Google Analytics: serve il consenso dell’utente?
La presente newsletter approfondisce la possibilità o meno, per i siti web italiani, di utilizzare Google Analytics senza il consenso degli utenti, tema su cui è necessario interrogarsi alla luce della recente entrata in vigore delle nuove “Linee guida cookie e altri strumenti di tracciamento” del Garante Privacy e di un importante provvedimento dell’Autorità per la protezione dei dati austriaca pubblicato il 22 gennaio 2022, con il quale è stato sanzionato un sito web austriaco fruitore del citato servizio.
Nelle citate linee guida, entrate in vigore il 9 gennaio 2022, il Garante ha chiarito che i cookie analitici sono assimilabili ai cookie tecnici – e quindi non richiedono l’espressione di un consenso – solo se:
1. vengono utilizzati unicamente per produrre statistiche relative al singolo sito;
2. viene mascherata almeno la quarta componente dell’indirizzo IP;
3. le terze parti fornitrici dei cookie si astengono dal combinare i cookie analitici con altre elaborazioni o dal trasmetterli a ulteriori terzi.
L’art. 6 dei termini di servizio di Google Analytics afferma che Google condivide i dati degli utenti del sito con terzi solo con il consenso del proprietario del sito web o per finalità organizzative e interne a Google; l’art. 7 invece chiarisce che il rispetto della normativa privacy, compresa la fornitura delle informazioni all’utente e la raccolta del consenso dello stesso, ove necessario, sono onere del proprietario del sito.
Sarebbe dunque possibile non chiedere il consenso agli utenti solamente nel caso in cui: (i) Google non abbia effettivamente accesso ad alcun dato personale degli stessi, nemmeno agli indirizzi IP; (ii) il proprietario del sito web non abbia dato il consenso a Google di comunicare a terzi i dati personali degli utenti.
Con riguardo al primo punto si osserva che Google, qualora il cliente lo richieda, provvede ad anonimizzare la quarta parte dell’IP non appena riceve i dati dai cookie analitici, prima che venga effettuata l’archiviazione o elaborazione degli stessi[1]. Circa la combinazione o la trasmissione dei dati a terzi, il cliente di Google Analytics deve invece verificare che non sia selezionata alcune delle impostazioni di condivisione dei dati di cui alla sezione “Amministrazione” di Google Analytics.
Risulta in ogni caso necessario informare con precisione gli utenti sui cookie utilizzati, descrivendoli correttamente nella cookie policy e riportando il link alla privacy policy di Google.
Sul tema è intervenuta una pronuncia del 22 dicembre 2021 dell’Autorità per la protezione dei dati personali austriaca (la c.d. “DSB”), resa pubblica il 14 gennaio 2022, con la quale è stato sanzionato per l’utilizzo di Google Analytics il titolare di un sito web austriaco, che non aveva correttamente configurato le impostazioni di anonimizzazione degli IP e nemmeno ottenuto un valido consenso degli utenti ai fini del trasferimento dei dati degli stessi in paesi extra UE.
La decisione muove dalla constatazione che Google, pur operando sia su server europei sia su server americani, sebbene dichiari il contrario, non ha adottato delle misure adeguate al fine di garantire che i servizi di intelligence statunitense non possano avere accesso ai dati da esso trattati; per il trasferimento dei dati di cittadini europei negli Stati Uniti, dopo lo smantellamento del c.d. “Privacy Shield”, è infatti necessario che il titolare del trattamento segua pedissequamente le Raccomandazioni 1/2020 dell’EDPB, le quali impongono di verificare che nel contratto stipulato con il fornitore siano menzionate le specifiche misure di sicurezza adottate, e se necessario adottare misure di sicurezza aggiuntive che garantiscano idonea tutela dei dati degli utenti. Lo sforzo fatto dalla società austriaca destinataria della pronuncia in commento non è stato ritenuto sufficiente.
Si rileva in ogni caso che ai sensi dell’art. 49 del GDPR è ammesso il trasferimento di dati personali verso un paese terzo qualora l’interessato abbia esplicitamente acconsentito, in modo diretto e informato, al trasferimento proposto, dopo essere stato informato dei possibili rischi.
In conclusione, nonostante con le dovute precauzioni risulti possibile utilizzare Google Analytics senza ottenere il consenso dell’interessato, la decisione del Garante austriaco è l’ennesima conferma della crescente attenzione delle autorità di controllo circa l’utilizzo imprudente di fornitori di servizi informatici provenienti da stati che non garantiscono un adeguato livello di protezione dei dati personali[2], come la “Big Tech” statunitense.
In caso di utilizzo di Google Analytics è dunque necessario ottenere il consenso degli utenti attraverso un idoneo banner, dopo averli correttamente informati delle caratteristiche del relativo trattamento, in conformità alle recenti indicazioni del Garante italiano sul tema.
Lo Studio è a disposizione per qualsiasi chiarimento.
[1] Affinché si possa ritenere che non vi sia stato alcun trattamento di dati personali, è evidente che l’anonimizzazione deve essere impostata dal momento in cui si inizia ad utilizzare Google Analytics; se la stessa viene configurata successivamente, per tutti gli IP non anonimizzati raccolti sino a quel momento è sicuramente configurabile un trattamento e dunque trova applicazione la normativa dettata dal GDPR.
[2] Come già ricordato in una precedente newsletter sul tema, anche il Garante italiano ha iniziato a sanzionare chi non rispetta tale disciplina. Recentemente, una nota università, ha ricevuto una sanzione di €200.000,00 per aver trasferito dati personali, nell’ambito dello svolgimento degli esami a distanza, verso gli Stati Uniti d’America, senza aver comprovato che il trasferimento in questione fosse posto in essere nell’effettivo rispetto delle condizioni di cui al Capo V del GDPR. La sanzione è stata comminata nonostante: i) il trasferimento fosse stato eseguito sul presupposto che il fornitore, sul proprio sito, garantiva il rispetto della normativa UE (ma l’università non ha effettuato un’indagine abbastanza approfondita per accertarsi che fosse effettivamente così); ii) con il fornitore statunitense fosse stato stipulato un contratto che ricalcava le condizioni standard fornite dalla Commissione Europea ed in cui si faceva riferimento all’impegno del fornitore ad adottare misure di sicurezza (tuttavia, questo era un impegno generico e non era stata allegata al contratto la precisa elencazione delle misure specifiche adottate).