Diverse Autorità per la protezione dei dati europee, il Garante Privacy italiano, la CNIL francese, la DSB austriaca e il Datatilsynet danese, hanno scoperto che l’uso di Google Analytics potrebbe risultare in un trasferimento di dati illegale al di fuori dell’Europa, perché mancano le misure di sicurezza fornite dal Regolamento UE. Queste decisioni sono state prese in merito a Google Analytics 3.
Vai a Cosa devo fare adesso→
👉 Le autorità hanno emanato le loro decisioni sull’uso di Google Analytics e hanno affermato che le misure tecniche di conformità di Google Analytics 3 sono insufficienti.
👉 Le indagini hanno rivelato che le organizzazioni che usano Google Analytics raccolgono, attraverso i cookie, dati su come gli utenti interagiscono con i siti web, incluse le specifiche pagine visitate e i servizi utilizzati.
👉 L’indirizzo IP del dispositivo dell’utente, i dettagli del browser, il sistema operativo, la risoluzione dello schermo, la lingua selezionata e la data e l’ora della visita al sito web rientrano nei dati raccolti.
Dal momento che il problema principale riguarda il trasferimento di dati europei negli Stati Uniti e tutti i potenziali rischi associati, potrebbe essere una buona idea:
*Tuttavia, tieni presente che, dal momento che le indagini delle APD si sono basate su Google Analytics 3, non possiamo ancora sapere con certezza se le autorità riterranno sufficiente l’utilizzo di GA4.
In parte dovuto a questa discussione riguardo l’uso di Google Analytics, Google ha rilasciato Google Analytics 4 per cercare di far fronte ad alcune di queste problematiche.
A oggi, non sono state emanate sanzioni economiche per l’uso di Google Analytics.
Le Autorità per la protezione dei dati hanno scoperto che il sistema legale degli Stati Uniti non garantisce lo stesso livello di protezione dell’UE.
Questa situazione deriva da una serie di leggi statunitensi che permettono alle organizzazioni governative di richiedere accesso ai dati personali di servizi con sede negli Stati Uniti, a prescindere da dove si trovino i centri dati o i server.
Alla luce di ciò, NOYB ha presentato 101 reclami alle ADP europee, per dimostrare l’illegalità del trasferimento dei dati di utenti europei negli Stati Uniti. Le decisioni, che hanno verificato l’illegittimità dei trasferimenti, si concentrano sull’analisi di misure tecniche, contrattuali e organizzative aggiuntive.
Per due motivi:
L’uso di una chiave di crittografia da parte dell’azienda coinvolta è stato giudicato insufficiente, perché la chiave era di proprietà di Google LLC. Da ciò deriva che finché la chiave di crittografia è accessibile all’importatore (in questo caso, Google Analytics), le misure adottate non possono essere considerate appropriate.
Inoltre, le misure contrattuali e organizzative non sono state valutate, poiché quest’ultime sono sempre considerate insufficienti se mancano le misure tecniche.
Al momento, le autorità hanno solo dichiarato che sono necessarie delle misure tecniche di sicurezza se si continua a utilizzare Google Analytics. Trovi maggiori dettagli qui.
La decisione menziona iubenda indirettamente perché l’azienda in questione, nei suoi argomenti di difesa, ha affermato di utilizzare il servizio automatizzato di iubenda per gestire la sua privacy e cookie policy.
L’autorità ha scoperto che la versione precedentemente disponibile dell’informativa non descriveva a dovere tutti gli elementi, in conformità con l’Articolo 13 del GDPR sul trasferimento dei dati verso paesi non-UE. Il Garante ha anche notato che le informazioni presenti nell’informativa sono state aggiornate il 23 marzo 2022, rendendola così conforme.
In particolare, l’autorità ha determinato che la versione della privacy policy utilizzata prima del 23 marzo 2022 non era conforme perché non conteneva le informazioni sul trasferimento richieste dagli Articoli 44 e 46 del GDPR:
Il Garante ha determinato che la versione aggiornata della privacy policy risulta conforme a seguito delle modifiche. L’azienda continua a utilizzare i servizi di iubenda.
Sulla base delle decisioni emanate finora, possiamo dedurre che le possibili conseguenza legali siano le seguenti:
A oggi, non sono state emanate sanzioni economiche per l’uso di Google Analytics.