Google Analytics è sotto processo. Posso usarlo? Devo cercare un’alternativa? Facciamo il punto della situazione in modo semplice. Con Provvedimento del 9 giugno 2022 il Garante Privacy ha per la prima volta ‘’ammonito’’ la società Caffeina Media S.r.l. rea di aver trasferito a Google LLC, con sede negli Stati Uniti, i dati personali di un utente trattati per il tramite del sito web www.caffeinamagazine.it, in totale assenza delle garanzie previste dal capo V del Regolamento.
Semplificando, il Garante ammonisce la società per l’utilizzo del servizio Google UA che, seppur gestito da Google Ireland Limited, potrebbe aver trasferito dati verso gli Stati Uniti, con Google LLC.
Da questo ‘’provvedimento’’ il Garante Privacy di fatto non definisce l’utilizzo di Google UA ‘’illegale’’ o ”illegittimo” ma invita a modificarne la gestione per poter assolvere alle richieste.
Di fatto il problema non è risolvibile e per sequenziale ragionamento, qualsiasi evidenza al Garante Privacy di utilizzo del tracciante di Google UA costituisce una violazione del GDPR.
GA4 scarta utomaticamente gli indirizzi IP degli utenti dopo aver ricavato i metadati per risalire alla localizzazione. I dati vengono quindi raccolti dal proxy di Google situato in Ue e vengono successivamente elaborati su altri server appositi di cui Google non rivela l’ubicazione.
Siamo ad un punto motro, come risolvere?
E’ stata la sentenza di Schrems II, emessa dalla Corte di Giustizia dell’Unione europea nel luglio del 2020 a determinare l’invalidità della ‘’Privacy Shield’’ che permetteva e legittimava il trasferimento dei dati tra USA e Unione Europea. L’ivalidamento del framework ha determinato che qualsiasi trasferimento di dati tra UE e USA sia proibito.
Le Autorità per la protezione dei dati hanno scoperto che i trasferimenti di dati verso gli Stati Uniti non hanno lo stesso livello di protezione dell’UE.
Alla luce di ciò, NOYB ha presentato 101 reclami alle ADP europee, per dimostrare l’illegalità del trasferimento dei dati di utenti europei negli Stati Uniti. Le decisioni, che hanno verificato l’illegittimità dei trasferimenti, si concentrano sull’analisi di misure tecniche, contrattuali e organizzative aggiuntive.
- L’ordine di identificare delle misure tecniche aggiuntive entro 60 giorni (CNIL) o 90 giorni (Garante).
- L’ordine di smettere di utilizzare il servizio e sostituirlo con un’alternativa.