Qualche testata, anche specialistica, ha parlato di una pronunzia di portata devastante, innovativa se non di precedente storico. Ma la decisione del Garante Privacy nei confronti di Caffeina Magazine è, prima di tutto un’importante occasione di riflessione.
Alcune piccole ma essenziali precisazioni.

Garante privacy e Google Analytics: una prima specifica

Come ogni provvedimento dell’Autorità Giudiziaria e di quella amministrativa in Italia, la decisione riguarda solo il diretto interessato. Il suo destinatario che, nella fattispecie, è una società che gestisce una pagina internet di informazioni corredate da una buona dose di inserzioni pubblicitarie.

Anche se sono fondati i timori per il futuro uso di Google Analytics da parte di altri gestori di pagine web questi non sono, per il momento, direttamente interessati alla vicenda. Giuste in ogni caso le loro preoccupazioni.

Per saperne di più > Il Garante Privacy vieta (per ora) l’uso di Google Analytics

Il Garante non ha sanzionato, ma ammonito la società

Il lungo e corposo provvedimento, non ha sanzionato, se non con una ammonizione, la Società. Ha preso una decisione più significativa che pone alcuni interrogativi.Ed invero l’ammonizione è giunta dopo la dichiarazione dell’illiceità del trattamento in quanto:

• i dati non venivano trattati in maniera lecita, corretta e trasparente (Art. 5, 1.a),
• gli interessati non erano informati della possibilità di trasferimento all’estero dei loro dati (Art. 13, 1f),
• la Società non aveva adempiuto ai suoi doveri di Titolare del Trattamento (Art. 24) ed era venuta meno ai propri obblighi in materia di trasferimento dati all’estero.

Una serie di comportamenti che avrebbero dovuto indurre un altro tipo di decisione ed una sanzione più grave; magari economica. Invece il Garante ha disposto che la Società dovrà conformarsi al Capo V del GDPR proprio in materia di trasferimento dati all’estero. Il Garante ha ribadito l'obbligo di sospendere l'invio di dati negli Stati Uniti e di comunicare entro novanta giorni le iniziative intraprese.

Una decisione cerchiobottista? Probabilmente sì nell’attesa della possibile (se non certa) reazione di Google e, forse, di altri grandi operatori della rete.

Il provvedimento del Garante: cosa dice riguardo all'uso di Google Analytics

Nel suo provvedimento il Garante privacy ha sottolineato che l’uso da parte dei siti web del servizio di Google Analytics senza le garanzie previste dal GDPR, determina il trasferimento dei dati in uno Stato che non offre adeguati livelli di protezione. Sicuramente, il provvedimento è stato influenzato dal fatto che, notoriamente, la quasi totalità degli operatori usa questo strumento di profilazione messo a disposizione dal più grande motore di ricerca della rete.

Siamo quindi in attesa non solo dei provvedimenti che vorrà prendere la Società sanzionata, ma anche quelli delle autorità statunitensi e italiane sulle modalità di invio dei dati negli States e del loro successivo trattamento e protezione. Nel frattempo, tutte le aziende italiane che usano questo strumento devono cercare di predisporre un “Piano B” per ottenere le stesse performance in maniera lecita e, forse, con altre modalità, ma sempre nel rispetto del GDPR e prestando attenzione a chi può lamentarsi e far avviare altre procedure che, forse, potranno portare a sanzioni più severe.

C'è un aspetto che emerge, infatti dalla lettura del provvedimento, che non è pienamente considerato. Vale a dire che il Garante italiano ha avviato l’istruttoria a seguito di un reclamo presentato dal signor XX. È pur vero che si parla di “serie di segnalazioni”, ma ricordiamo che è sufficiente l’iniziativa di un qualsiasi signor Rossi (che potrebbe essere un cliente insoddisfatto o un competitor di mercato) ed ecco che una segnalazione può essere la pallina di neve che da origine alla valanga.