In seguito ad un’istruttoria attuata per la verifica di fondatezza di alcuni reclami per il rispetto di quanto previsto dall’art. 40 del Regolamento UE 679/2016, il Garante per la privacy ha affermato che i siti web che utilizzano il servizio fornito da Google Analytics (GA), senza le garanzie previste dal Regolamento, violano la normativa sulla protezione dei dati perché trasferiscono negli Stati Uniti, Paese privo di un adeguato livello di protezione, i dati degli utenti.
Dall'istruttoria del Garante è emerso che i gestori dei siti web che utilizzano GA raccolgono, mediante cookie, informazioni sulle interazioni degli utenti con i predetti siti, le singole pagine visitate e i servizi proposti. Tra i molteplici dati raccolti si evidenziano:
- indirizzo IP del dispositivo dell’utente,
- informazioni relative al browser e al sistema operativo,
- alla risoluzione dello schermo,
- alla lingua selezionata,
- data e ora dell’accesso ai siti web.
Tali dati personali sono risultati pertanto oggetto di trasferimento verso gli Stati Uniti in violazione della normativa sulla privacy.
Infatti l’art. 40 del Regolamento pone 2 principi generali in tema di trasferimento dei dati personali:
- un principio generale di libera circolazione dei dati personali all’interno della UE;
- un principio generale di circolazione controllata dei dati personali al di fuori del predetto territorio europeo (trasferimento transfrontaliero).
Nel dichiarare l’illeceità del trattamento è stato ribadito che l’indirizzo IP costituisce un dato personale e, anche nel caso venisse troncato, non diverrebbe un dato anonimo, considerata la capacità di Google di arricchirlo con altri dati che consentirebbero di risalire all’identificazione dell’interessato.
A seguito dell’istruttoria del Garante, alcuni interessati del trattamento dei dati (es. Federico Leva), per sensibilizzare l’attenzione sui possibili problemi di sicurezza nel trattamento hanno inoltrato delle e-mail con la richiesta di esercizio dei diritti privacy in merito a dati trattati nei siti internet che fruiscono dei servizi di Google Analytics.
I rischi che le aziende corrono nel sottovalutare una richiesta di tale tipo sono molteplici.
Da un lato sussiste il mancato rispetto della normativa privacy dall’altro, il soggetto che si vede negato il proprio diritto potrebbe scalare la propria richiesta, effettuando una segnalazione all’Autorità Garante che in quel caso potrà procedere con la richiesta di chiarimenti al Titolare del trattamento, con conseguenze che potrebbero portare ad effettuare una visita ispettiva per la verifica della compliance aziendale.
E’ lecito che un Interessato al trattamento dei dati possa richiedere l’esercizio dei propri diritti a molti Titolari contemporaneamente?
SI, l’esercizio dei diritti pone qualche vincolo solo nel caso in cui la stessa richiesta venga effettuata ad intervalli troppo ristretti allo stesso Titolare.
Il Titolare che si vede recapitare una richiesta infondata può non rispondere alla medesima?
NO, il Titolare non è esentato dal mettere in atto la procedura di verifica del trattamento dei dati per soddisfare le richieste dell’Interessato; rimane sempre obbligatorio rispondere motivando la scelta di non dare seguito alla sua richiesta.
Cosa fa Google con Analytics?
Offre ai Titolari del trattamento dei dati dei siti web un servizio di analisi statistica sulla navigazione, trattando i dati di coloro che visitano i siti.
Questo significa che Google tratta per le sue finalità (offrire il servizio di analisi statistica della navigazione) e con i suoi mezzi (hardware e software) i dati personali di coloro che visitano i siti web che si appoggiano ad Analytics.
Questa è la descrizione della figura di Titolare e non di Responsabile del trattamento e da ciò potrebbe derivare che, le richieste di cancellazione dei dati che sono state e/o saranno indirizzate ai soggetti Titolari dei siti web che utilizzano Analytics, potrebbero essere state o saranno mal indirizzate, poiché in realtà il corretto destinatario delle medesime richieste potrebbe/dovrebbe essere Google.