Il Garante ha voluto, in tale contesto, prendere una serie di provvedimenti, in particolare ha ammonito una società d’informazione definendo tale atto “il primo di una serie di provvedimenti”, ingiungendo alla stessa di conformarsi per il trasferimento dati al Regolamento europeo entro novanta giorni ed utilizzando tale provvedimento come una sorta di avvertimento a tutte le altre società pubbliche e private che utilizzano il tool di Google violando il GDPR. Tali tipologie di trasferimenti infatti, in quanto effettuati verso un paese terzo che non garantisce un livello di protezione adeguato (ossia gli USA), ai sensi della normativa di protezione dei dati, devono essere posti in essere in conformità al Capo V del Regolamento.
Dall’indagine del Garante è emerso che i gestori dei siti web che utilizzano Google Analytics raccolgono, mediante cookies, informazioni sulle interazioni degli utenti con i predetti siti, le singole pagine visitate e i servizi proposti. Tra i molteplici dati raccolti, indirizzo IP del dispositivo dell’utente ed informazioni relative al browser, al sistema operativo, alla risoluzione dello schermo, alla lingua selezionata, nonché data e ora della visita al sito web. Tali informazioni sono risultate oggetto di trasferimento verso gli Stati Uniti. Nel dichiarare l’illiceità del trattamento è stato ribadito che l’indirizzo IP costituisce un dato personale e anche nel caso fosse troncato non diverrebbe un dato anonimo, considerata la capacità di Google di arricchirlo con altri dati di cui è in possesso.
Con l’occasione l’Autorità ha, quindi, richiamato all’attenzione tutti i gestori italiani di siti web, pubblici e privati, sull’illiceità di tali modalità di trasferimento verso gli USA “anche in considerazione delle numerose segnalazioni e quesiti che stanno pervenendo all’Ufficio”, invitando tutti i titolari del trattamento a verificare la conformità delle modalità di utilizzo di cookie e altri strumenti di tracciamento utilizzati sui propri siti (ed il nostro Studio Legale è sempre disponibile a coadiuvare il cliente nel percorso di controllo). Si rammenta sul punto che, in attuazione del principio di accountability con riferimento ai trasferimenti di dati verso paesi terzi, è posto in capo al titolare, in qualità di esportatore, la responsabilità di verificare, caso per caso e, ove necessario, in collaborazione con l’importatore nel paese terzo, se la legge o la prassi di quest’ultimo incidano sull’efficacia delle garanzie adeguate contenute negli strumenti di trasferimento di cui all’art. 46 del Regolamento. In tali casi, l’esportatore è tenuto ad adottare, in applicazione di tale principio, misure supplementari che consentano all’importatore di rispettare gli obblighi previsti al fine di assicurare che il livello di protezione delle persone fisiche garantito dal Regolamento non sia pregiudicato.
