Roma, 24 giu – Dopo le sentenze degli omologhi di Austria e Francia, anche in Italia l’autorità per la protezione dei dati boccia le pratiche di gestione delle informazioni da parte del colosso informatico di Mountain View. Ancora una volta quindi il trasferimento di dati fuori dall’Unione Europea verso gli Stati Uniti, da parte di Google analytics, è stato dichiarato illegittimo da un’autorità per la protezione della privacy.
Trasferimento dati
Lo ha stabilito il Garante della privacy italiano a seguito di due decisioni simili emesse da austria e francia. Secondo il Garante il servizio di Google analytics viola le disposizioni contenute nel Regolamento generale per la protezione dei dati europeo (Gdpr), che vieta esplicitamente il trasferimento dei dati degli utenti europei in paesi privi degli adeguati livelli di protezione (vedi gli Stati Uniti). La sentenza è arrivata a seguito di quella che è stata definita dall’autorità come una “complessa istruttoria” avviata sulla base di numerosi reclami e in coordinamento con le altre autorità privacy europee. Dalle indagini sono emersi particolari preoccupanti su come i gestori di siti web che utilizzano Google analytics raccolgano, tramite i cookie, diverse informazioni che riguardano direttamente gli utenti dei siti in questione. Tra i dati raccolti troviamo indirizzo Ip del dispositivo, informazioni relative al motore di ricerca e al sistema operativo utilizzati, la risoluzione dello schermo, la lingua selezionata e ovviamente data e ora della visita. Tutte queste informazioni sono poi trasferite negli Stati Uniti dove gli utenti non hanno diritto alle tutele sull’uso dei propri dati garantite dal Gdpr. Questo, nonostante il Regolamento ponga un divieto esplicito al trasferimento di dati nei paesi che non garantiscono livelli di protezione pari a quelle europee. Nel dichiarare la violazione del trattamento dei dati il Garante ha sottolineato come anche l’indirizzo Ip costituisca un dato personale, anche se troncato, tenendo conto delle capacità di Google di arricchirlo con altri dati di cui è in possesso.
Big data
Inoltre, nelle sue dichiarazioni, l’autorità ha ricordato come gli enti governativi e le agenzie di intelligence statunitensi possano accedere a tutti i dati spostati negli gli Stati Uniti (senza alcuna garanzia) sottolineando come un trattamento di questo tipo violi il diritto alla privacy e alla riservatezza degli utenti europei. In ogni caso, la sanzione di oggi ha assunto più la forma dell’ammonizione più che della squalifica, ed ha riguardato una sola società italiana, Caffeina Media srl. In ogni caso il procedimento è un primo importante precedente che sicuramente apre la strada ad una presa di posizione più netta contro i big data e il commercio dei nostri dati personali. Il provvedimento è notevole, perché il garante ha preso una prima posizione ufficiale su una questione davvero spinosa. Il Garante, in conclusione, “ordina la sospensione dei flussi, verso Google LLC con sede negli Stati Uniti”. A complicare o semplificare il tutto arriva proprio mamma Google che ovviamente è già corsa ai ripari e già ha lanciato il nuovo servizio Google Analytics 4 (GA4), che stando a quanto ci dicono risolverà a monte il problema. In attesa ovviamente che un Garante europeo ci metta il naso. Max Schrems, l’avvocato ed attivista austriaco diventato noto per le sue campagne contro Facebook, ammoniva le organizzazioni europee ad utilizzare software e strumenti extra UE, poiché così come Google Analytics è in violazione al GDPR, in misura analoga lo potrebbero essere molti strumenti di Amazon, Microsoft o altre Big Tech… come del resto già evidenziato dal Garante Europeo relativamente agli applicativi di Microsoft nel luglio 2020. Una questione aperta quindi, da cui passa l’autonomia e l’indipendenza italiana ed europea dai giganti della Silicon Valley.
Sergio Filacchioni
