202209.16
0

La recente pronuncia del Garante privacy sull’utilizzo di Google Analytics da parte dei Titolari del trattamento dei dati personali

Con il provvedimento n. 224 del 9 giugno 2022 il Garante per la protezione dei dati personali ha stabilito l’illiceità del trattamento dei dati personali degli utenti da parte dei Titolari che utilizzino Google Analytics (“GA”) nelle proprie piattaforme web, qualora ciò implichi un trasferimento di dati personali verso un paese terzo che non garantisce un livello di protezione adeguato.

Nel caso in oggetto, il ricorrente lamentava che una società, mediante il proprio sito Internet, aveva trasferito a Google LLC, con sede negli Stati Uniti, i propri dati personali, in assenza delle garanzie previste dal Capo V del Regolamento (UE) 2016/679 (“Regolamento”).

La società si opponeva al reclamo affermando di aver effettuato il trattamento dei dati, in qualità di Titolare, tramite lo strumento di Google Analytics, per il perseguimento di finalità prettamente statistiche e di aver designato Google quale Responsabile di suddetto trattamento. La resistente precisava di non aver nessun livello di autonomia con riferimento alle condizioni di trasferimento di dati verso paesi terzi, quest’ultimo posto in essere per il tramite delle Clausole contrattuali standard; la società affermava, inoltre, di non aver aderito all’opzione di condivisione dei dati (c.d. data sharing option).

Il Garante ha rilevato che l’utilizzo di GA da parte dei gestori di siti web comporta il trasferimento dei dati personali degli utenti verso Google LLC, con sede negli Stati Uniti e ha richiamato la pronuncia C-311/18 della Corte di Giustizia dell’Unione Europea, la quale ha espressamente affermato che il diritto interno degli Stati Uniti comporta deroghe alla normativa in materia di protezione di dati che eccedono le restrizioni ritenute necessarie in una società democratica. Con tale pronuncia la Corte ha, inoltre, stabilito che, sulla base del principio di accountability, il titolare del trattamento è tenuto a verificare se la legge del paese terzo verso cui sono trasferiti i dati incida sull’efficacia delle garanzie adeguate contenute nelle clausole contrattuali standard per il trasferimento, ed eventualmente ad adottare misure tecniche ed organizzative supplementari che garantiscano un livello di protezione dei dati personali sostanzialmente equivalente a quello previsto dal Regolamento.

Inoltre, il titolare del trattamento ha l’obbligo di informare gli interessati ogni qual volta sia posto in essere un trasferimento di dati personali, nel rispetto del principio di trasparenza.

Nel caso di specie, le misure di natura tecnica adottate dalla società consistevano sostanzialmente nell’adozione di meccanismi di cifratura dei dati, che non erano, tuttavia, sufficienti a evitare il rischio di accesso a tali dati, in quanto la chiave di cifratura rimaneva nella disponibilità di Google LLC; inoltre, nell’informativa resa dalla società resistente mancavano alcuni degli elementi necessariamente richiesti dall’art. 13 del Regolamento.

Per tali ragioni il Garante ha dichiarato illecito il trattamento dei dati personali effettuato dalla società mediante l’utilizzo di GA, qualificando la fattispecie come “violazione minore”, in considerazione del carattere colposo della stessa, nonché dell’assenza di precedenti violazioni e della leale collaborazione mostrata verso il Garante nel corso del procedimento.