3 Febbraio 2022

Google Analytics viola il GDPR ? Google Analytics illegale in Europa ?

DSB austriaco: l’uso di Google Analytics viola la decisione “Schrems II” della CGUE.

Print Friendly, PDF & Email

Google Analytics è uno dei servizi più diffusi e popolari del web: è utilizzato da quasi tutti i siti web, e anche il social network Facebook (un miliardo di utenti) si affida ad esso. Ma come può garantire il rispetto delle nuove normative europee sulla protezione dei dati?

L’anno scorso Google ha aggiornato la sua Privacy Policy per adeguarsi al GDPR: in particolare, ha implementato un nuovo strumento per far sapere quali dati vengono raccolti e come vengono utilizzati. Le informazioni sono ora più dettagliate ed esplicite.

Google Analytics, tuttavia, non rispetterebbe le norme europee sul trasferimento dei dati, considerando insufficienti le misure tecniche, organizzative e contrattuali adottate da Google: la questione si contestualizza nelle attività successive alla sentenza Schrems II che ha dichiarato illegittimo l’accordo Privacy Shield tra Bruxelles e Washington.

Per lo stesso motivo, il GEPD ricorda che Google Analytics deve essere considerato un “processore” ai sensi dell’articolo 28 del GDPR, ma sottolinea anche che ciò non significa che sia soggetto a tutte le disposizioni di tale regolamento. Infatti, se una società desidera trattare i dati personali per conto di un’altra entità (in questo caso Google), allora deve assicurare che ci siano garanzie appropriate per una protezione adeguata di tali dati (articoli 32-36).

Sulla scia di questa decisione, le autorità austriache hanno chiesto a Google di conformarsi alle disposizioni del regolamento generale sulla protezione dei dati (GDPR) adottato nel 2018, in modo che gli utenti possano ottenere accesso, rettifica o cancellazione e portabilità dei dati.

A tal fine, Google ha dovuto fornire una copia di tutti i dati trattati per conto di ogni utente.

L’autorità DSB ha già pubblicato un primo rapporto di ispezione sull’argomento. Le conclusioni sono devastanti per Google, che non rispetterebbe le regole europee sul trasferimento dei dati. Infatti, il GEPD ricorda che la sentenza Schrems II ha dichiarato invalido l’accordo “Privacy Shield” tra l’UE e gli Stati Uniti in materia di trasferimenti di dati personali. Il GEPD invita quindi Google a compiere ulteriori sforzi per conformarsi alle norme europee.

Cos’è il Privacy Shield e quando è stato abolito ?

Lo scudo per la privacy GDPR è un accordo che ci permette di inviare i vostri dati negli Stati Uniti.

Lo scudo per la privacy GDPR è un nuovo quadro per i flussi di dati transatlantici tra gli Stati Uniti e l’UE. È “scudo per la privacy” perché protegge i dati personali quando vengono inviati dall’UE alle aziende statunitensi. L’accordo sostituisce un vecchio quadro, chiamato “safe harbor”, che è stato utilizzato da migliaia di aziende statunitensi dal 2000. safe harbor è stato abolito perché non era abbastanza forte nel proteggere le informazioni.

Lo scudo per la privacy GDPR funziona diversamente da safe harbor. Utilizza poteri di applicazione più forti e politiche più severe per le aziende americane che gestiscono i dati dei cittadini dell’UE. Questo farà in modo che le tue informazioni personali siano gestite bene e utilizzate solo per motivi legali.

Lo scudo per la privacy GDPR è entrato in vigore il 12 luglio 2016, ma da allora è stato controverso. Nel settembre 2017, i regolatori della privacy dell’UE hanno deciso che l’accordo non è abbastanza forte nel proteggere le informazioni delle persone. Hanno detto che avrebbero agito per sospendere l’accordo se non fossero stati fatti più cambiamenti entro settembre 2018.

Quali sono i rischi e le sanzioni per chi non rispetta il GDPR ?

In primis bisogna ragionare nell’ottica che se esistono violazioni è probabile che ci possano essere ripercussioni e sanzioni.
Ad esempio ecco una recente lista di avvenimenti:
9 giugno 2021: Garante Privacy italiano blocca l’app IO di PagoPA Spa anche per esportazione dati fuori EU (utilizzando anche Google Cloud a prescindere dalla location server in Europa o negli USA).
15 dicembre 2021: blocco esportazione dati extra EU in Germania per uso tecnogia USA nella filiera di servizio per la gestione consenso ai cookie.
22 dicembre 2021: in Austria il Garante blocca Analytics di Google ritenendo vada contro il GDPR per la stessa ragione.
A distanza di 1.5 anni dal 16 luglio 2020, data in cui la Corte di Giustizia Europea invalidava il Privacy US Shield, le aziende europee, ancora largamente non hanno capito l’andazzo.

Il GDPR è un grosso problema. Infatti, le multe possono essere enormi – fino al 4% delle entrate annuali globali di un’azienda o 20 milioni di euro, a seconda di quale sia il maggiore. Non vuoi rischiare di violare il GDPR, il che significa che devi sapere cosa dice e come si applica alla tua azienda.

Il regolamento generale sulla protezione dei dati (GDPR) è un regolamento con cui gli stati membri dell’Unione Europea stabiliscono standard comuni di protezione dei dati per i cittadini europei per quanto riguarda la raccolta dei dati personali. Regola anche l’esportazione dei dati personali al di fuori dell’UE.

 

 

Hai dei dubbi? Non sai da dove partire? Contattaci


Abbiamo tutte le risposte alle tue domande per aiutarti nella giusta scelta.

Scrivici

Chatta direttamente con il nostro supporto tecnico.

0256569681

Chiamaci subito negli orari d’ufficio 9:30 – 19:30

Ricevi assistenza

Apri un ticket direttamente nell’area di supporto.

INFORMAZIONI

ManagedServer.it è il principale provider italiano di soluzioni hosting ad alte performance. Il nostro modello di sottoscrizione ha costi contenuti e prevedibili, affinché i clienti possano accedere alle nostre affidabili tecnologie di hosting, server dedicati e cloud. ManagedServer.it offre, inoltre, eccellenti servizi di supporto e consulenza su Hosting dei principali CMS Open Source come WordPress, WooCommerce, Drupal, Prestashop, Magento.

Torna su