La notizia è passata un po’ in sordina, ma la decisione del 22 dicembre 2021 dell’Autorità Garante per la protezione dei dati personali austriaca stabilisce che l’utilizzo del servizio Google Analytics non è conforme alla normativa europea.
Il Garante austriaco ha stabilito che il trasferimento dei dati personali negli Stati Uniti da parte di Google avviene senza le adeguate garanzie richieste dall’art. 44 del GDPR, in assenza di una adeguata protezione dei dati personali trasferiti in USA.
La decisione è arrivata su sollecitazione dell’associazione NOYB capeggiata dal noto attivista Maximilian Schrems, il quale è riuscito a dimostrare ancora una volta che le grandi corporation del dato non sono in grado di proteggere i dati personali come richiesto dalle normative europee.
Nel caso di specie, Schrems è riuscito a dimostrare che i dati raccolti attraverso le statistiche (Google Analytics viene impiegato per creare statistiche sui siti web), Google è in grado di identificare i singoli utenti anche attraverso l’incrocio con altri dati (informazioni sul browser impiegato, indirizzo IP, sistema operativo, lingua, risoluzione dello schermo, ecc …), pertanto i dati sono da considerare pienamente accessibili, anche per le agenzie governative americane che possono accedervi senza alcun genere di autorizzazione.
Se le agenzie governative americane possono accedere ai dati senza ricorrere ad un giudice, ne consegue che il trasferimento dei dati negli Stati Uniti avviene in violazione dell’art. 44 del GDPR, quindi il trattamento è illecito perchè non conforme alle norme europee vigenti.
Si deduce inoltre che se il trattamento effettuato da Google è illecito, anche quello effettuato dalle altre aziende americane che trattano dati di cittadini europei trasferendoli negli Stati Uniti è illecito.
Questo diventa un bel problema per le aziende europee poiché rivestono il ruolo di titolare di trattamento ed il titolare di trattamento deve scegliere chi tratta i dati per suo conto, ossia il responsabile di trattamento, solo tra coloro che “che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato”, pertanto se la scelta ricadesse su qualcuno che non rispetta le norme, anche il titolare sarebbe sanzionabile.
Pertanto in questo momento, tutti i trattamenti per i quali è previsto il trasferimento dei dati negli Stati Uniti devono essere analizzati a fondo per evitare brutte sorprese: nello scegliere responsabili di trattamento è meglio affidarsi ad aziende che trattano dati solo in Europa.
Quindi chi utilizza Google Analytics farebbe bene a toglierlo dal proprio sito, poichè tratta i dati raccolti in modo illecito e per le statistiche dovrebbe affidarsi a servizi che trattano i dati esclusivamente nello Spazio Economico Europeo.