La presente è rivolta a tutte le aziende che per i loro siti web utilizzano Google Analytics.

Come già noto ad alcuni di Voi, il 9 giugno 2022 è stato adottato dal Garante Privacy italiano un provvedimento sullo strumento “Google Analytics”.

Questo provvedimento, di fatto, dichiara l’utilizzo di Google Analytics illegittimo “di default” (ossia se utilizzato senza l’applicazione di misure supplementari – fondamentalmente tecniche ed organizzative – adeguate), in quanto trasferirebbe una serie di dati personali degli utenti che accedono ai siti web (tra cui l’indirizzo IP) a Google LCC negli Stati Uniti, pertanto ad un’azienda operante in un paese privo di una legislazione in linea con il GDPR (ricordo che una sentenza della Commissione Europea del 2020 aveva già dichiarato non conforme il “Privacy Shield” statunitense al GDPR europeo).

Tra le criticità legate al trasferimento dei dati negli USA tramite Google Analytics, vi è in particolare quella legata al fatto che alle autorità pubbliche americane sarebbe concesso di accedere ai dati personali degli utenti europei in assenza di idonee garanzie.

Il provvedimento del Garante italiano non è un caso isolato, ma si allinea a quelli di altre Authority europee (in particolare Garante Austriaco e francese) che si erano già espresse nei mesi scorsi sulla legittimità dell’utilizzo dei Google Analytics.

I rischi di un mancato intervento sono di diversa natura, e vanno dalla gestione di reclami degli interessati/utenti dei siti web del Gruppo, a sanzioni del Garante privacy a seguito di controlli a campione, a perdita di reputazione (i provvedimenti sanzionatori del Garante sono pubblici, e vengono riportati e/o commentati sui social o in testate giornalistiche anche online).

In un comunicato stampa di qualche giorno successivo rispetto al provvedimento sopra citato del 09.06.2022, il Garante ha concesso un termine di 90 giorni dalla pubblicazione del Provvedimento per conformarsi (quindi fino al 7 settembre 2022). Successivamente procederà a verifiche ispettive a campione presso i titolari del trattamento.

Pertanto, la soluzione da adottare per rendere compliance il sito web aziendale potrebbe essere la seguente:

a) ove presente, rimuovere immediatamente Google Analytics da tutti i siti web aziendali;

b) una volta rimosso, utilizzare un servizio di analytics di fornitori alternativi che operino in Europa e garantiscano la conservazione dei dati degli utenti in Europa;

c) provvedere con l’adeguamento delle policy sulla privacy (in particolare la parte relativa ai cookie) presenti sui siti web.

La Adriaflor srl rimane a disposizione per fornire consulenza anche in merito all’adozione del rimedio sopra indicato ovvero per fornire consulenza in merito all’adozione di rimedi alternativi (quindi vincolati all’applicazione di misure tecnico-organizzative supplementari).