Il Garante su Google Analytics

Con provvedimento del 9 giugno 2022 [doc. web n. 9782890], oggetto del comunicato stampa del 23 giugno 2022, il Garante per la Protezione dei Dati Personali ha dichiarato illecito il trattamento di dati personali effettuato dal gestore di un sito web tramite Google Analytics, nonché rivolto al gestore medesimo l'ammonimento e l'ingiunzione di conformare il trattamento al Capo V del GDPR entro il termine di 90 giorni, ordinando nel contempo la sospensione dei flussi di dati personali verso Google LLC.

In questo provvedimento, il Garante ha preso posizione nei confronti di tale strumento di web analytics, evidenziando tutta una serie di considerazioni che interessano il trasferimento di dati verso gli Stati Uniti ed i principi adottati dalla Corte di Giustizia nella sentenza del 16 luglio 2020 C-311/18 c.d. Schrems II (per ulteriori info leggi questo contributo).

Tra le varie, il Garante ha considerato che:

  • le condizioni contrattuali di Google Analytics individuano (dal 1° maggio 2021) Google Ireland Ltd e non più Google LLC come contraente dello strumento; in tale quadro, seppure Google Ireland Ltd sia individuata quale responsabile del trattamento, Google LLC resta sostanzialmente sub-responsabile verso cui si realizza un flusso di dati personali;

  • le misure adottate da Google sono inidonee ad impedire alle Autorità statunitensi di accedere ai dati trattati tramite Google Analytics in forza della legislazione e della prassi statunitensi applicabili e dei relativi programmi di sorveglianza ("FISA 702");

  • la funzione di anonimizzazione dell'IP ("IP Anonymization") è ritenuta una forma di pseudonimizzazione piuttosto che di anonimizzazione, anche a fronte del fatto che l'incrocio dei dati in possesso di Google permette una re-identificazione dell'utente, a maggior ragione se la navigazione avvenga con account Google attivo;

  • le ulteriori misure, quali la cifratura dei dati, sarebbero nondimeno inidonee a fronte del fatto che le relative chiavi rimarrebbero nella disponibilità dell'importatore dei dati.

Peraltro, in considerazione dell'assenza di altre violazioni precedenti in capo al gestore del sito web destinatario del provvedimento, della natura colposa della condotta, della natura dei dati trattati (non particolari), della leale collaborazione prestata verso l'Autorità, il Garante ha ritenuto trattarsi di “violazione minore” limitando le sanzioni a quelle non pecuniarie.


Cervato Law & Business s.r.l. Società tra Avvocati