NEWS

La funzione di 'anonimizzazione' dell’indirizzo IP non risolve i problemi di privacy di Google Analytics

Il caso “Google Analytics” affrontato dall’Autorità Garante con il provvedimento del 09 giugno 2022 prende spunto dalla pronuncia C-311/18, del 16 luglio 2020 (c.d. Schrems II), con la quale la Corte di Giustizia dell’Unione Europea, nel dichiarare l’invalidità della decisione della Commissione UE n. 2016/1250 del 12 luglio 2016, sull’adeguatezza della protezione offerta dal regime dello scudo UE-USA per la privacy (c.d. Privacy Shield), ha constatato che il diritto interno degli Stati Uniti (in particolare l’Executive Order 12333 e l’art. 702 del Foreign Intelligence Surveillance Act - di seguito “FISA 702”) comporti deroghe alla normativa in materia di protezione di dati che eccedono le restrizioni ritenute necessarie in una società democratica.

Marco Soffientini. E' Data Protection Officer di Federprivacy

(Nella foto: l'Avv. Marco Soffientini. E' Data Protection Officer di Federprivacy)


Tutto ciò con particolare riferimento alle disposizioni che consentono alle Autorità pubbliche, nel quadro di determinati programmi di sicurezza nazionale, di accedere senza adeguate limitazioni ai dati personali oggetto di trasferimento, nonché alla mancata previsione di diritti, in capo ai soggetti interessati, azionabili in sede giudiziaria.

L’Autorità Garante nell’affrontare il caso in esame ha accertato che i trasferimenti effettuati verso Google LLC (con sede negli Stati Uniti), per il tramite dello strumento di Google Analytics, sono stati posti in essere in violazione degli artt. 44 e 46 del Regolamento. Inoltre, ha rilevato la violazione dell’art. 5, par. 1, lett. a) e par. 2, dell’art. 13, par. 1, lett. f), e dell’art. 24, del Regolamento.

A nulla serve la nomina di Google Ireland Limited (prevista dal 1 maggio 2021) quale responsabile, ai sensi dell’art. 28 del Regolamento, sulla base dei “Google Analytics Terms of Service” e dei “Google Ads Data Processing Terms” dal momento che può avvalersi di altri soggetti, in qualità di sub-responsabili del trattamento, fra cui Google LLC.

Anonimizzazione dell’indirizzo IP: su Google Analytics permangono le non conformità al GDPR

Sotto il profilo della categoria dei dati trattati questi consistono in: identificatori online unici che consentono sia l’identificazione del browser o del dispositivo dell’utente che visita il sito web, sia del gestore stesso del sito (attraverso l’ID account Google); indirizzo, nome del sito web e dati di navigazione; indirizzo IP del dispositivo utilizzato dall’utente; informazioni relative al browser, al sistema operativo, alla risoluzione dello schermo, alla lingua selezionata, nonché a data e ora della visita al sito web.

Come si evince, vengono trattati dati personali. Infatti, ad esempio, l’indirizzo IP costituisce un dato personale nella misura in cui consenta di identificare un dispositivo di comunicazione elettronica, rendendo pertanto indirettamente identificabile l’interessato in qualità di utente.

Inoltre, qualora il visitatore del sito web faccia accesso al proprio account Google i dati sopra indicati possono essere associati ad altre informazioni presenti nel relativo account, quali l’indirizzo email (che costituisce l’user ID dell’account), il numero di telefono ed eventuali ulteriori dati personali tra cui il genere, la data di nascita o l’immagine del profilo.

Ne segue, osserva il Garante, che la funzione denominata “IP-Anonymization” (una forma di pseudonimizzazione) che comporta l’invio a Google Analytics dell’indirizzo IP dell’utente previo oscuramento dell’ottetto meno significativo non impedisce a Google LLC di re-identificare l’utente medesimo, tenuto conto delle informazioni complessivamente detenute dalla stessa relative agli utenti del web. (Per approfondimenti vedasi anche l'articolo "La pseudonimizzazione non è un metodo di anonimizzazione")

Ip Anonymization e clausole contrattuali standard nel caso Google Analytics

A queste considerazioni si aggiunga che la Corte di Giustizia con la medesima pronuncia, ha inoltre ribadito la validità della decisione n. 2010/87/CE della Commissione del 5 febbraio 2010 concernente le clausole contrattuali tipo per il trasferimento di dati personali a responsabili stabiliti in paesi terzi, ma ha puntualizzato che in base al principio di accountability, i titolari del trattamento, in qualità di esportatori, sono comunque tenuti a verificare, caso per caso e, ove necessario, in collaborazione con l’importatore nel paese terzo, se la legge o la prassi di quest’ultimo incidano sull’efficacia delle garanzie adeguate contenute nelle predette clausole; ciò al fine di determinare se le garanzie previste dalle clausole contrattuali tipo possano essere rispettate nella pratica.

Per questi motivi il Garante evidenzia che l’utilizzo di GA, da parte dei gestori dei siti web comporta il trasferimento dei dati personali dei visitatori dei suddetti siti verso Google LLC con sede negli Stati Uniti. Tali trasferimenti, in quanto effettuati verso un paese terzo che non garantisce un livello di protezione adeguato ai sensi della normativa di protezione dei dati (ossia gli Stati Uniti), devono essere posti in essere in conformità al Capo V del Regolamento.

Note sull'Autore

Marco Soffientini Marco Soffientini

Avvocato esperto di protezione dei dati personali, Data Protection Officer di Federprivacy. Autore Ipsoa, docente Unitelma Sapienza, Privacy Officer certificato TÜV Italia, Fellow Istituto Italiano Privacy.  - Twitter: @msoffientini1

Prev La gestione dei supporti di memorizzazione: le indicazioni dalla Linea Guida ISO/IEC 27002:2022
Next La dismissione dei supporti contenenti dati personali: indicazioni dalla Linea Guida ISO/IEC 27002:2022

Il presidente di Federprivacy intervistato su Rai 4

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy