Theo bước chân của Áo và Pháp, Cơ quan bảo vệ dữ liệu của Ý đã trở thành cơ quan quản lý mới nhất phát hiện việc sử dụng Google Analytics không tuân thủ các quy định bảo vệ dữ liệu của Liên minh Châu Âu.
Garante per la Protezione dei Dati Personali, trong một thông cáo báo chí được công bố vào tuần trước, đã kêu gọi một nhà xuất bản web địa phương sử dụng công cụ phân tích được sử dụng rộng rãi theo cách cho phép các bit chính của dữ liệu cá nhân của người dùng được chuyển bất hợp pháp sang Hoa Kỳ mà không các biện pháp bảo vệ cần thiết.
Điều này bao gồm tương tác của người dùng với các trang web, các trang riêng lẻ đã truy cập, địa chỉ IP của thiết bị được sử dụng để truy cập các trang web, thông tin cụ thể về trình duyệt, chi tiết liên quan đến hệ điều hành của thiết bị, độ phân giải màn hình và ngôn ngữ đã chọn, cũng như ngày và thời gian của các chuyến thăm.
Cơ quan giám sát Ý (SA) cho biết họ đi đến kết luận này sau một “cuộc tập trận tìm hiểu thực tế phức tạp” mà cơ quan này bắt đầu phối hợp với các cơ quan bảo vệ dữ liệu khác của EU.
Cơ quan này cho biết việc chuyển giao thông tin cá nhân vi phạm luật bảo vệ dữ liệu vì Hoa Kỳ là “quốc gia không có mức độ bảo vệ thích hợp”, đồng thời nhấn mạnh “khả năng các cơ quan chính phủ và cơ quan tình báo Hoa Kỳ có thể truy cập vào dữ liệu cá nhân được chuyển giao mà không có sự đảm bảo thích đáng.”
Trang web được đề cập đến, Caffeina Media SRL, đã có thời hạn 90 ngày để chuyển khỏi Google Analytics nhằm đảm bảo tuân thủ GDPR. Ngoài ra, Garante đã thu hút sự chú ý của các quản trị viên web về tính bất hợp pháp của việc chuyển dữ liệu đến Hoa Kỳ bắt nguồn từ việc sử dụng Google Analytics, khuyến nghị rằng chủ sở hữu trang web nên chuyển sang các công cụ đo lường đối tượng thay thế đáp ứng các yêu cầu của GDPR.
“Khi hết thời hạn 90 ngày được nêu trong quyết định của mình, SA của Ý sẽ kiểm tra xem việc chuyển dữ liệu đang được đề cập có tuân thủ GDPR của EU hay không, bao gồm cả bằng cách kiểm tra đột xuất”, nó tuyên bố.
Đầu tháng này, cơ quan giám sát bảo vệ dữ liệu của Pháp, CNIL, đã ban hành hướng dẫn cập nhật về việc sử dụng Google Analytics, nhắc lại hành vi này là bất hợp pháp theo luật Quy định chung về bảo vệ dữ liệu (GDPR) và cho các tổ chức bị ảnh hưởng khoảng thời gian một tháng để tuân thủ.
“Việc Google triển khai mã hóa dữ liệu đã được chứng minh là một biện pháp kỹ thuật không đủ vì Google LLC tự mã hóa dữ liệu và có nghĩa vụ cấp quyền truy cập hoặc cung cấp dữ liệu đã nhập thuộc quyền sở hữu của mình, bao gồm cả các khóa mã hóa cần thiết để tạo dữ liệu cơ quan quản lý cho biết.
Google nói với TechCrunch rằng họ đang xem xét quyết định mới nhất. Vào tháng 1 năm 2022, gã khổng lồ công nghệ nhấn mạnh rằng Google Analytics “không theo dõi mọi người hoặc lập hồ sơ mọi người trên internet” và rằng các tổ chức có thể kiểm soát dữ liệu thu thập được thông qua dịch vụ.
Công ty có trụ sở tại Mountain View, lưu trữ tất cả dữ liệu được thu thập thông qua nền tảng phân tích ở Mỹ, cũng cho biết họ cung cấp chức năng che địa chỉ IP, khi được kích hoạt, sẽ ẩn danh thông tin trong các máy chủ cục bộ trước khi được chuyển đến bất kỳ máy chủ nào bên ngoài Liên minh Châu Âu. Cần lưu ý rằng tính năng này được bật theo mặc định với Google Analytics 4.
.
