Google Analytics diventerà illegale anche in Confederazione Elvetica? LPD

È del 23 giugno la notizia che il Garante per la Protezione dei Dati Personali italiano ha ammonito una società, Caffeina Media s.r.l., a eliminare Google Analytics dai propri asset entro 90 giorni, a seguito di un’indagine condotta con altre autorità di controllo europee.

Lo strumento Google Analytics viene utilizzato dai proprietari di molti siti per analizzare e raccogliere dati, informazioni e preferenze di coloro che navigano all’interno di essi.

Il problema da cosa deriva? Sostanzialmente da una trasmissione implicita di dati personali negli Stati Uniti da parte dello strumento in questione.
Con Google Analytics, infatti, vengono trasferiti tantissimi dati degli utenti negli Stati Uniti e poi anonimizzati ex post (per lo meno non più visibili al fruitore che usa i servizi di statistica).

Il Garante si è espresso diverse volte in materia, in base anche alle Linee guida dello scorso giugno 2021 in riferimento ai Cookies e ad altri strumenti di tracciamento, sul fatto che non vi sono dubbi che l‘indirizzo IP viene annoverato come dato personale e, nel caso di specie, con Google Analitics, questo viene comunicato integro ai server di Google, e non troncato o anonimizzato come invece dovrebbe avvenire.
Il fatto che l’indirizzo IP non venga mostrato al proprietario del sito internet, non ci da alcuna garanzia che ciò non rimanga presente completo sui server di Google Analytics.

Ciò che si condanna a Google è la trasmissione di dati personali in un Paese che è stato più volte definito, privo di un adeguato livello di Protezione in materia di Protezione dei Dati.
Con la sentenza Schrems II (16 luglio 2020) si è invalidato lo scudo EU/US per il trasferimento dei dati negli Stati Uniti. Cosa vuol dire? Vuol dire che i dati, per essere trasferiti negli Stati Uniti devono sottostare a garanzie specifiche o a clausole precedentemente approvate e soprattutto avere un consenso esplicito da parte dell’utente (la persona interessata per la normativa elvetica) pena l’illegalità del trasferimento.

La questione sollevata dovrebbe spingere ciascuno di noi ad una profonda ed attenta riflessione e non sarebbe saggio sottovalutare o minimizzare questa situazione.
Infatti se provassimo a richiedere a Google il dataset demo di GA in BigQuery relativo ai RAW data scopriremmo che questa raccolta contiene ben 306 campi, di cui uno solo è l’indirizzo IP; è quindi comprensibile che la grande quantità di dati collezionati con una singola visita, non può essere un fatto da ignorare.

Cosa dobbiamo aspettarci in Confederazione Elvetica?

Innanzitutto fino a che la decisione di adeguatezza tra le due normative privacy è valida, non succede nulla ma, con l’entrata in vigore della nuova LPD il 01.09.2023, la situazione potrebbe cambiare sensibilmente.
Infatti le decisioni di adeguatezza potrebbero essere rivalutate e probabilmente l’Incaricato Federale terrà conto di tutte le motivazioni che hanno portato alla sentenza Schrems II; non è quindi garantito che tutto continui a procedere come finora.
In secondo luogo, per via del Cloud Act, la normativa statunitense che obbliga i service provider a fornire i dati degli utenti a prima richiesta, specialmente se non cittadini statunitensi, è difficile pronunciarsi in merito.

Negli ultimi mesi ha fatto scalpore l’annuncio in cui la presidente della Commissione Europea Ursula Von Der Leyen e il presidente usa Joe Biden dichiaravano che tra Europa e Usa si stava giungendo ad un accordo in materia di Privacy.

Fino a quel momento, sia per la Confederazione Elvetica, secondo un documento in cui è presente un elenco di paesi considerati safe dal punto di vista privacy, sia per la Comunità Europea, che dopo la sentenza Schrems II ha stabilito che non vi sono adeguate garanzie di protezione, potrebbe essere poco auspicabile continuare ad usare questi strumenti.

La riflessione ultima di questa sintesi dovrebbe portarci ad acquisire una maggior consapevolezza dei nostri dati, delle nostre informazioni, che più o meno consapevolmente cediamo ad altri e sulle quali abbiamo il diritto di esserne sempre informati e il dovere di comprenderne l’uso che ne viene fatto.

Cookie	Durata	Descrizione
cookielawinfo-checbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

LPD - Legge Protezione Dati Personali Svizzera

Insieme a noi puoi affrontare serenamente questo passaggio!

Google Analytics diventerà illegale anche in Confederazione Elvetica?

Cosa dobbiamo aspettarci in Confederazione Elvetica?

Cosa dobbiamo aspettarci in Confederazione Elvetica?

Ci teniamo alla tua privacy