Il Garante per la protezione dei dati personali ha imposto a una media company italiana di uniformarsi al Gdpr nell’uso di Google Analytics, piattaforma per misurare l’audience dei siti. In realtà Google ha già rilasciato Analytics 4, che secondo la società è in linea con la normativa (ballerina) sul trasferimento dei dati tra Europa e Stati Uniti. Aspettando un nuovo accordo Usa-Eu
Si fanno sentire gli effetti del buco normativo scatenato dalla sentenza Schrems II, che nell’estate 2020 ha invalidato il Privacy Shield, il sistema che disciplinava lo scambio dei dati tra Stati Uniti e Unione Europea. L’accordo trovato a marzo tra Biden e Von der Leyen non si è ancora concretizzato in una nuova disciplina, e nel frattempo legislatori e authority in Europa sono costretti a interpretare rigidamente le norme in questo settore.
Il caso Garante Privacy-Caffeina
In questo senso si è conclusa l’istruttoria su Google Analytics da parte del Garante italiano per la privacy: poiché i dati (in particolare l’indirizzo Ip, informazioni relative al browser, al sistema operativo, alla risoluzione dello schermo, alla lingua selezionata, nonché data e ora della visita al sito web) transitavano dal territorio dell’Ue verso server americani, non erano più compliant con il Gdpr, il regolamento europeo che disciplina il trattamento dei dati online.
“L’indirizzo Ip costituisce un dato personale”, scrive il Garante, che in questa decisione ingiunge al gruppo Caffeina Media di adottare “misure adeguate per il trasferimento, pena la sospensione dei flussi di dati effettuati”. La società ha 90 giorni di tempo per conformarsi al dispositivo, ma il Garante specifica che “sono numerose le segnalazioni che stanno pervenendo all’ufficio” questo tema, come a dire che la decisione parla a Caffeina affinché tutti i siti italiani, “pubblici e privati”, intendano.
Google ha aggiornato Analytics alla versione 4
Google, da parte sua, ha aggiornato la piattaforma Analytics, usata da migliaia di siti in Italia (incluso Formiche.net) per sapere quante persone si collegano, da dove lo fanno, oltre a una serie di dati (non sensibili) utili per conoscere meglio la propria audience. Ben sapendo che la vecchia versione non era in linea con il Gdpr – soprattutto perché manca una disciplina organica post-Schrems II – il motore di ricerca ha lanciato qualche mese fa Analytics 4, che invece non registra né archivia gli indirizzi Ip e dunque rispetta la normativa attuale.
Come si legge sulla pagina di supporto, Analytics elimina eventuali indirizzi Ip raccolti sugli utenti dell’Ue prima di registrare questi dati tramite domini e server che si trovano nell’Ue. Inoltre, Analytics fornisce controlli per disattivare la raccolta di dati di Google Signals in base all’area geografica e disattivare la raccolta di dati granulari su località e dispositivo in base all’area geografica.
In questa ultima versione, quando Analytics raccoglie i dati di misurazione, tutte le ricerche Ip vengono eseguite su server che si trovano nell’Unione europea prima di inoltrare il traffico ai server per l’elaborazione.
Il lancio dei nuovi domini che supportano la raccolta nell’Ue è avvenuto alla fine di maggio, dunque secondo Google già oggi i gestori di siti italiani possono aggiornare Analytics all’ultima versione per mettersi in linea con il Gdpr e non rischiare l’azione del Garante. Ovviamente, si tratta di una misura transitoria, aspettando che in autunno Ue e Usa mettano nero su bianco una nuova versione del Privacy Shield.
