CNIL dichiara inadeguate le misure di Google Analytics per il trasferimento dei dati personali negli USA

CNIL Garante Privacy francese

Abbiamo avuto modo di parlare nell’articolo “Il Garante austriaco contro Google Analytics: viola la privacy degli utenti europei” di come il responso del Garante austriaco, a fronte della denuncia presentata da noyb, dichiarasse illegittimo l’utilizzo di Google Analytics in materia di GDPR.

Per un ulteriore approfondimento rimandiamo all’articolo “Panoramica e approfondimento del caso del Garante austriaco contro Google Analytics” dove abbiamo analizzato l’argomento da diverse prospettive: da una visione d’insieme a un’analisi dei cookie del sito preso in considerazione, dal documento presentato da noyb ai risolti della vicenda, dai punti salienti a una conclusione che potesse dare un’interpretazione sia a livello informatico che giuridico sulla vicenda.

Questo è stato solo il preludio in quanto noyb ha presentato 101 denunce nei 27 Stati membri dell’Unione Europea e negli altri tre stati dello Spazio Economico Europeo (SEE) contro 101 responsabili del trattamento che avrebbero trasferito dati personali negli Stati Uniti tramite Google Analytics: ricordiamo che questi è un servizio che può essere integrato in qualsiasi sito web per fare analisi statistiche sui visitatori. In base alla configurazione di questo strumento può essere assegnato a ogni visitatore un identificativo unico (ID) assieme ai dati raccolti con esso rappresentano dati personali e in quanto tali il trasferimento negli Stati Uniti non è da considerarsi lecito.

Ebbene di recente è arrivata la risposta di CNIL, il Garante della privacy francese, che si è espresso in merito alle denunce pervenute: a seguito di un’analisi, in collaborazione con le sue controparti europee, inerente alle condizioni in cui i dati raccolti attraverso l’uso di Google Analytics sono stati trasferiti negli Stati Uniti e i rischi sostenuti per le persone interessate ha concluso che i trasferimenti negli Stati Uniti non sono attualmente sufficientemente regolamentati.

Infatti, in assenza di una decisione di adeguatezza che stabilisca che questo Paese offra un livello di protezione dei dati sufficiente rispetto al GDPR in merito ai trasferimenti negli Stati Uniti, il passaggio dei dati può avvenire solo se sono previste garanzie adeguate questo flusso in particolare. Sebbene Google abbia adottato misure aggiuntive per regolamentare i trasferimenti di dati nell’ambito della funzionalità di Google Analytics, queste non sono sufficienti per escludere l’accessibilità di questi dati per i servizi di intelligence statunitensi. Esiste quindi un rischio reale e concreto per gli utenti che visitano siti web con tale servizio in merito all’esportazione dei loro dati personali registrati.

Le violazioni riguardano gli articoli 44 e seguenti del GDPR: la CNIL ha pertanto ordinato al gestore del sito web di rendere conforme tale trattamento al GDPR nell’arco di un mese, se necessario interrompendo l’utilizzo della funzionalità di Google Analytics (alle condizioni attuali) o utilizzando uno strumento che non comporti un trasferimento al di fuori dell’UE.

Per quanto riguarda i servizi statistici e analitici sull’utenza del sito web la CNIL ha voluto raccomandare che questi strumenti siano utilizzati solo per produrre dati statistici anonimi sin dalla fase di raccolta, consentendo così l’esenzione dal consenso se il titolare del trattamento garantisce che non vi siano trasferimenti illeciti. La CNIL ha in seguito avviato un programma di valutazione per determinare quali soluzioni sono esenti da consenso, oltre ad aver emesso altri ordini per conformarsi al GDPR agli operatori del sito web che utilizzano Google Analytics.

Ricordiamo che l’indagine della CNIL e delle sue controparti non si limitano a Google Analytics, ma si estendono anche ad altri strumenti utilizzati dai siti che comportano il trasferimento di dati personali degli utenti web europei negli Stati Uniti. Misure correttive al riguardo potrebbero essere adottate in un prossimo futuro e come dichiarato da Max Schrems di noyb “È interessante vedere che le diverse autorità europee per la protezione dei dati giungano tutte alla stessa conclusione: l’uso di Google Analytics è illegale. C’è una task force europea e supponiamo che questa azione sia coordinata e che altre autorità decideranno in modo simile”.

Condividi:

Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on whatsapp
WhatsApp
Share on telegram
Telegram
Share on email
Email
Torna su