Per coincidenza di date, proprio il giorno dopo la segnalazione di MonitoraPA il Garante Privacy pubblica un provvedimento risalente ad un reclamo di agosto 2020 con cui ha dichiarato l’illiceità del trattamento dei dati personali degli utenti di un sito web “posto in essere, per il tramite di Google Analytics”, ammonendo il titolare e ordinando la sospensione del flusso dati verso gli Stati Uniti fino all’adozione di “misure supplementari adeguate”.
La natura di dato personale dell’indirizzo IP viene ribadita, mentre la IP-Anonymization fornita da Google viene qualificata come pseudonimizzazione e per l’effetto “consente comunque la possibile re-identificazione dell’utente” non potendo costituire così un livello di protezione adeguato per il trasferimento verso gli Stati Uniti.
Circa la sussistenza del profilo della responsabilità del titolare pur in mancanza di un’autonomia circa le decisioni riguardanti il trasferimento di dati verso paesi terzi, in virtù di una carenza di forza contrattuale nei confronti del fornitore di servizi, assumono particolare rilievo due passaggi all’interno del provvedimento. Un primo, per cui il ruolo soggettivo di titolare del trattamento impone “anche nel contesto dei trasferimenti transfrontalieri, misure adeguate ed efficaci a tutela dei diritti e delle libertà degli interessati e ad essere in grado di dimostrare la conformità delle stesse al Regolamento”, e il secondo per cui “l’asimmetria di potere contrattuale derivante dalla primaria posizione di mercato assunta da Google nel settore dei servizi di web analytics– ha erroneamente assunto come idonee, sulla base delle informazioni rese da Google, le misure supplementari adottate da quest’ultima senza esercitare alcun potere decisionale in merito alle stesse.”. Pertanto: sebbene una responsabilità esista e sia imprescindibile, le circostanze di fatto sono state valutate per determinare l’an sanzionatorio e qualificare la condotta come “violazione minore”.
Nel comunicato stampa, il Garante “richiama all’attenzione di tutti i gestori italiani di siti web, pubblici e privati, l’illiceità dei trasferimenti effettuati verso gli Stati Uniti attraverso GA, anche in considerazione delle numerose segnalazioni e quesiti che stanno pervenendo all’Ufficio.”. L’indicazione fornita nei confronti della generalità dei titolari del trattamento è “verificare la conformità delle modalità di utilizzo di cookie e altri strumenti di tracciamento utilizzati sui propri siti web, con particolare attenzione a Google Analytics e ad altri servizi analoghi, con la normativa in materia di protezione dei dati personali.”.
Viene annunciata inoltre un’attività ispettiva specifica di controllo di conformità dei trasferimenti di dati effettuati alla scadenza del termine assegnato alla società destinataria del provvedimento di ammonimento ai sensi dell’art. 58.2 lett. b) GDPR di 90 giorni per dare attuazione alle misure indicate e fornire un riscontro documentato a riguardo.
