contributo di Claudia Del Re, avvocato dello Studio Legale Del Re
I gestori di siti web che utilizzano il servizio Google Analytics (GA) attraverso il quale sono analizzate le statistiche sui visitatori di un sito web, per ottimizzare i servizi resi e monitorare le campagne di marketing, ma non rispettino le garanzie previste dal GDPR (General Data Protection Regulation, il Regolamento europeo 2016/679 in materia di privacy relativo alla protezione dei dati personali) ne violano le disposizioni, perché vengono trasferiti dati degli utenti verso gli Stati Uniti, Paese privo di adeguati standard di protezione. Lo ha deciso il Garante per la Privacy con provvedimento del 09.06.2022 emesso a seguito di reclami, in conformità anche ad analoghe decisioni di autorità garanti della privacy operanti in altri Paesi dell’Unione europea (es. Austria, Francia).
Secondo il Garante per la la Privacy, Google Analytics “mediante cookies trasmessi al browser degli utenti, raccoglie informazioni in ordine alle modalità di interazione di questi ultimi con il sito web, nonché con le singole pagine e con i servizi proposti. Più nel dettaglio, i dati raccolti consistono in: identificatori online unici che consentono sia l’identificazione del browser o del dispositivo dell’utente che visita il sito web, sia del gestore stesso del sito (attraverso l’ID account Google); indirizzo, nome del sito web e dati di navigazione; indirizzo IP del dispositivo utilizzato dall’utente; informazioni relative al browser, al sistema operativo, alla risoluzione dello schermo, alla lingua selezionata, nonché a data e ora della visita al sito web”.
Nel provvedimento, il Garante ha sottolineato che la Corte di Giustizia dell’Unione europea con la sentenza c.d. Schrems II (C-311/18) ha dichiarato l’invalidità della decisione della Commissione europea n. 2016/1250 sull’adeguatezza della protezione offerta dal regime dello scudo UE-USA per la privacy (c.d. Privay Shield) evidenziando come la legislazione statunitense comporti deroghe alla normativa in materia di protezione dei dati personal.
Peraltro, il Garante si è rivolto a tutti i gestori italiani di siti web, per richiamare l’illiceità dei trasferimenti di dati verso gli Stati Uniti mediante Google Analytics. In specie, il Garante della Privacy ha intimato al soggetto reclamato, entro il termine di novanta giorni dalla notifica del provvedimento, di conformare al Capo V del Regolamento, il trattamento di dati personali degli utenti del sito web gestito per il tramite di Google Analytics, adottando misure supplementari adeguate.
Ora, da parte di molte imprese e Pubbliche Amministrazioni che impiegano il servizio Google Analytics, si attende che Unione europea e Stati Uniti giungano ad un accordo per regolamentare i flussi dei dati in quanto, ad oggi, tra le Parti, si registra soltanto una dichiarazione d’intenti dello scorso Marzo senza provvedimenti normativi concreti, la cui mancanza rischia di stoppare il servizio Google Analytics.
L’avvocato Claudia Del Re è professore a contratto in Gestione della Brevettazione e della Proprietà Intellettuale presso Università degli Studi di Firenze e avvocato dello Studio Legale Del Re.