/679.

L’inefficacia del servizio “IP-Anonymization”

L’utilizzo di Google Analytics, secondo quanto esposto dal Garante, violerebbe la normativa sulla protezione dei dati personali anche nell’ipotesi in cui il gestore del sito si avvalesse del servizio “IP-Anonymization”.

Google, in particolare, fornisce agli utenti la possibilità di scegliere l’opzione “IP-Anonymization” che comporta l’invio a Google Analytics dell’indirizzo IP dell’utente previo oscuramento dell’ottetto meno significativo. Tale servizio, tuttavia, come lo stesso Garante afferma, «consiste di fatto in una pseudonimizzazione del dato relativo all’indirizzo di rete dell’utente, in quanto il troncamento dell’ultimo ottetto non impedisce a Google LLC di re-identificare l’utente medesimo, tenuto conto delle informazioni complessivamente detenute dalla stessa relative agli utenti del web».

Sussiste, per di più, in capo alla medesima Google la possibilità, qualora si effettui l’accesso al proprio profilo Google, di associare l’indirizzo IP ad altre informazioni aggiuntive già in suo possesso. Nonostante l’attivazione dell’“IP-Anonymization”, dunque, il sistema consente comunque di identificare l’utente.

Considerazioni conclusive

Con il provvedimento del 23 giugno il Garante ha, ammonito la Caffeina Media srl, obbligandola a conformarsi al GDPR entro novanta giorni, pena la sospensione dei flussi di dati effettuati per il tramite di Google Analytics verso gli Stati Uniti. In conclusione, è illecito ogni trasferimento di dati personali effettuati tramite Google Analytics verso gli Stati Uniti.

Sebbene non sia ancora chiaro cosa accadrà in seguito a questi annunci, è evidente che nuove misure verranno adottate a tutela dei dati personali e del loro trasferimento verso Paesi terzi.

Al momento l’Autorità ha invitato i responsabili del trattamento, gli incaricati del trattamento e/o altri destinatari in paesi terzi e/o ad organizzazioni internazionali a verificare la conformità delle modalità di utilizzo di cookie e altri strumenti di tracciamento utilizzati sui propri siti web, con particolare attenzione a Google Analytics e ad altri servizi analoghi, con la normativa in materia di protezione dei dati personali.

Bologna – 30 ottobre 2022

a cura della Dott.ssa Betul Fatsa e della Dott.sa Fabiola Masotta – Studio Legale de Capoa e Associati – Bologna