A seguito di un'ispezione su larga scala da parte del Commissario sassone per la protezione dei dati e la trasparenza (SDTB), oltre 1.500 operatori di siti web hanno migliorato i requisiti di protezione dei dati sui loro siti. In particolare, è stato necessario correggere l'uso non conforme di Google Analytics. A cosa devono prestare attenzione le aziende.
30.000 siti web in Sassonia controllati per violazioni del GDPR
Nel maggio 2024, l'autorità di vigilanza sulla protezione dei dati ha controllato circa 30.000 siti web di provider sassoni. L'uso illegale di Google Analytics è stato contestato a 2.300 gestori di siti web. I visitatori del sito web non avevano precedentemente acconsentito all'impostazione dei cookie analitici o alla creazione di una connessione al server di Google Analytics.
"Le scansioni automatizzate dei siti web effettuate dalla mia autorità non solo hanno identificato un gran numero di violazioni della protezione dei dati, ma nel frattempo hanno anche eliminato la maggior parte di esse. Due terzi dei siti web identificati ora non utilizzano Google Analytics per tracciare il comportamento degli utenti e non chiedono prima un consenso esplicito", afferma Juliane Hundert, responsabile della protezione dei dati della Sassonia.
Tra le altre cose, le consultazioni dell'autorità hanno rivelato che un numero considerevole di banner di cookie spesso non faceva ciò che le impostazioni promettevano agli utenti. In alcuni casi, i servizi venivano eseguiti e i cookie venivano impostati anche se le impostazioni segnalavano "off". Molti dei responsabili non ne erano consapevoli.
L'uso di Google Analytics non è un interesse legittimo
Per quanto riguarda in particolare l'utilizzo di Google Analytics, l'SDTB desidera sottolineare che il consenso dei visitatori del sito web è richiesto sia dal GDPR che dalla legge sulla protezione dei dati dei servizi digitali di telecomunicazione (TDDDG).
Secondo l'autorità di vigilanza, la ponderazione degli interessi ai sensi dell'art. 6 cpv. 1 lett. f GDPR ("tutela dei legittimi interessi del titolare del trattamento o di terzi") deve sempre essere effettuata a favore degli utenti di un sito web nel caso di servizi di analisi come Google Analytics. Secondo la SDTB, tale bilanciamento di interessi è a favore del visitatore nel caso di analisi web personalizzata dei visitatori del sito web, poiché il monitoraggio mirato e approfondito del comportamento rappresenta un'importante intrusione nella privacy del visitatore del sito web.
"Un'osservazione permanente e approfondita del comportamento individuale e la raccolta di questi dati in un gran numero di app e siti web contraddice le ragionevoli aspettative dei visitatori del sito web riguardo alla portata del trattamento in questione e ai suoi effetti", spiega ancora l'autorità di vigilanza.
A causa di questi interessi preponderanti dei visitatori del sito web, il funzionamento di Google Analytics sulla base di un interesse legittimo del gestore del sito web non è possibile dal punto di vista dell'autorità di vigilanza. È pertanto necessario un consenso esplicito.
Suggerimento di lettura: L'EDPB pubblica le linee guida sul legittimo interesse
Il consenso è sempre richiesto quando si utilizza Google Analytics
Ciò vale anche per l'impostazione e la lettura dei cookie e dei cosiddetti oggetti di memorizzazione ai sensi del § 25 TDDSG. Per questo trattamento sono generalmente necessari un'informazione chiara e completa e il consenso, a meno che non si applichi l'eccezione di cui all'art. 25 (2) n. 2 TDDSG. In base a ciò, la memorizzazione e la lettura dovrebbero essere assolutamente necessarie affinché il fornitore di un servizio digitale possa fornire un servizio digitale espressamente richiesto dall'utente. "Questo non è chiaramente il caso di Google Analytics. In quanto servizio di analisi aggiuntivo senza alcuna necessità riconoscibile, il servizio richiede chiaramente il consenso", afferma la SDTB.
Di conseguenza, il consenso deve essere ottenuto in conformità sia al GDPR che, ove applicabile, al TDDSG. Questi consensi possono essere ottenuti in modo combinato, ossia in un'unica fase, se le basi giuridiche e le operazioni di trattamento sono chiaramente indicate.
In caso contrario o se il servizio non è richiesto, Google Analytics deve essere disattivato e i dati raccolti senza autorizzazione devono essere cancellati.
L'utilizzo di Google Analytics senza consenso costituisce un reato in materia di protezione dei dati che può essere punito dall'autorità di vigilanza competente con misure di controllo fino a un'ammenda.
Fonte: Comunicazione del Commissario per la protezione dei dati e la trasparenza in Sassonia
Avete bisogno di una consulenza sull'utilizzo conforme al GDPR di Google Analytics e sull'implementazione dei cookie? Allora contattateci:
Tel: +39 045 475 7198
E-mail: verona@2b-advice.com