Riepilogo carrello
Il tuo carrello è vuoto
Prodotti nel carrello: 0
Totale prodotti: € 0,00
23/06/2022
Con un reclamo presentato in data 17 agosto 2020, un utente ha segnalato al Garante Privacy che la società Caffeina Media S.r.l. avrebbe trasferito a Google LLC, con sede negli Stati Uniti, i dati personali che lo riguardano trattati per il tramite del sito internet www.caffeinamagazine.it.
Il trasferimento sarebbe avvenuto in assenza delle garanzie previste dal GDPR (capo V del Regolamento).
Il sito web ha presentato le seguenti argomentazioni a difesa:
Google Analytics è uno strumento di web analytics fornito da Google ai siti web che consente a questi ultimi di analizzare dettagliate statistiche sugli utenti nell’ottica di ottimizzare i servizi resi e di monitorare le proprie campagne di marketing.
Il sito oggetto del provvedimento ha utilizzato Google Analytics nella sua versione gratuita per finalità statistiche.
Il Garante Privacy ha rilevato che il sito ha raccolto, mediante cookies trasmessi al browser degli utenti, informazioni in ordine alle modalità di interazione di questi ultimi con il sito web, nonché con le singole pagine e con i servizi proposti.
Nel provvedimento il Garante Privacy ricorda che l'indirizzo IP costituisce un dato personale se consente di identificare un dispositivo di comunicazione elettronica, rendendo pertanto indirettamente identificabile l’interessato in qualità di utente.
Tutto ciò soprattutto ove, come nel caso di specie, l’IP sia associato ad altre informazioni relative al browser utilizzato, alla data e all’ora della navigazione.
In merito, Google, nell’ambito del servizio Google Analytics, ha messo a disposizione dei gestori dei siti web l’opzione denominata “IP-Anonymization” che comporta l’invio a Google Analytics dell’indirizzo IP dell’utente previo oscuramento dell’ottetto meno significativo.
Nel caso di specie, la società ha dichiarato che la suddetta opzione, alla data della presentazione del reclamo, non era stata attivata e ha altresì rappresentato di aver aderito alla stessa solo successivamente, nell’ambito dell’adozione di una serie di misure tecnico giuridiche implementate a seguito dell’avvio del procedimento del Garante Privacy.
Alla luce di quanto complessivamente rilevato, il Garante Privacy ha evidenziato che l’utilizzo di Google Analytics da parte dei siti web implica il trasferimento dei dati personali dei visitatori dei suddetti siti verso Google LLC con sede negli Stati Uniti.
Tali trasferimenti, in quanto effettuati verso un paese terzo che non garantisce un livello di protezione adeguato ai sensi della normativa di protezione dei dati (ossia gli Stati Uniti), devono essere posti in essere in conformità al Capo V del GDPR.
Il Garante ricorda che la Corte di Giustizia dell’Unione Europea, con la pronuncia del 16 luglio 2020 (c.d. Schrems II) ha:
A seguito di un iter molto specifico e puntuale sulla normativa USA in materia di protezione dei dati personali degli utenti, il Garante Privacy ha riscontrato che negli USA non sussiste un livello di protezione dei dati adeguato in base agli standard europei imposti dal GDPR.
Nemmeno l'azione di misure supplementari ha impedito di sancire l'illecità di Google Analytics.
Infatti, nemmeno misure di cifrature dei dati personali sono sufficienti ad evitare i rischi di un accesso, ai fini di sicurezza nazionale, ai dati trasferiti dall’Unione europea da parte delle Autorità pubbliche degli Stati Uniti, in quanto le tecniche di cifratura adottate prevedono che la disponibilità della chiave di cifratura sia in capo a Google LLC che la detiene, in qualità di importatore, in virtù della necessità di disporre dei dati in chiaro per effettuare elaborazioni e fornire servizi.
Merita inoltre evidenziare che l’obbligo di consentire l’accesso, da parte delle Autorità statunitensi, ricade su Google LLC non solo con riferimento ai dati personali importati, ma anche in ordine alle eventuali chiavi crittografiche necessarie per renderli intelligibili.
Il Garante Privacy ha contestato anche la privacy policy pubblicata sul sito tramite il generatore di documenti legali Iubenda.
Infatti, la privacy policy non conteneva alcun riferimento al fatto che il trasferimento di dati personali avveniva in un Paese che non possedeva idone misure di protezione dei dati personali.
In conclusione, il Garante Privacy ha statuito l'illecità dell'uso di Google Analytics effettutato tramite il sito internet.
Il Garante ha però evidenziato che in relazione alla natura e alla gravità della violazione, le operazioni di trattamento oggetto di contestazione non hanno avuto ad oggetto categorie particolari di dati personali.
Con riguardo all’elemento soggettivo del trasgressore, occorre considerare che la società ha erroneamente assunto come idonee, sulla base delle informazioni rese da Google, le misure supplementari adottate da quest’ultima senza esercitare alcun potere decisionale in merito alle stesse.
Alla luce di ciò, il Garante Privacy non ha emesso una sanzione pecuniaria ma ha richiesto al sito di eliminare Google Analytics dal proprio sito.
Di seguito vediamo quali sono le alternative più comuni a Google Analytics.
ShinyStat
Cominciamo con una alternativa italiana a Google Analytics.
ShinyStat™ è un sistema di rilevazione browser-based, in grado di processare e aggregare i dati in tempo reale nel rispetto del GDPR.
La leadership nel panorama Internet italiano è confermata dagli oltre 200.000 account attivi che, nell’arco di oltre un decennio, hanno contribuito a rendere sempre più capillare la diffusione di ShinyStat™.
Pimik Pro
E' una soluzione "cookie based" con integrazioni simili a Google Analytics.
La società ha sede in Polonia e i server sono allocati in Europa.
Possiede un'ottima interfaccia ma l'integrazione con tool terzi potrebbe risultare un pò "complessa" ai non addetti ai lavori.
Altro elemento negativo è rappresentato dal fatto che il tool possiede meno "opzioni" rispetto a Google Analytics.
Questo tool è di una azienda francese. Anche in questo caso i server sono in Europa.
Un elemento di favore è rappresentato da funzionalità specifiche per e-commerce.
Anche in questo, però, le integrazioni con tool terzi può risultare non del tutto semplice.
Questa soluzione cookie-free punta a risolvere la questione del consenso ai cookie di profilazione e al trattamento dei dati personali.
La società ha sede in Canada ma anche in questo caso i server sono in Europa (Germania).
Elemento "pro" è rappresentato dalle dimensioni dello script, che sono ridotte e che quindi non incidono sul carimento della pagina del sito web.
Altra soluzione "cookie-free". E' open-source.
La società ha sede in Estonia e i server sel servizio sono allocati in Europa (Germania).
Anche in questo caso le dimensioni ridotte dello script permettono un veloce caricamento della pagina.
E' l'alternativa a Google Analytics forse più famosa sul web. Anche questo tool è open source.
Il vantaggio di questo tool riguarda il bilanciamento tra tutela della privacy e funzionalità.
Infatti, i dati personali degli utenti possono essere salvati su server proprietari rendendo così possibile un controllo completo da parte del sito web o della web agency.
La UX può risultare all'inizio meno intuitiva rispetto a Google Analytics.
Le funzionalità sono però molto simili al tool di Google: si pensi che è possibile installare anche un tracking per le campagne online.
Contattaci per adeguare il tuo sito web alla decisione del Garante Privacy.
Scrivi a legalblink@legalblink.it.
Team LegalBlink