Recentemente il Garante della Privacy si è pronunciato, con provvedimento del 9 giugno 2022, in merito alla situazione in cui un sito web utilizzi il servizio di Google Analytics (GA) , servizio che è stato ritenuto carente per quanto attiene alla compliance rispetto alle garanzie stabilite dal Regolamento UE per i trasferimenti di dati al di fuori dell’Unione Europea. Il Garante ha infatti stabilito che Google Analytics violi la normativa sulla protezione dei dati in quanto i siti che lo utilizzano trasferiscono dati degli utenti negli Stati Uniti, in assenza di un adeguato livello di protezione.

Dall’indagine del Garante è emerso che i gestori dei siti web che utilizzano GA raccolgono, mediante cookie, informazioni sulle interazioni degli utenti con i predetti siti, le singole pagine visitate e i servizi proposti. Tra i molteplici dati raccolti, indirizzo IP del dispositivo dell’utente e informazioni relative al browser, al sistema operativo, alla risoluzione dello schermo, alla lingua selezionata, nonché data e ora della visita al sito web. Tali informazioni sono risultate oggetto di trasferimento verso gli Stati Uniti. Nel dichiarare l’illiceità del trattamento è stato ribadito che l’indirizzo IP costituisce un dato personale e anche nel caso fosse troncato non diverrebbe un dato anonimo, considerata la capacità di Google di arricchirlo con altri dati di cui è in possesso.

Nel provvedimento citato il Garante ha sospeso il trasferimento dei dati fornendo al titolare del trattamento 90 giorni di tempo per cercare e trovare altri meccanismi rispetto a quelli già utilizzati che siano idonei a proteggere i dati degli interessati, consentendo altresì a quest’ultimi di esercitare i propri diritti. Inoltre, lo stesso tempo è stato concesso a tutte le società titolari di siti web che si trovano in una situazione analoga.
Allo scadere del termine di 90 giorni assegnato alla società destinataria del provvedimento, il Garante procederà, anche sulla base di specifiche attività ispettive, a verificare la conformità al Regolamento Ue dei trasferimenti di dati effettuati dai titolari.

Il provvedimento non contiene sanzioni pecuniarie, in ragione di alcuni elementi presi in considerazione dall’Autorità quali l’asimmetria informativa tra il titolare e Google che non ha consentito al gestore del sito di valutare l’inidoneità delle misure adottate unilateralmente dal fornitore, l’assenza di trattamento di dati appartenenti a particolari categorie, nonché il carattere colposo della violazione stessa.
Infatti, ciò ha portato a qualificare la condotta come “violazione minore” che ha determinato un ammonimento nei confronti del titolare e un’ingiunzione a sospendere i flussi di dati verso gli Stati Uniti di modo da conformare le attività di trattamento alle previsioni del GDPR e a quanto sancito dalla Corte di Giustizia entro il termine di 90 giorni.

E’ del tutto evidente che la mitezza del provvedimento assunto dal Garante voglia fungere da avvertimento a Google e agli altri “colossi del web”, i quali dovranno ora, entro il 23 settembre 2022 – pena l’esclusione dall’intero mercato UE per il rischio giuridico che i titolari del trattamento dovrebbero assumersi utilizzando un servizio non compliant – adottare opportuni accorgimenti che diano sufficienti garanzie agli utenti.