È un provvedimento destinato a far discutere ancora per molto tempo quello adottato lo scorso 9 giugno 2022 dal Garante Privacy in cui non solo ha dichiarato l’illiceità del trattamento dei dati personali degli utenti del sito web di una società italiana per il tramite di Google Analytics (senza applicare al momento alcuna sanzione), ma ha altresì ingiunto a quest’ultima di conformare al Capo V del Regolamento UE 2016/679 il trattamento effettuato tramite tale servizio entro 90 giorni.

In realtà, sebbene si tratti di un provvedimento ad hoc, emerge con chiarezza che l’avviso del Garante sia rivolto a tutte quelle società e quegli enti che utilizzano, per i propri siti web, il servizio offerto da Google Analytics e, più in generale, quei servizi che comportano il trasferimento di dati personali al di fuori dell’Unione Europea, dello Spazio Economico Europeo (SEE) e verso Paesi terzi non coperti da una Decisione di Adeguatezza.

Non si tratta, tuttavia, di un divieto assoluto all’utilizzo di questi servizi, in quanto è bene ricordare che il trasferimento di dati personali fuori dall’UE, dal SEE o verso Paesi “non adeguati”, potrebbe essere effettuato ricorrendo agli adempimenti e/o alle condizioni previste dal Regolamento UE 2016/679.

Gli editori, per esempio, potranno continuare a utilizzare tali cookie, purché siano stipulate le Standard Contractual Clauses e siano adottate le cd. TOMS, cioè le misure tecniche e organizzative suggerite dall’EDPB, come ad esempio la cifratura dei cookie (garantendo che l’importatore – come Google – non abbia la chiave di cifratura) o la completa anonimizzazione dei dati.

Alla luce di tale provvedimento che soluzioni possono adottare le Società o gli Enti che, ad oggi, utilizzano tali cookie?

È essenziale che ciascuna Società o Ente cooperi attivamente non solo con il proprio consulente privacy, ma anche con il proprio servizio IT e/o con colui che gestisce il sito web, così da effettuare in primo luogo le necessarie verifiche di carattere tecnico, individuare la miglior soluzione e implementarla coerentemente con quanto previsto dalla normativa in materia di protezione dei dati personali.

Uno spunto di riflessione sulle possibili soluzioni lo ha recentemente offerto anche l’avvocato Guido Scorsa (componente del Garante), il quale ha individuato una piccola speranza nella nuova versione di Google Analytics – specificando che sarà comunque necessario effettuare una verifica di conformità rispetto a tale versione – e ha allo stesso tempo ammesso come forse la soluzione più efficace potrà essere raggiunta solo con un accordo tra l’Unione Europea e gli Stati Uniti.