El pasado día 23 de junio la Autoridad de Control Italiana a través de su página web a comunicado que deja de utilizar las cookies de Google Analytics ya que se realizan transferencias internacionales de datos sin garantías adecuadas. Con este anuncio se suma a la Autoridad Austríaca y a la Francesa en dicho posicionamiento.
El sitio web que utiliza el servicio Google Analytics (GA), sin las garantías previstas por el Reglamento de Protección de datos 2016/679, viola la legislación de protección de datos porque transfiere datos de los usuarios a los Estados Unidos, un país sin un nivel adecuado de protección.
Así lo declaró el Garante de Privacidad (La Autoridad de Control Italiana) al final de una compleja investigación iniciada sobre la base de una serie de quejas y en coordinación con otras autoridades europeas de privacidad. La investigación del Garante mostró que los operadores de sitios web que utilizan GA recopilan, a través de cookies, información sobre las interacciones de los usuarios con los sitios antes mencionados, las páginas individuales visitadas y los servicios ofrecidos. Entre los muchos datos recopilados, la dirección IP del dispositivo del usuario y la información relacionada con el navegador, el sistema operativo, la resolución de la pantalla, el idioma seleccionado, así como la fecha y hora de la visita al sitio web. Esta información se transfirió a los Estados Unidos. Al declarar la ilegalidad del procesamiento, se reiteró que la dirección IP constituye datos personales e incluso si se truncara, no se convertiría en un dato anónimo, dada la capacidad de Google para enriquecerlos con otros datos que posee.
Como resultado de estas investigaciones, el Garante adoptó la primera de una serie de medidas por las que advirtió a Caffeina Media S.r.l. que gestiona un sitio web, ordenándole que cumpla con el Reglamento Europeo en un plazo de noventa días. El tiempo indicado se consideró apropiado para permitir al operador tomar las medidas apropiadas para la transferencia, bajo pena de suspensión de los flujos de datos realizados, a través de GA, a los Estados Unidos.
El Garante destacó, en particular, la posibilidad de que las autoridades gubernamentales y las agencias de inteligencia de los Estados Unidos accedan a los datos personales transferidos sin las garantías necesarias, señalando a este respecto que, a la luz de las indicaciones proporcionadas por la EDPB (Recomendación No 1/2020 de 18 de junio de 2021), las medidas que complementan las herramientas de transferencia adoptadas por Google no garantizan la transferencia.
En esta ocasión, la Autoridad señala a la atención de todos los administradores de sitios web italianos, públicos y privados, la ilegalidad de las transferencias realizadas a los Estados Unidos a través de GA, también teniendo en cuenta los numerosos informes y preguntas que están llegando a la Oficina. E invita a todos los Responsables de datos a verificar el cumplimiento de los métodos de uso de cookies y otras herramientas de seguimiento utilizadas en sus sitios web, con especial atención a Google Analytics y otros servicios similares, con la legislación sobre protección de datos personales.
Al final del período de 90 días asignado a la empresa que recibe la medida, el Garante procederá, también sobre la base de actividades de inspección específicas, a verificar el cumplimiento del Reglamento de protección de datos de la UE, de las transferencias de datos realizadas por los propietarios.
Roma, 23 de junio de 2022
Fuente: https://www.garanteprivacy.it
