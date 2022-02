Il CNIL (Commission nationale de l’informatique et des libertés), corrispondente transalpino del nostro Garante Privacy, ha recentemente stabilito che Google Analytics non offrirebbe sufficienti garanzie riguardo alla possibilità che i dati raccolti non vengano inviati al Governo statunitense.

Stando così le cose l’uso del servizio da parte dei siti Web potrebbe rappresentare una violazione di quanto previsto dall’articolo 44 del GDPR (General Data Protection Regulation).

Cosa prevede il GDPR

Il regolamento europeo per la protezione dei dati personali stabilisce infatti che la condivisione dei dati di cittadini residenti negli stati membri dell’Unione Europea con realtà estere può essere effettuata unicamente se in queste ultime sono in vigore normative equivalenti sulla tutela della privacy.

Di fatto tale disposizione impedirebbe che un’attività di questo tipo possa essere effettuata verso gli Stati Uniti in quanto le leggi sui dati personali adottate negli USA sono per molti versi più permissive se confrontate con il GDPR. Ne consegue che, potendo ipotizzare finalità di trattamento differenti da quelle non consentite nel Vecchio Continente, l’uso di Google Analytics non dovrebbe essere consentito.

Nel prendere la sua decisione l’Authority francese avrebbe riconosciuto gli sforzi fatti da Mountain View per introdurre maggiori livelli di protezione a favore dei dati, nonostante ciò non potrebbe essere esclusa la possibilità che i servizi di intelligence USA possano utilizzare tali informazioni secondo modalità non consentite in Europa.

Statistiche e anonimato

Per il CNIL, il discorso riguardante la conformità con i dettami del GDPR delle piattaforme che consentono la registrazione di statistiche sul traffico non si esaurirebbe con il divieto di utilizzare Google Analytics, per questa ragione sarebbe in corso un programma di valutazione volto a capire quali altre piattaforme potrebbero operare in contrasto con l’articolo 44 (e non solo).

In ogni caso i siti Web interessati da questo pronunciamento avranno un mese di tempo per garantire il massimo livello di compliance possibile anche dal punto di vista dell’utilizzo di strumenti per le statistiche. Da questo punto di vista un requisito fondamentale riguarda l’anonimizzazione dei dati, le informazioni raccolte non devono essere infatti utilizzabili per procedure di profilazione dei singoli utenti.

E’ comunque utile sottolineare che la Francia non è stato l’unico Paese europeo a concentrare la propria attenzione sui servizi che consentono di esportare dati verso gli Stati Uniti.

Iniziative dello stesso tipo sono state registrate ad esempio in Austria, dove un movimento guidato dall’attivista Max Schrems ha portato la Corte di Giustizia Europea a rivedere gli accordi tra UE e USA sul Privacy Shield proprio in considerazione del fatto che quest’ultimo non avrebbe garantito una protezione sufficiente ai dati veicolati verso i server collocati Oltreoceno.