Google Analytics e la difficile conformità al GDPR

Google Analytic si può usare?

Google Analytics è uno strumento gratuito che consente di analizzare le prestazioni di un sito web. Lo strumento mette a disposizione due tipologie di cookie per fare questa analisi:  

- Cookie anonimi
- Cookie profilanti non anonimi  

L'autorità Garante per la protezione dei dati personali italiana, relativamente alla presenza di Cookie Analitici ha affermato nelle "LINEE GUIDA COOKIE E ALTRI STRUMENTI DI TRACCIAMENTO": "Affinché i cookie analytics siano equiparati ai tecnici è, in altri termini, indispensabile precludere la possibilità che si pervenga, mediante il loro utilizzo, alla diretta individuazione dell’interessato (cd. single out), il che equivale impedire l’impiego di cookie analytics che, per le loro caratteristiche, possano risultare identificatori diretti ed univoci."

Monitor PA

Nei giorni scorsi, una associazione chiamata Monitor PA ha inviato a circa 8.000 tra enti, pubblica amministrazione, società in house una lettera di diffida a continuare ad utilizzare Google Analytics, avvisandole che in caso contrario sarebbero state denunciate all'Autorità Garante della Protezione dei dati e al Difensore Civico Digitale.

Perché non si può utilizzare G.A.?

Come tutti sappiamo GA appartiene ad una società americana (Google LLC), che ha creato per l'Europa, una sede centrale in Irlanda.

Ricordo, inoltre, che nel 2020 la corte di Giustizia Europea ha abolito il Privacy Shield, e da allora siamo ancora in attesa di un nuovo accordo per il trasferimento dei dati personali negli USA.

Sulla base di questi due fatti, l'associazione NOYB ha fatto delle segnalazioni alle diverse Autorità di Protezione dei Dati contro Google LLC denunciando la non conformità al GDPR dello strumento Google Analytics.

A Dicembre 2021 e a Febbraio 2022 la DPA austriaca e quella francese hanno dichiarato illegale l'uso di Google Analytics. Inoltre, la DPA austriaca (DSB) ha ora emesso una seconda decisione: ha dichiarato l'uso dell'anonimizzazione dell'IP di Google una misura di protezione inutile per i trasferimenti di dati tra l'UE e gli Stati Uniti.

Il DSB ha inoltre respinto la nozione di un "approccio basato sul rischio" che era stato sostenuto da Google.

Garante Privacy italiano

In Italia il Garante Privacy non si è ancora mai pronunciato contro questo strumento, ma è ovvio che se Google non modificherà qualcosa, rischia di diventare illegale in tutta Europa.