In Germania, ove l’attuazione delle misure per la protezione dei dati personali è di competenza dei singoli Länder, e non del governo federale, diverse autorità regionali hanno pubblicato delle raccomandazioni in relazione all’uso di strumenti come GOOGLE ANALYTICS. In base a queste raccomandazioni, l’utilizzo del servizio in questione dovrà essere subordinato alla previa acquisizione del consenso dell’utente. Le autorità competenti hanno evidenziato che nell’utilizzazione dei servizi di Google Analytics i dati raccolti vengono trasmessi anche ad un altro destinatario (Google), che li utilizza per i propri scopi. Ne discende che tale elaborazione da parte di Google non possa essere (più) considerata come mera attività del “responsabile del trattamento”.

Secondo le regole previgenti i servizi come GOOGLE ANALYTICS erano considerati leciti dal punto di vista del trattamento dei dati personali, nonostante il trattamento in questione avvenisse senza il previo consenso degli interessati. A questo riguardo alcune autorità tedesche regionali (come per esempio quella di Amburgo) avevano ritenuto lecito il trattamento in questione, pur in assenza del consenso, al ricorrere di alcuni specifici requisiti, come i seguenti:

• la creazione di profili pseudonimizzati; • il diritto di opposizione (con una procedura di opt-out); • la conclusione di un contratto con Google; • la presenza di informazioni per l’utente sull’utilizzo di Google Analytics; • la parziale cancellazione dell’indirizzo IP nelle impostazioni di Google (anonimizzazione IP).

Per molti aspetti, tali criteri assomigliano a quanto previsto dal Garante Italiano per la protezione dei dati personali nei provvedimenti pubblicati negli anni 2014 e 2015.

La decisione presa dai Länder è stata motivata in considerazione delle modifiche e dello sviluppo tecnico del prodotto Google Analytics: “Il prodotto Google Analytics è stato sviluppato negli ultimi anni in modo tale da non rappresentare più un’elaborazione come mero responsabile del trattamento. Piuttosto, il fornitore si fa concedere il diritto di utilizzare i dati dei visitatori dei siti web per i propri scopi.”

Essendo la materia della protezione dei dati armonizzata e considerando che la motivazione posta alla base della decisione assunta dalle autorità tedesche muove proprio dall’analisi delle caratteristiche tecniche del servizio, si può ritenere che il tema venga presto posto all’attenzione anche di altre autorità nazionali preposte alla tutela dei dati personali, con la possibile conseguenza che il previo consenso dell’interessato diventi un requisito necessario anche in altri Stati membri dell’Unione Europea o – per meglio dire – in tutto il territorio dell’Unione Europea (così che i vari Länder tedeschi avrebbero in questo caso agito da “apripista”).