Con una recente decisione (23 giugno 2022) è stato dichiarato illegittimo dall’Autorità garante della protezione della Privacy l’utilizzo il servizio Google Analytics , senza le garanzie previste dal Regolamento Ue, poiché viola la normativa sulla protezione dei dati trasferendo negli Stati Uniti, Paese privo di un adeguato livello di protezione, i dati degli utenti
E c’era da aspettarselo, poiché da tempo vi erano tutte le premesse.
Fin da gennaio 2022 l’autorità austrica sui dati (DSB) aveva deciso di vietare Google Analytics sul territorio austriaco.
Il nostro Garante si è adeguato, utilizzando lo stesso criterio di valutazione.
E dopo avere intimato all’editore “Caffeina Media” di trovare soluzioni alternative, il Garante ha informato che, trascorsi i tre mesi in questione, inizierà a fare ispezioni e verifiche per fare in modo, per quanto possibile, che tutti quanti si trovino in posizioni identiche, siano trattati allo stesso modo, così da evitare il crearsi di antipatiche asimmetrie.
Possiamo fissare la dead line, allora, al 23 settembre 2022; ma entro tale data occorrerà fare qualcosa.
I tecnici si stanno confrontando e le reazioni sono diverse, contrastanti, estreme, talvolta ragionevoli e talvolta completamente irragionevoli.
Il Garante – nel pieno rispetto del principio di accountability– non mostra alcuna strada da seguire ma rimette ai singoli utenti l’individuazione del rimedio ritenuto più opportuni.
Il garante successivamente lo analizzerà (in caso di verifica) e ne valuterà l’efficacia
Intanto sembrerebbe certo che neppure la versione più aggiornata di Google Analytics , la versione Google Analytics 4 sia Gdpr compliant poiché, pur effettuando la anonimizzazione, continua a trasferire verso Google i dati personali degli utenti limitando – ma non eliminando- i rischi di accesso con possibilità di re-identificazione degli utenti.
Solo il Garante della Privacy Francese ha “suggerito” uno strumento: utilizzare un server proxy (cioè un server che si interpone nel normale flusso di comunicazione tra i client e i server dei servizi web, verso gli USA) ma è complesso e costoso
.
Quindi, cosa fare?
.
Per ora il mio consiglio è di non fare nulla… stare un po’ alla finestra (ma non troppo) e vedere come si evolverà la questione e se i tecnici riusciranno ad individuare una soluzione partica, efficace e sostenibile anche dal punto di vista economico
Federico Leva chi è?
.
Federico Leva è una persona reale, un attivista che in seguito al provvedimento del nostro Garante ha inoltrate a milioni di siti web la richiesta di provvedere alla cancellazione dei propri dati
Non si tratta di un messaggio di spam, non si tratta di un indirizzo automatizzato,: la mail che ha inviato Federico Leva a diversi siti web è una diretta conseguenza della comunicazione del Garante. E la richiesta di cancellazione è legittima.
Avv. Stefano Spinelli – D.P.O esperto in Privacy