La privacy degli utenti sarebbe a rischio quando la persona accede ad un sito internet che utilizza “Google Analytics”.
Questo emergerebbe dal Provvedimento del Garante Italiano che, all’esito di una complessa istruttoria avviata a seguito di reclami, ha dichiarato l’illiceità del trattamento dei dati, ammonito la società proprietaria del sito web ed ingiunto alla stessa di conformarsi al Regolamento europeo entro novanta giorni.
Dall’indagine è emerso che i gestori dei siti web raccolgono, mediante cookie, informazioni sulle interazioni degli utenti con i predetti siti, le singole pagine visitate e i servizi proposti; tra i molteplici dati raccolti anche l’indirizzo IP.
Secondo quanto asserisce il Garante tali informazioni, in particolare l’indirizzo IP che è considerato un dato personale, una volta trasferiti negli USA, consentirebbero a Google di arricchirlo con dati che possiede e che renderebbero individuabili il/i soggetto/i che ha/hanno navigato sul sito.
Il Garante ha evidenziato, altresì, che le Autorità governative e le agenzie di intelligence statunitensi avrebbero la possibilità di accedere ai dati personali trasferiti senza le dovute garanzie.
Allo stato, anche alla luce della Raccomandazione n. 1/2020 del 18 giugno 2021 dell’EDPB (Board), le misure che integrano gli strumenti di trasferimento adottate da Google non garantiscono un livello adeguato di protezione dei dati personali degli utenti.
Clamore ha anche suscitato l’iniziativa di Federico Leva che ha simpaticamente inviato a diverse centinaia di titolari di siti web una email con oggetto “Uso illegittimo di Google Analytics: richiesta di rimozione ex art. 17 GDPR”.
Oggi tutto il web si interroga su cosa fare sia per risolvere i casi “Google Analytics” e “Federico Leva”.
In Integrare ci sentiamo in dovere di informare i nostri clienti sul cosa fare ed abbiamo perciò chiesto supporto all’ing. Vito Donato Grippa esperto di sicurezza informatica e GDPR.
Dal confronto è emerso che una risposta definitiva al cosa fare non c’è ma è consigliabile sapere che:
- Il Garante potrà svolgere attività ispettive sul sito della società e, all’esito, potrebbe emanare provvedimento sanzionatorio;
- Google Analytics è uno strumento a rischio per le motivazioni espresse dal Garante e su riportate e diventerebbe utile rivedere il sito internet affinché possa essere a norma secondo quanto previsto dal GDPR;
- Federico Leva esiste e ogni titolare del sito web dovrebbe rispondere, fermo restando che alcuni dati importanti non sono stati inseriti dallo stesso nella richiesta (come ad esempio il “clientID”).
Gli accorgimenti che suggeriamo di adottare sono:
- rimuovere Google Analytics dal sito e sostituirli eventualmente con altri software europei di tracciamento visite;
- Se siete tra quelli che hanno ricevuto la mail di Federico Leva, rispondere alla mail prima di effettuare la rimozione di Google Analytics;
- Revisionare la “Privacy&Cookie Policy” del vostro sito web al fine di poter acquisire dichiarazioni inattaccabili da parte del singolo utente.
Per ulteriori approfondimenti sul caso o per valutazioni di conformità del vostro sito web potete scriverci a info@integraresrl.come e info@dppro.it
Ing. Antonio Pavone (Integrare srl)
Ing. Vito Donato Grippa (DPPRO srls)
Avv. Paolo La Bollita (DPPRO srls)