Sono ormai trascorsi tre mesi dal Provvedimento del Garante del 9 giugno 2022 [9782890], in cui il Garante per la protezione dei dati personali ha confermato la sua volontà di allinearsi alle posizioni di altre autorità garanti europee con riferimento alla liceità dell’utilizzo dello strumento Google Analytics. Il provvedimento, che non prevede una sanzione economica, ha colpito la società Caffeina Media S.r.l. contestando che essa effettuava trasferimenti di dati personali verso gli Stati Uniti (USA) tramite la soluzione Google Analytics Universal non operando in conformità alla vigente normativa europea vigente, come conseguenza della sentenza della Corte di giustizia dell’Unione europea (c.d. “sentenza Schrems II”).
Nell’ambito del provvedimento il Garante ritiene anche l’opzione di anonimizzazione di Google Analytics Universal non idonea a assicurare un lecito trattamento e trasferimento dei dati personali, in quanto l’indirizzo IP – anche se incompleto – può rendere ugualmente identificabile l’interessato tramite la ricostruzione con altri dati in possesso di Google. Ne deriva un conseguente rischio per le libertà dell’utente in ragione e in riferimento ai poteri di indagine che attualmente le autorità statunitensi possono vantare rispetto alle società USA e ai dati personali ivi localizzati.
Ferma la presenza di una corrente dottrinale per cui l’attività di ricostruzione del profilo dell’utente, effettuata usando dati come l’indirizzo IP anonimizzato, dovrebbe essere considerato un trattamento effettuato da Google in qualità di Titolare del trattamento autonomo, immutato resta il rischio di sanzione (o quantomeno di richiamo) per chi ancora utilizza nel proprio sito Google Analytics Universal.
Si rileva che Google Analytics Universal, che sarà terminato comunque entro la fine dell’anno 2022 a favore di Google Analytics 4, non ha modo di essere utilizzato in conformità alla normativa in materia di protezione dei dati personali (salvo in mera ipotesi teorica con l’adozione di tortuose, dispendiose e non certe configurazioni hardware e software).
Google Analytics 4 presenterebbe alcune possibilità in più di operare in conformità al Regolamento europeo, possibilità ancora tutte da confermarsi al lato pratico.
Sul tema di segnala che una misura proposta da alcune autorità garanti (la francese CNIL e la danese Datatilsynet) sia quella di utilizzare Google Analytics, in combinazione con il c.d. “reverse proxy”, per operare conformemente al Regolamento europeo.
Al fine di evitare eventuali rischi legali di non conformità al GDPR, la soluzione che ad oggi sembra essere maggiormente tutelante passa anzitutto dalla valutazione della necessità di ricorrere all’utilizzo dei cookie analitici e quindi, nel caso dalla valutazione predetta emergesse la necessità di avvalersi di tali strumenti, dalla scelta tra una serie di soluzioni alternative a Google Analytics (soluzioni spesso non gratuite e non egualmente performati) o, almeno, il passaggio a Google Analytics 4.
Si può concludere questo rapido punto della situazione rilevando che l’attenzione delle autorità di controllo (e anche di una certa componente della cosiddetta società civile che si dichiara particolarmente sensibile alle tematiche del trasferimento dei dati personali extra UE) si sta spostando su ulteriori situazioni che presentano indubbiamente profili di criticità con riferimento al trasferimento dei dati personali verso gli USA (in primis lo strumento Google Fonts che permette di scaricare i fonts necessari alla corretta visualizzazione di un sito web previa comunicazione l’indirizzo IP dell’utente richiedente verso i server di Google negli USA).