I garanti della privacy di Italia, Austria e Francia avevano confermato che Google Analytics non rispetta il GDPR (Regolamento generale sulla protezione dei dati). L’autorità svedese ha invece deciso di sanzionare due aziende locali.
Google Analytics invia i dati negli USA
La decisione del garante della privacy svedese è conseguenza della denuncia presentata da noyb, organizzazione guidata dal noto avocato Max Schrems. Mentre Italia, Austria e Francia hanno solo ordinato alle aziende di non usare più Google Analytics, la Svezia ha inflitto le prime sanzioni.
Il servizio di Google, come quelli offerti da Meta, Amazon e Microsoft, trasferisce i dati degli utenti negli Stati Uniti sulla base delle clausole contrattuali standard. Questo trasferimento non rispetta il GDPR e soprattutto la famosa sentenza Schrems II della Corte di Giustizia dell’Unione europea che ha invalidato l’accordo Privacy Shield tra Europa e Stati Uniti.
Il garante svedese ha esaminato i casi di CDON, Coop, Dagens Industri e Tele2. Dato che le misure tecniche implementate dalle quattro aziende non garantiscono un sufficiente livello di protezione dei dati inviati negli Stati Uniti, l’autorità ha ordinato di non usare più Google Analytics. Tele2 ha già rispettato l’ordine, ma dovrà pagare una multa di 12 milioni di corone (circa un milione di euro). Una sanzione di 300.000 corone (circa 25.400 euro) è stata invece inflitta a CDON.
Un portavoce di Google ha dichiarato:
Le persone vogliono che i siti web che visitano siano ben progettati, facili da usare e rispettosi della loro privacy. Google Analytics aiuta gli editori a capire quanto bene i loro siti e le loro app funzionano per i loro visitatori, ma non identificando le persone o monitorandole sul web. Queste organizzazioni, non Google, controllano quali dati vengono raccolti con questi strumenti e come vengono utilizzati. Google aiuta fornendo una serie di tutele, controlli e risorse per la conformità.
Come era già noto, la responsabilità cade sulle spalle degli editori (gestori dei siti web). Sono loro che riceveranno le multe, non Google. A partire dal 1 luglio è necessario utilizzare Google Analytics 4 che dovrebbe garantire una maggiore privacy. È possibile anche sfruttare le alternative disponibili.
Europa e Stati Uniti hanno annunciato un nuovo accordo, denominato Data Privacy Framework. L’organizzazione noyb afferma che è praticamente identico al precedente, quindi verrà sicuramente bocciato dalla Corte di Giustizia dell’Unione europea.