Blog

GPDP vieta l’uso di Google Analytics: nessuna tutela adeguata per i trasferimenti di dati da Caffeina Media Srl negli Stati Uniti

Il 17 agosto 2020 è stato presentato un reclamo al Garante per la Protezione dei Dati Personali, in merito al trasferimento di dati negli Stati Uniti. È stato uno dei 101 reclami ricevuti da NOYB da diverse autorità di vigilanza europee che partecipano a una task force per garantire un approccio coerente nei confronti -vis quelle denunce.

La denuncia contro Caffeina Media Srl riguarda la seguente situazione: il denunciante ha visitato il sito web del responsabile del trattamento, mentre era connesso all’account Google associato all’indirizzo email del denunciante. Sul sito web, il titolare del trattamento ha incorporato il codice HTML per gli strumenti di Google Analytics. Nel corso della visita i dati personali relativi al denunciante sono stati trasferiti negli Stati Uniti La denuncia è stata avanzata nei confronti di Caffeina Media Srl e Google LLC (negli USA), per aver continuato ad accettare tali trasferimenti di dati nonostante fossero in violazione del GDPR .

L’Autorità ha rilevato che Caffeina Media Srl utilizzando Google Analytics sul proprio sito web ha raccolto, tramite cookie, informazioni sulle interazioni dell’utente con i rispettivi siti web, pagine visitate e servizi offerti. L’insieme dei dati raccolti in questa connessione includeva l’indirizzo IP del dispositivo dell’utente insieme a informazioni su browser, sistema operativo, risoluzione dello schermo, lingua selezionata, data e ora di visualizzazione della pagina.

Il Garante ha ribadito che un indirizzo IP è un dato personale e non sarebbe anonimo anche se fosse troncato, date le capacità di Google di arricchire tali dati attraverso informazioni aggiuntive in suo possesso. I dati personali degli utenti sono stati trasferiti negli Stati Uniti in violazione del Capo V del GDPR, in quanto le misure adottate da Google a integrazione degli strumenti di trasferimento dei dati (clausole contrattuali standard sulla protezione dei dati) non hanno assicurato un livello di protezione adeguato alla luce degli orientamenti forniti dall’EDPB attraverso le sue Raccomandazioni n. 1/2020 del 18 giugno 2021. Le agenzie governative e di intelligence con sede negli Stati Uniti possono infatti accedere ai dati personali oggetto di trasferimento senza le necessarie garanzie. Si è inoltre riscontrato che il titolare del trattamento non ha fornito sul proprio sito web le informazioni richieste ai sensi dell’articolo 13.

 

Approfondimenti:

Redazione DIMT

Articoli correlati

Back To Top