– En nettside som bruker Google Analytics, uten sikkerhetstiltakene fastsatt i GDPR, bryter personvern-loven fordi den overfører brukeres data til USA, et land som mangler tilstrekkelig databeskyttelse.
Det skriver det italienske datatilsynet Garante i en pressemelding torsdag.
I tett samarbeid med andre datatilsyn i Europa har Garante gjennomført det de beskriver som en «kompleks undersøkelse» basert på flere klager.
Konklusjonen: Nettsider som bruker Google Analytics samler, gjennom informasjonskapsler, informasjon om brukeres interaksjon med nettsidene, besøkte sider og tjenester. Dataene som blir samlet inkluderer IP-adresser, nettleser-informasjon, operativsystem, skjermoppløsning, språkvalg, dato og tidspunkt. Denne informasjonen blir overført til USA, noe som er ulovlig etter Schrems II-kjennelsen.
Google lover bedre datakontroll til visse Workspace-kunder
Ikke nok å anonymisere IP-adresse
– IP-adressen er persondata og ble ikke anonymisert, selv om den ble avkortet – gitt Googles evner til å berike slike data gjennom tilleggsinformasjon de allerede sitter på, skriver Garante.
De følger dermed både Østerrike og Frankrike, som har konkludert med at anonymiseringen Google tilbyr gjennom å fjerne en del av sifrene i IP-adressen, ikke er nok.
Østerrike parkerte i sitt siste vedtak både argumentene om anonymisering og risikobasert tilnærming som irrelevante.
Venter på ny transatlantisk data-avtale
25. mars sto USAs president Joe Biden, og EU-kommisjonens president Ursula von der Leyen sammen på talerstolen og la stolt frem at de hadde «blitt enige om en enestående avtale for beskyttelse av personvernet til våre innbyggere».
Nyheten ga håp om etterlengtet juridisk klarhet etter at Schrems II-dommen i 2020 slo fast at Privacy Shield, avtalen som sikret lovlig utveksling av persondata over Atlanterhavet, var ugyldig.
En slik avtale ville igjen gjøre bruk av verktøy som Google Analytics uproblematisk.
Men allerede før avtaleteksten er på plass, varsler personvernforkjempere at de vil sørge for å få prøvet det nye «transatlantiske personvern-rammeverket» i retten. Det kan dermed ta flere år før en reell ny dataoverføringsavtale er klar.
Brukere av Google Analytics må uansett belage seg på å se etter alternative webanalyseverktøy ettersom verktøyet, slik vi kjenner det, blir slått av i 2023.
Advarer nettstedeiere
Selskapet Garante har behandlet klagen på, har nå 90 dager på seg til å endre egen praksis. Garante benytter anledningen til å sende en advarsel til alle italienske nettstedeiere.
– Det italienske datatilsynet ønsker å gjøre alle italienske nettstedoperatører, både private og offentlige, oppmerksomme på at det er ulovlig å overføre data til USA gjennom bruk av GA, skriver Garante.
Samtykket har fått en renessanse