news7

LA FUNZIONE DI “ANONIMIZZAZIONE” DELL’INDIRIZZO IP NON RISOLVE I PROBLEMI DI PRIVACY DI GOOGLE ANALYTICS

A cura dell’Ufficio Stampa
uff.stampa@confartigianatofc.it

LA NEWSLETTER DI CONFARTIGIANATO FEDERIMPRESA CESENA DEDICATA ALLA PRIVACY, uno strumento facile e veloce per rimanere sempre aggiornati in tema di privacy.

LA FUNZIONE DI “ANONIMIZZAZIONE” DELL’INDIRIZZO IP NON RISOLVE I PROBLEMI DI PRIVACY DI GOOGLE ANALYTICS

Il caso “Google Analytics” affrontato dall’Autorità Garante con il provvedimento del 9 giugno 2022, prende spunto dalla pronuncia C-311/18 del 16 luglio 2020 (c.d. Schrems II), con la quale la Corte di Giustizia dell’Unione Europea, nel dichiarare l’invalidità della decisione della Commissione UE n. 2016/1250 del 12 luglio 2016, sull’adeguatezza della protezione offerta dal regime dello scudo UE-USA per la privacy (c.d. Privacy Shield), ha constatato che il diritto interno degli Stati Uniti (in particolare l’Executive Order 12333 e l’art. 702 del Foreign Intelligence Surveillance Act – di seguito “FISA 702”) comporti deroghe alla normativa in materia di protezione di dati che eccedono le restrizioni ritenute necessarie in una società democratica.
Tutto ciò con particolare riferimento alle disposizioni che consentono alle Autorità pubbliche, nel quadro di determinati programmi di sicurezza nazionale, di accedere senza adeguate limitazioni ai dati personali oggetto di trasferimento, nonché alla mancata previsione di diritti, in capo ai soggetti interessati, azionabili in sede giudiziaria.
L’Autorità Garante nell’affrontare il caso in esame ha accertato che i trasferimenti effettuati verso Google LLC (con sede negli Stati Uniti), per il tramite dello strumento di Google Analytics, sono stati posti in essere in violazione degli artt. 44 e 46 del Regolamento. Inoltre, ha rilevato la violazione dell’art. 5, par. 1, lett. a) e par. 2, dell’art. 13, par. 1, lett. f), e dell’art. 24, del Regolamento.
A nulla serve la nomina di Google Ireland Limited (prevista dal 1 maggio 2021) quale responsabile, ai sensi dell’art. 28 del Regolamento, sulla base dei “Google Analytics Terms of Service” e dei “Google Ads Data Processing Terms” dal momento che può avvalersi di altri soggetti, in qualità di sub-responsabili del trattamento, fra cui Google LLC.
Sotto il profilo della categoria dei dati trattati questi consistono in: identificatori online unici che consentono sia l’identificazione del browser o del dispositivo dell’utente che visita il sito web, sia del gestore stesso del sito (attraverso l’ID account Google); indirizzo, nome del sito web e dati di navigazione; indirizzo IP del dispositivo utilizzato dall’utente; informazioni relative al browser, al sistema operativo, alla risoluzione dello schermo, alla lingua selezionata, nonché a data e ora della visita al sito web.
Inoltre, qualora il visitatore del sito web faccia accesso al proprio account Google i dati sopra indicati possono essere associati ad altre informazioni presenti nel relativo account, quali l’indirizzo email (che costituisce l’user ID dell’account), il numero di telefono ed eventuali ulteriori dati personali tra cui il genere, la data di nascita o l’immagine del profilo.
Ne segue, osserva il Garante, che la funzione denominata “IP-Anonymization” (una forma di pseudonimizzazione) che comporta l’invio a Google Analytics dell’indirizzo IP dell’utente previo oscuramento dell’ottetto meno significativo non impedisce a Google LLC di re-identificare l’utente medesimo, tenuto conto delle informazioni complessivamente detenute dalla stessa relative agli utenti del web.
A queste considerazioni si aggiunga che la Corte di Giustizia con la medesima pronuncia, ha inoltre ribadito la validità della decisione n. 2010/87/CE della Commissione del 5 febbraio 2010 concernente le clausole contrattuali tipo per il trasferimento di dati personali a responsabili stabiliti in paesi terzi, ma ha puntualizzato che in base al principio di accountability, i titolari del trattamento, in qualità di esportatori, sono comunque tenuti a verificare, caso per caso e, ove necessario, in collaborazione con l’importatore nel paese terzo, se la legge o la prassi di quest’ultimo incidano sull’efficacia delle garanzie adeguate contenute nelle predette clausole; ciò al fine di determinare se le garanzie previste dalle clausole contrattuali tipo possano essere rispettate nella pratica.
Per questi motivi il Garante evidenzia che l’utilizzo di GA, da parte dei gestori dei siti web comporta il trasferimento dei dati personali dei visitatori dei suddetti siti verso Google LLC con sede negli Stati Uniti. Tali trasferimenti, in quanto effettuati verso un paese terzo che non garantisce un livello di protezione adeguato ai sensi della normativa di protezione dei dati (ossia gli Stati Uniti), devono essere posti in essere in conformità al Capo V del Regolamento.
Fonte: Federprivacy