Ancora una volta, il trasferimento di dati fuori dall’Unione europea verso gli Stati Uniti, da parte di Google analytics, è stato dichiarato illegittimo da un’autorità per la protezione dei dati personali. Lo ha stabilito il Garante della privacy italiano, a seguito di due decisioni simili emesse dai suoi omologhi austriaco e francese.
Secondo il Garante, il servizio di Google analytics viola le disposizioni contenute nel Regolamento generale per la protezione dei dati europeo (Gdpr), che vieta esplicitamente il trasferimento dei dati degli utenti europei in paesi privi degli adeguati livelli di protezione, come gli Stati Uniti. La sentenza è arrivata a seguito di quella che è stata definita dall’autorità come una “complessa istruttoria”, avviata sulla base di numerosi reclami e in coordinamento con le altre autorità privacy europee.
Secondo il garante europeo della privacy Wojciech Wiewiórowski occorre intervenire sul regolamento per la protezione dei dati per renderlo più efficace e risolvere le storture delle sue applicazioni
Dall’indagine, è emerso come i gestori di siti web che utilizzano Google analytics raccolgano, tramite i cookie, diverse informazioni che riguardano direttamente gli utenti dei siti in questione. Tra i dati raccolti si trovano l’indirizzo Ip dei dispositivi, informazioni relative al motore di ricerca e al sistema operativo utilizzati, alla risoluzione dello schermo, alla lingua selezionata, nonché data e ora della visita.
Tutte queste informazioni, una volta immagazzinate, vengono trasferite negli Stati Uniti dove gli utenti non hanno diritto alle tutele sull’uso dei propri dati garantite dal Gdpr. Questo, nonostante il Regolamento ponga un divieto esplicito al trasferimento di dati nei paesi che non garantiscono livelli di protezione pari a quelle europee. Nel dichiarare la violazione del trattamento dei dati, il Garante ha sottolineato come anche l’indirizzo Ip costituisca un dato personale, anche se troncato, tenendo conto delle capacità di Google di arricchirlo con altri dati di cui è in possesso.
Inoltre, nelle sue dichiarazioni, l’autorità ha ricordato come gli enti governativi e le agenzie di intelligence statunitensi possano accedere a tutti i dati spostati negli gli Stati Uniti, senza alcuna garanzia, sottolineando come un trattamento di questo tipo violi il diritto alla privacy e alla riservatezza degli utenti europei.
Nel contesto dell’indagine, il Garante ha poi adottato il primo di una serie di provvedimenti con cui ha ammonito Caffeina media, società che si occupa della gestione di progetti web, sociale e mobile, ingiungendo all’azienda di conformarsi al Gdpr entro tre mesi, pena la sospensione di tutti i flussi dei dati raccolti tramite Google analytics verso gli Stati Uniti. L’autorità ha quindi richiamato tutti i gestori italiani di siti web a verificare la conformità delle modalità di utilizzo di cookie e altri strumenti di tracciamento utilizzati sui propri siti, con particolare attenzione a Google analytics e altri servizi analoghi. Ci sono 90 giorni di tempo. Poi si rischiano sanzioni.
Leggi tutto su www.wired.it
di Kevin Carboni www.wired.it 2022-06-23 11:54:30 ,
