Il Garante svedese sanziona due società per utilizzo di Google Analytics

di Giovanni Maria Riccio

L’Autorità di controllo svedese (IMY) ha emanato un provvedimento contro quattro imprese, sanzionandone due, che utilizzavano Google Analytics per esaminare le statistiche sui visitatori dei rispettivi siti.

L’ispezione ha preso le mosse da una segnalazione fatta dalla associazione None of Your Business (NOYB), alla luce della sentenza Schrems II della Corte europea, per trasferimento illegittimo di dati personali dall’Europa agli Stati Uniti.

Ai sensi del GDPR, il trasferimento dei dati personali fuori dal territorio europeo è ammesso in presenza di una decisione di adeguatezza della Commissione europea, oppure sulla base di standard contractual clauses (ossia clausole dettate dalla Commissione stessa, per mezzo delle quali le parti assumono determinati impegni nelle attività di trasmissione dei dati), oppure sulla base di binding corporate rules (ossia regole interne ai gruppi societari).

Nel caso di specie, venuta meno la decisione di adeguatezza per gli Stati Uniti, a seguito della già ricordata sentenza Schrems II, l’utilizzo di Google Analytics avveniva utilizzando standard contractual clauses. Tuttavia, come ricordato anche dalla Corte di Giustizia, tali clausole contrattuali standard potrebbero dover essere integrate con ulteriori misure di protezione, al fine di assicurare un livello adeguato di tutela.

Nel caso di specie, il garante svedese ha ritenuto che l’utilizzo di Google Analytics, pur in presenza di accordi contrattuali, avrebbe dovuto essere integrato da ulteriori misure, che invece non sono state adottate dalle società ispezionate.

L’autorità, oltre a irrogare una sanzione pecuniaria a due delle quattro società, ha imposto anche la cessazione del trattamento (ossia di non utilizzare ulteriormente Google Analytics) e la distruzione dei dati raccolti.

Occorre precisare, però, che l’indagine dell’autorità svedese è stata relativa alla versione di Google Analytics del 14 agosto 2020. Pertanto, il provvedimento nulla dice sulla legittimità delle nuove versioni rilasciate dalla società di Mountain View e, in particolare, su GA4 (Google Analytics 4), che dovrebbe assicurare maggiore aderenza alle previsioni normative europee e una migliore protezione dei dati personali degli utenti, né sulla necessità, in caso di utilizzo di tali ultime versioni, di integrarle per mezzo di ulteriori misure di sicurezza.