Uso illegittimo di Google Analytics

Come ben noto con un provvedimento pubblicato il 23 giugno 2022, il Garante per la protezione dei dati personali ha accertato che i trasferimenti di dati personali negli USA necessari al funzionamento del servizio Google Analytics sono incompatibili con la disciplina europea sulla protezione dei dati personali.

Più precisamente, l’incompatibilità è stata dichiarata con riferimento al trasferimento di dati personali in USA.

Con un comunicato stampa, il Garante ha reso noto che allo scadere dei 90 giorni dalla notifica del provvedimento, avvierà delle verifiche sulla conformità dell’utilizzo di Google Analytics da parte di altri società/enti operanti in Italia.

Il problema risulta abbastanza complesso e ancora in itinere (questo il link al provvedimento del Garante).

 

In concreto, in Italia,  i titolari di siti web che fanno ricorso a Google Analytics si trovano al momento a dover scegliere tra le seguenti soluzioni per agire in compliance con il quadro normativo attuale:

 

  • In ottica di conformità al principio generale di minimizzazione dei dati (art. 5, par. 1, lett.c del GDPR) – e quindi, a monte, a prescindere dalla questione in oggetto – verificare la necessità, rispetto alle effettive esigenze della propria organizzazione, di implementare uno strumento di tracciamento del traffico web (nello specifico, Google Analytics), e, nel caso non sia necessario rispetto alle finalità che si intendono perseguire, disabilitarlo;

 

  • Valutare l’adozione di strumenti alternativi di web analytics che non trasferiscano illecitamente i dati degli utenti al di fuori dell’Area Economica Europea. A questo link, ad esempio, è possibile trovare un elenco di soluzioni alternative proposte dal CNIL – il Garante Privacy francese – che possono essere utilizzate per tracciare il traffico sui propri siti web in conformità con la normativa sul trasferimento dei dati, reperibile qui>>>

 

In caso fossero giunte nelle ultime settimane dalle richiesta di rimozione dei dati personali, ex. Art 17 GDPR, da parte di utenti di siti web vi ricordiamo che la richiesta è legittima e va gestita entro 30 giorni.

 

In caso di ulteriori approfondimenti: comunicazione.terziario@bo.cna.it