Mengikuti jejak Austria dan Prancis, Otoritas Perlindungan Data Italia telah menjadi regulator terbaru yang menemukan penggunaan Google Analytics tidak sesuai dengan peraturan perlindungan data UE.
Garante per la Protezione dei Dati Personali, dalam siaran pers yang diterbitkan minggu lalu, menyerukan penerbit web lokal untuk menggunakan alat analitik yang banyak digunakan dengan cara yang memungkinkan bit kunci data pribadi pengguna ditransfer secara ilegal ke AS tanpa pengamanan yang diperlukan.
Ini termasuk interaksi pengguna dengan situs web, halaman individual yang dikunjungi, alamat IP perangkat yang digunakan untuk mengakses situs web, spesifikasi browser, detail yang terkait dengan sistem operasi perangkat, resolusi layar, dan bahasa yang dipilih, serta tanggal dan waktu kunjungan.
Otoritas pengawas Italia (SA) mengatakan bahwa mereka sampai pada kesimpulan ini setelah “latihan pencarian fakta yang kompleks” yang dimulai bekerja sama dengan otoritas perlindungan data UE lainnya.
Badan tersebut mengatakan transfer informasi pribadi melanggar undang-undang perlindungan data karena AS adalah “negara tanpa tingkat perlindungan yang memadai,” sambil menyoroti “kemungkinan otoritas pemerintah AS dan badan intelijen untuk mengakses data pribadi yang ditransfer tanpa jaminan.”
Situs web yang dimaksud, Caffeina Media SRL, telah diberi waktu 90 hari untuk beralih dari Google Analytics guna memastikan kepatuhan terhadap GDPR. Selain itu, Garante menarik perhatian webmaster terhadap pelanggaran hukum transfer data ke AS yang berasal dari penggunaan Google Analytics, merekomendasikan agar pemilik situs beralih ke alat pengukuran pemirsa alternatif yang memenuhi persyaratan GDPR.
“Setelah berakhirnya tenggat waktu 90 hari yang ditetapkan dalam keputusannya, SA Italia akan memeriksa apakah transfer data yang dipermasalahkan sesuai dengan GDPR UE, termasuk melalui inspeksi ad-hoc,” katanya.
Awal bulan ini, pengawas perlindungan data Prancis, CNIL, mengeluarkan panduan terbaru tentang penggunaan Google Analytics, mengulangi praktik tersebut sebagai ilegal menurut undang-undang Peraturan Perlindungan Data Umum (GDPR) dan memberi organisasi yang terpengaruh waktu satu bulan untuk mematuhinya.
“Penerapan enkripsi data oleh Google telah terbukti menjadi langkah teknis yang tidak memadai karena Google LLC mengenkripsi data itu sendiri dan memiliki kewajiban untuk memberikan akses atau menyediakan data impor yang dimilikinya, termasuk kunci enkripsi yang diperlukan untuk membuat data tersebut. dimengerti,” kata regulator.
Google mengatakan kepada TechCrunch bahwa mereka sedang meninjau keputusan terbaru. Pada Januari 2022, raksasa teknologi itu menekankan bahwa Google Analytics “tidak melacak orang atau membuat profil orang di internet” dan bahwa organisasi dapat mengontrol data yang dikumpulkan melalui layanan tersebut.
Perusahaan yang berbasis di Mountain View, yang menampung semua data yang dikumpulkan melalui platform analitik di AS, juga mengatakan bahwa ia menawarkan fungsi penyamaran alamat IP yang, ketika diaktifkan, menganonimkan informasi di server lokal sebelum ditransfer ke server mana pun di luar UE. Perlu dicatat bahwa fitur ini diaktifkan secara default dengan Google Analytics 4.