Nakon što je francuski CNIL odlučio proglasiti Google Analytics neusklađenim s GDPR-om, nakon kazne EDPS-a (European Data Protection Supervisor) Europskom parlamentu, istovjetne oštre odluke austrijskog nadzornog tijela za zaštitu podataka te oštrih stavova i otvorenih istraga u Norveškoj i Nizozemskoj, sada je i talijansko nadzorno tijelo za zaštitu osobnih podataka Garante proglasilo Google Analytics nezakonitim.
 
Zašto?
 
Garante na svojoj web stranici javno je objavilo stajalište da svaka web stranica koja koristi Google Analytics bez dodatnih zaštitnih mjera krši GDPR jer se putem Google Analytics prenose osobni podaci korisnika u SAD kao zemlju bez odgovarajuće razine zaštite osobnih podataka.
 
Garante je utvrdio da su web stranice koje koriste GA prikupljale putem kolačića informacije o interakcijama korisnika, stranicama koje posjećuju i o kakvim se ponuđenim uslugama radi na tim stranicama. Širi skup osobnih podataka prikupljen na taj način uključuje IP adresu korisničkog uređaja zajedno s informacijama o pregledniku, operativnom sustavu, razlučivosti zaslona, ​​odabranom jeziku, datumu i vremenu gledanja stranice.
 
Utvrđeno je da se te informacije prenose u SAD.
 
Prilikom utvrđivanja činjenica o nezakonitosti Google Analytics, Garante je naveo jedno vrlo značajno stajalište - IP adresa je osobni podatak i da, iako je u nekim slučajevima "skraćena" ili su zadnje znamenke IP adrese anonimizirane, ovdje se ipak ne radi o stvarnoj anonimizaciji s obzirom na Googleove mogućnosti da takve podatke obogati dodatnim informacijama koje posjeduje o istom korisniku, temeljem čega ga može jednoznačno identificirati i pratiti na internetu.
 
Garante je posebno istaknuo da vladine i obavještajne agencije sa sjedištem u SAD mogu pristupiti osobnim podacima koji se prenose bez potrebnih zaštitnih mjera.
 
U tom je pogledu istaknuo da mjere koje je Google usvojio za dopunu instrumenata prijenosa podataka nisu osigurale odgovarajuću razinu zaštite osobnih podataka korisnika u svjetlu smjernica EDPB-a br. 1/2020 od 18. lipnja 2021.
 
Garante ovom objavom skreće pozornost svim vlasnicima talijanskih web stranica, javnih i privatnih, na nezakonitost prijenosa podataka u SAD kao rezultat korištenja Google Analytics i poziva sve njih da provjere da je upotreba kolačića i drugih alata za analitiku na njihovim web stranicama u skladu s GDPR-om, a to se posebno odnosi na Google Analytics i slične usluge.
 
Nakon isteka roka od 90 dana navedenog u svojoj odluci, talijansko nadzorno tijelo će provjeriti jesu li sporni prijenosi podataka u skladu s GDPR-om, uključujući i ad-hoc inspekcije.
 
Objava na web stranici Garante nadzornog tijela:
 
https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9782874#english