Aggiornato al 31 maggio 2022
Nel periodo di riferimento considerato (marzo 2022 – maggio 2022), non si segnalano provvedimenti di carattere generale del Garante per la protezione dei dati personali (di seguito “Garante”).
Si ritiene comunque utile dare conto delle fattispecie che si segnalano per i profili di novità, anche al fine di orientare i titolari del trattamento dei dai personali in casi analoghi.
Al riguardo, è interessante ricordare – anche per la complessità della questione e i risvolti su analoghi trattamenti effettuati da altri soggetti – il caso riguardante Google Analytic e il trasferimento di dati personali negli Usa, senza l’adozione di adeguate garanzie[1].
Il Garante è intervenuto a seguito di un reclamo con il quale era stato contestato il trasferimento di dati personali verso un paese extra UE, senza rispettare gli adempimenti previsti dal Regolamento (UE) 2016/679 (“Regolamento generale sulla protezione dei dati”, di seguito “RGPD”). Nello specifico, oggetto della questione era la liceità del trasferimento, tramite il servizio di Google analytic, di dati personali negli Stati Uniti da parte di una società che gestiva il sito web di una testata giornalistica online.
Il RGPD prevede specifiche cautele e garanzie da rispettare per il trasferimento di dati personali verso paesi terzi, limitandolo ai soli casi in cui venga garantito «un livello di protezione adeguato» (art. 45, par. 1), salvo le deroghe previste in specifiche situazioni dal regolamento europeo stesso (cfr. art. 49).
Come noto, e ribadito anche nel provvedimento dell’Autorità di protezione dei dati italiana, gli Usa sono «un paese terzo che non garantisce un livello di protezione adeguato ai sensi della normativa di protezione dei dati». Ciò considerando anche quanto affermato dalla Corte di Giustizia UE che ha dichiarato «l’invalidità della decisione della Commissione UE n. 2016/1250 del 12 luglio 2016, sull’adeguatezza della protezione offerta dal regime dello scudo UE-USA per la privacy (c.d. Privacy Shield)», prendendo atto «che il diritto interno degli Stati Uniti (in particolare l’Executive Order 12333 e l’art. 702 del Foreign Intelligence Surveillance Act - di seguito “FISA 702”) comport[a] deroghe alla normativa in materia di protezione di dati che eccedono le restrizioni ritenute necessarie in una società democratica[,] con particolare riferimento alle disposizioni che consentono alle Autorità pubbliche, nel quadro di determinati programmi di sicurezza nazionale, di accedere senza adeguate limitazioni ai dati personali oggetto di trasferimento, nonché alla mancata previsione di diritti, in capo ai soggetti interessati, azionabili in sede giudiziaria»[2].
In tale quadro, è stato evidenziato come Google Analytics è «uno strumento di web analytics fornito da Google ai gestori di siti internet che consente a questi ultimi di analizzare dettagliate statistiche sugli utenti nell’ottica di ottimizzare i servizi resi e di monitorare le proprie campagne di marketing»[3].
Nel caso esaminato, la società che gestiva il sito web (titolare del trattamento) utilizzava Google Analytics per finalità statistiche allo scopo di ricevere «informazioni aggregate sull’attività degli utenti all’interno del proprio sito web», designando «Google responsabile, ai sensi dell’art. 28 del Regolamento, sulla base dei “Google Analytics Terms of Service” e dei “Google Ads Data Processing Terms”»[4].
Quanto alle modalità del trattamento è stato appurato che la società «raccoglie[va], mediante cookies trasmessi al browser degli utenti, informazioni in ordine alle modalità di interazione di questi ultimi con il sito web, nonché con le singole pagine e con i servizi proposti» e i dati raccolti erano, in particolare: «identificatori online unici che consentono sia l’identificazione del browser o del dispositivo dell’utente che visita il sito web, sia del gestore stesso del sito (attraverso l’ID account Google); indirizzo, nome del sito web e dati di navigazione; indirizzo IP del dispositivo utilizzato dall’utente; informazioni relative al browser, al sistema operativo, alla risoluzione dello schermo, alla lingua selezionata, nonché a data e ora della visita al sito web»[5].
Inoltre, è stato ricordato come nel caso in cui «il visitatore del sito web faccia accesso al proprio account Google – circostanza verificatasi nell’ipotesi in esame–, i dati sopra indicati possono essere associati ad altre informazioni presenti nel relativo account, quali l’indirizzo email (che costituisce l’user ID dell’account), il numero di telefono ed eventuali ulteriori dati personali tra cui il genere, la data di nascita o l’immagine del profilo»[6].
Il Garante ha, pertanto, dichiarato illegittimo il trattamento dei dati effettuato e ammonito la società titolare del sito web. Inoltre, ha ordinando alla medesima società di sospendere la comunicazione dei dati personali verso Google, ingiungendole di conformarsi alle regole del RGPD per il trasferimento di dati personali verso paesi extra UE «adottando misure supplementari adeguate» nel termine previsto dal provvedimento stesso, laddove intenda continuare a utilizzare il servizio di analytics per le proprie statistiche.
[1] Provv. n. 224 del 9 giugno 2022, in www.gpdp.it, doc. web n. 9782890, https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9782890.
[2] Ibidem, il riferimento è alla sentenza della Corte di Giustizia UE C-311/18, del 16/7/2020 (c.d. Schrems II).
[3] Provv. del Garante n. 224/2022, cit.
[4] Ibidem.
[5] Ibidem. Il Garante ha, al riguardo, ricordato che «l’indirizzo IP costituisce un dato personale nella misura in cui consenta di identificare un dispositivo di comunicazione elettronica, rendendo pertanto indirettamente identificabile l’interessato in qualità di utente (v. Gruppo ex art. 29, WP 136 - Parere n. 4/2007 sul concetto di dati personali, del 20 giugno 2007, pag. 16). Tutto ciò soprattutto ove, come nel caso di specie, l’IP sia associato ad altre informazioni relative al browser utilizzato, alla data e all’ora della navigazione (cfr. considerando 30 del Regolamento)»
[6] Ibidem.