Il Garante per la privacy ha disposto lo stop all’uso di Google Analytics a carico di Caffeina Media, società che gestisce siti web. La notizia è di pochi giorni fa e, al di là di quel che può sembrare sembra a prima vista, minaccia avere pesanti ripercussioni per chiunque abbia a che fare con lo strumento di analisi dei dati e del traffico web a disposizione degli utenti Google. Alla base della decisione c’è infatti la valutazione del Garante secondo cui il trasferimento di dati personali verso i server fisicamente collocati negli Stati Uniti, necessario al funzionamento di Analytics, è incompatibili con la disciplina europea sulla protezione dei dati personali. Le garanzie a tutela dei dati trasferiti non sarebbero infatti conformi al Gdpr, il regolamento europeo per la tutela dei dati. Oggetto di trasferimento è infatti anche l’indirizzoIp dei visitatori, considerato un dato strettamente personale. La decisione dell’Autorità italiana è in linea con recenti pronunce su casi analoghi da parte dei garanti di Francia e Austria. Il Garante italiano sottolinea in particolare la possibilità di accedere ai dati trasferiti negli Usa concessa ad agenzie governative e di intelligence statunitensi. Google gestisce il 90% delle ricerche online e, insieme a Facebook, l’84% della pubblicità in rete. È il terzo fornitore al mondo di spazi cloud dopo Amazon e Microsoft.
L’Autorità italiana richiama quindi all’attenzione di tutti i gestori italiani di siti Web, pubblici e privati, l’illiceità dei trasferimenti effettuati verso gli Stati Uniti attraverso Google Analytics, anche in considerazione delle numerose segnalazioni e quesiti che stanno pervenendo all’Ufficio. E invita tutti i titolari del trattamento a verificare la conformità delle modalità di utilizzo di cookie e altri strumenti di tracciamento utilizzati sui propri siti Web, con particolare attenzione a Google Analytics e ad altri servizi analoghi, con la normativa in materia di protezione dei dati personali. Il provvedimento nei confronti di Caffeina media potrebbe essere insomma solo il primo di una lunga serie. In sostanza il gestore dei siti, e non Google, è responsabile del mancato rispetto della privacy degli utenti che si concretizza con il passaggio dei dati. La decisione del Garante fa perno su una sentenza della Corte di Giustizia europea del 2020 in cui viene sottolineata l’inadeguata tutela di alcune tipologie di trasferimento dei dati negli Usa. Problema oggetto di discussioni al massimo livello tra Washington e Bruxelles ma al momento non ancora sanato. Qualche mese fa il presidente degli Stati Uniti Joe Biden e la presidente della Commissione europea Ursula Von Der Leyen avevano annunciato il raggiungimento di un nuovo accordo “di principio” sul trasferimento dei dati. Alle parole non sono però mai seguiti provvedimenti normativi concreti.