Il Garante Privacy, con un comunicato stampa del 23 giugno 2022, ha affermato che il servizio Google Analytics, senza le garanzie previste dal Regolamento Ue, viola la normativa sulla protezione dei dati in quanto trasferisce le informazioni degli utenti negli Stati Uniti, considerati paese privo di un adeguato livello di protezione.
Tale decisione è avvenuta a seguito di una complessa istruttoria dalla quale è emerso che i gestori dei siti web che utilizzano GA raccolgono, mediante cookie, informazioni sulle interazioni degli utenti con i predetti siti, le singole pagine visitate e i servizi proposti. Tra i molteplici dati raccolti figura in particolare l’indirizzo IP del dispositivo dell’utente, il quale costituisce, a detta del Garante, un dato personale del soggetto.
È stato evidenziato, quindi, come le Autorità governative e le agenzie di intelligence statunitensi abbiano facoltà di accedere ai dati personali trasferiti senza le dovute garanzie, rilevandosi al riguardo che, alla luce delle indicazioni fornite dall’EDPB (Raccomandazione n. 1/2020 del 18 giugno 2021), le misure che integrano gli strumenti di trasferimento adottate da Google non garantiscono, allo stato, un adeguato livello di protezione dei dati personali degli utenti.
In conclusione, l’Autorità ha richiamato all’attenzione tutti i gestori italiani di siti web, pubblici e privati, in relazione all’illiceità dei trasferimenti effettuati verso gli Stati Uniti attraverso GA e invitato tutti i titolari del trattamento a verificare la conformità delle modalità di utilizzo di cookie e altri strumenti di tracciamento utilizzati sui propri siti web, con la normativa in materia di protezione dei dati personali.