Il Garante Dichiara Illecito Google Analytics

Il Garante Dichiara Illecito Google Analytics

A conclusione di un’istruttoria avviata nel corso del 2020 sulla base di un reclamo, il Garante ha dichiarato che il sito web che utilizza lo strumento Google Analytics (GA) viola il Regolamento Europeo in materia di protezione dei dati personali (GDPR).

L’Autorità ha analizzato l’opzione “IP-Anonymization” la quale comporta l’invio a Google Analytics dell’indirizzo IP dell’utente troncato. Il troncamento dell’IP, tuttavia, non impedisce a Google LLC di re-identificare l’utente. L’anonimizzazione non è mai effettiva in quanto, come specificato dal Garante, “fintanto che la chiave di cifratura rimanga nella disponibilità dell’importatore, le misure adottate non possono ritenersi adeguate”.

Richiamando il principio di accountability, il Garante ha pertanto dichiarato il trattamento illecito per violazione dei principi generali del GDPR (art.5) e delle disposizioni in materia di trasferimenti (artt.44 e ss). La violazione di tali norme rientra nella fattispecie di cui all’art.83 par.5 del GDPR e comporta sanzioni amministrative pecuniarie fino a 20.000.000,00 €, o per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.

L’orizzonte è quello dei 90 giorni che il Garante ha concesso per effettuare le opportune verifiche. Ma la questione non può risolversi in alcun modo “in casa”. Si tratta di un problema politico, che deve giocarsi tra Bruxelles e Washington.

Non potendo ricorrere alle deroghe per il trasferimento di cui all’art.49 GDPR, AD OGGI il primo step per adeguarsi al GDPR (e per evitare sanzioni e provvedimenti da parte dell’Autorità) è quello di dismettere lo strumento di Google Analytics. Anche l’alternativa proposta da Google stessa, ovvero “Analytics 4” presenta le stesse criticità. Ne deriva che, per quanto il provider si impegni a implementare misure di sicurezza, la principale criticità relativa al trasferimento verso i server ubicati negli Stati Uniti permane.  Il contesto è quello dell’ormai famosa decisione della Corte di Giustizia dell’Unione Europea che ha di fatto annullato il Privacy Shield che garantiva l’export verso gli Stati Uniti d’America.

Le alternative con server ubicati nello Spazio Economico Europeo (SEE) non mancano. Le organizzazioni private, previo (consigliato) confronto con il proprio gestore del sito web, possono far affidamento sul software open source alla base di WAI (Matomo), oppure valutare le (tante) altre soluzioni disponibili sul mercato.

In ogni caso, affidare il trattamento dei dati personali degli utenti ad un fornitore terzo (qualunque esso sia), comporta la necessità di effettuare una valutazione in ottica privacy by design e privacy by default.

Fra le attività da compiere per evitare di ricorrere in reclami, segnalazioni e potenziali sanzioni, è fondamentale verificare che il provider fornisca “garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato” (art.28 par.1 GDPR).

Per compiere questa valutazione, il Titolare del Trattamento (l’azienda o il professionista) è tenuto a verificare:

  • La presenza di un “contratto o altro atto giuridico” conforme all’art.28 par.2 GDPR;
  • L’ubicazione dei server dove il responsabile e gli eventuali sub responsabili tratteranno i dati;
  • La presenza di una decisone di adeguatezza del paese terzo o di misure di salvaguardia ai sensi dell’art.46 e ss., qualora i server siano ubicati al di fuori dello Spazio Economico Europeo (SEE);
  • L’adozione di misure di sicurezza e di misure di sicurezza supplementari, qualora i server siano ubicati al di fuori dello Spazio Economico Europeo (SEE);
  • Le modalità di gestione dei dati ed i termini di conservazione degli stessi;
  • La presenza di certificazioni, standard di qualità e sicurezza, policy e procedure, codici di condotta e altri documenti che dimostrino la conformità del fornitore;
  • In generale, la conformità al GDPR del fornitore (la presenza di istruzioni funzionali al trattamento, la formazione, la tenuta del registro delle attività di trattamento, la realizzazione di DPIA, la nomina di un DPO, le informazioni fornite agli interessati, la gestione dei diritti, la gestione di eventuali data breaches, ecc.)
Questi adempimenti si applicano non solo per la scelta di un provider alternativo a Google per il servizio di Analytics del traffico web, ma, in generale, in tutti i casi in cui un trattamento viene affidato ad un terzo.

Oltre a questo aspetto segnaliamo che nei prossimi giorni (ammesso che non l’abbiate già ricevuta nei giorni scorsi) potreste ricevere una mail da un certo “Federico Leva” (in qualità di Interessato) che chiede la rimozione dei propri dati personali dai database del Vostro sito web. Sappiate che, nel caso, dovrete attivarvi. Non si tratta di un indirizzo automatizzato e non è una richiesta illegittima: la mail che sta inviando Federico Leva è una diretta conseguenza della comunicazione del Garante Privacy.

Federico Leva (attivista, sviluppatore e consulente ICT) ad un’intervista ha dichiaratoNon è un mistero che non sia un fan di Google Analytics- ha detto. Sono stato sorpreso positivamente dal provvedimento del garante che ha detto di concedere 90 giorni di tempo alle persone per svegliarsi e poi si vedrà cosa fare. Molte persone non sanno che Google Analytics è in contrasto con il GDPR e per questo ho avuto questa idea: ho pensato banalmente di informare le persone di questo provvedimento. Per questo ho inviato la famosa mail: così le persone possono sapere che potranno esercitare i loro diritti. La richiesta di rimozione mi è sembrata abbastanza pacifica

Suddetta “Operazione di informazione” non sembra essere l’unica e potrebbe avere un seguito non trascurabile. E’ bene ribadire che si tratta di richieste legittime in virtù della decisione del Garante Privacy. Ai Titolari del Trattamento proprietari dei siti web conviene rispondere entro il termine di 30 giorni dalla ricezione della mail in quanto il mancato riscontro alle richieste avanzate potrebbe dare il via ad un esposto al Garante della Privacy che, conseguentemente, potrebbe comportare inutili grattacapi.

Il nostro consiglio è di verificare la presenza dei riferimenti, segnalati dall’Interessato, all’interno della cronologia del sito: qualora fossero presenti, provvedere alla loro rimozione comunicando a Google Analytics la richiesta di cancellazione e, successivamente, fornire riscontro all’Interessato che ha esercitato i propri diritti (rispondendo, nel caso di specie ed a titolo esemplificativo, alla mail domande@leva.li).

Qualora, al contrario, non si riuscisse a trovare i riferimenti segnalati dall’Interessato, si consiglia di rispondere alla richiesta avanzata da quest’ultimo chiedendogli di fornire i riferimenti precisi dei dati da rimuovere in quanto quelli indicati nella mail non risultano essere presenti nei log del sito  

Potrebbero
interessarti

challenges-GDPR

4 Agosto 2022

Nuovi Adempimenti Privacy introdotti dal Decreto Trasparenza

Il Decreto Legislativo 27 giugno 2022, n. 104 (Gazzetta Ufficiale n. 176 del 29/07/2022) – attuazione della Direttiva (UE) 2019/1152 – meglio noto come Decreto Trasparenza, mediante l’articolo 4 “Modifiche al decreto legislativo 26 maggio 1997, n. 152“, comma 1, lettera b), introduce il nuovo articolo 1-bis rubricato “Ulteriori obblighi informativi nel caso di utilizzo […]

challenges-GDPR

11 Agosto 2021

Attività Ispettiva Garante Luglio- Dicembre 2021

Limitatamente al periodo luglio-dicembre 2021, l’attività ispettiva di iniziativa curata dall’Ufficio del Garante, anche per mezzo della Guardia di finanza, è indirizzata:

challenges-GDPR

8 Gennaio 2021

Le sfide del GDPR: La testimonianza della regione Marche

Continua la serie di video interviste ad opera dell’Associazione ASSO DPO ai DPO referenti regionali e territoriali di tutta Italia. 

challenges-GDPR

30 Luglio 2020

GARANTE PER LA PRIVACY, STANZIONE E’ IL NUOVO PRESIDENTE

Eletto all’unanimità, dovrà vigilare su Gpdr, 5G, smart working e dati di aziende e consumatori. Ginevra Cerrina Feroni vicepresidente

challenges-GDPR

24 Marzo 2020

COVID-19 E AMBIENTI DI LAVORO:Gli adempimenti privacy da rispettare

challenges-GDPR

8 Gennaio 2020

Seminario 7 Febbraio

La Total Service è lieta di presentare e invitarvi al #seminario di #formazione #gratuito in tema #privacy, #antiriciclaggio e #231/01.

challenges-GDPR

3 Ottobre 2019

ANTIRICICLAGGIO : 1/01/2020 Sei pronto ? …

1 GENNAIO 2020  APPLICAZIONE DELLE REGOLE TECNICHE  Con un comunicato stampa del 23 gennaio 2019, il Consiglio Nazionale dei Dottori Commercialisti e degli Esperti Contabili (CNDCEC) ha annunciato l’approvazione del documento “Obblighi di valutazione del rischio, adeguata verifica della clientela, conservazione dei documenti, dei dati e delle informazioni: regole tecniche ai sensi dell’art. 11, co. […]

challenges-GDPR

26 Luglio 2019

GDPR E VIDEOSORVEGLIANZA : L’EDPB PUBBLICA LE LINEE GUIDA

Sono state rese note dall’European Data Protection Board (EDPB) le linee guida 3/2019 del 12 luglio 2019 sul trattamento dei dati personali in merito ai servizi di videosorveglianza.

challenges-GDPR

29 Maggio 2019

VIDEOSORVEGLIANZA : Tutto ciò che occorre sapere su sanzioni e agevolazioni

Il numero crescente di furti e di effrazioni in aziende, attività commerciali ed abitazioni, ha fatto sì che l’esigenza di un sistema di videosorveglianza diventasse priorità di imprenditori come di privati cittadini, ma è fondamentale conoscere ogni dettaglio perché il tema va ad impattare sulla privacy delle persone.

challenges-GDPR

15 Maggio 2019

Il Garante Privacy presenta la relazione annuale 2018

L’Autorità Garante per la protezione dei dati personali, composta da Antonello Soro, Augusta Iannini, Giovanna Bianchi Clerici, Licia Califano, presenta oggi la Relazione sull’attività svolta nel 2018.

challenges-GDPR

26 Febbraio 2019

CORSO DPO : Percorso Formativo Riconosciuto UNI11697:2017

Vuoi Fare della Privacy la tua professione ? Partecipa al corso per diventare DPO Data Protection Officer

challenges-GDPR

13 Febbraio 2019

GESTIONE AFFITTI – PRIVACY DOPPIA PER L’AMMINISTRATORE

Il Garante nazionale della Privacy, in riferimento all’ Art 12 del Regolamento Ue 16/679, ha ritenuto che il condominio venisse inquadrato come collettività dei condomini di cui  si compone, che sono essi stessi ‘’ contitolari di un unico, complessivo trattamento dei dati, del quale l’amministratore ha solo la concreta gestione (documento n. 1053868 del 16 […]

challenges-GDPR

8 Febbraio 2019

Consulenti del lavoro: quando sono responsabili del trattamento dei dati

Newsletter n.449 del 7 Febbraio 2019 Precisazioni del Garante privacy dopo il nuovo Regolamento UE 

challenges-GDPR

20 Novembre 2018

Fattura elettronica bocciata dal Garante Privacy

Il Garante privacy all’Agenzia delle entrate: la fatturazione elettronica va cambiata I trattamenti di dati previsti dal 1 gennaio 2019 possono violare la normativa sulla protezione dei dati. Sproporzionata raccolta di informazioni e rischi di usi impropri da parte di terzi

challenges-GDPR

16 Novembre 2018

Pubblicata la lista DPIA del Garante

Pubblicata dal Garante Italiano l’Elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d’impatto sulla protezione dei dati ai sensi dell’art. 35, comma 4, del Regolamento (UE) n. 2016/679

challenges-GDPR

5 Settembre 2018

Pubblicazione Decreto Legislativo 101 del 10/08/2018

Ieri 04/09/2018 è stato pubblicato in Gazzetta Ufficiale il D.Lgs 101 del 10/08/2018 per l’adeguamento della normativa nazionale D.Lgs 196/2003 al GDPR.

challenges-GDPR

16 Maggio 2018

Comunicazione dei dati del DPO

In base all’articolo 37, paragrafo 7 del Regolamento UE 2016/679 occorre che i soggetti pubblici e privati comunichino al Garante per la protezione dei dati personali il nominativo del Data Protection Officer, se designato.

challenges-GDPR

4 Aprile 2018

CORSO DPO 2018

CORSO DI ALTA SPECIALIZZAZIONE DATA PROTECTION OFFICER – MANAGER PRIVACY- PRIVACY SPECIALIST : Nuove professioni per l’Europa

challenges-GDPR

20 Marzo 2018

GDPR : Otto miti da sfatare.

Mancano appena otto mesi alla piena operatività del GDPR, prevista per il 25 maggio 2018. Una scadenza che agita non poco le aziende. Anche perché intorno al nuovo regolamento europeo sulla protezione dei dati personali circolano non poche leggende urbane, non dissipate neppure dalle decine di convegni organizzati e dagli articoli pubblicati.

challenges-GDPR

29 Dicembre 2017

Valutazione d’impatto sulla protezione dei dati

Quando un trattamento può comportare un rischio elevato per i diritti e le libertà delle persone interessate (a causa del monitoraggio sistematico dei loro comportamenti, o per il gran numero dei soggetti interessati di cui sono magari trattati dati sensibili, o anche per una combinazione di questi e altri fattori), il regolamento 2016/679 obbliga i […]

challenges-GDPR

29 Dicembre 2017

Piano Ispettivo Garante : secondo semestre 2017 e risultati primo semestre

Nelle scorse settimane l’Autorità ha varato il piano di accertamenti ispettivi per il secondo semestre 2017

challenges-GDPR

4 Dicembre 2017

GDPR : Da Maggio STOP ai trattamenti differenziati

Antonello Soro, Garante Privacy, ha affermato che “dal 25 maggio, non ci saranno più parti dell’Europa in cui i grandi operatori internazionali potranno godere di un trattamento differenziato rispetto a quello della Germania o dell’Italia”

challenges-GDPR

28 Novembre 2017

GDPR: Cambio approccio alla nuova Normativa

Molte sono le novità introdotte dal nuovo Regolamento UE 2016/679 sulla Protezione dei dati personali noto con l’acronimo “GDPR- General Data Protection Regulation” : dal Registro dei trattamenti, alla nomina del Data Protection Officer, dalla sicurezza dei dati personali, all’obbligo di notifica del Data Breach, ai nuovi diritti degli interessati, alla Privacy by Design e […]

challenges-GDPR

28 Novembre 2017

Autorita’ privacy UE : varate altre Linee guida sul nuovo Regolamento

Le Autorità di protezione dati europee hanno adottato nella riunione plenaria della settimana scorsa, alcuni importanti provvedimenti, utili ad interpretare in modo corretto e uniforme in tutti i Paesi dell’Unione europea il Regolamento 2016/679, in vista della piena applicazione che avverrà il 25 maggio 2018.

challenges-GDPR

1 Novembre 2017

Approvazione Regolamento Europeo

Lo scorso 4 maggio è stato pubblicato sulla Gazzetta Ufficiale della Comunità Europea il “Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali nonchè alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale […]

challenges-GDPR

17 Settembre 2017

Job Act

Il 17 settembre 2015 è stato pubblicato il testo definitivo della riforma dell’art.4 dello Statuto dei lavoratorI

challenges-GDPR

17 Settembre 2017

Modulo Unificato Istanza alla DTL

E’ stato pubblicato sul sito del Ministero del Lavoro il Modulo Unificato Istanza di Autorizzazione all’Installazione di impianti di videosorveglianza e all’installazione e utilizzo di impianti e apparecchiature di localizzazione satellitare GPS a bordo di mezzi aziendali ai sensi dell’art.4 della legge 20 maggio 1970 n.300 (Statuto dei Lavoratori)

challenges-GDPR

25 Maggio 2016

Allarme Cryptolocker

Le minacce provenienti dal web sono sempre più raffinate ed al contempo pericolose. Non ultima, ma sicuramente una delle più temute negli ultimi periodi, il Trojan Software (comunemente denominato virus) CryptoLocker.