Skarga złożona 17 sierpnia 2020 r. dotyczyła przekazywania danych osobowych użytkowników bez ich zgody do Stanów Zjednoczonych. Podczas gdy skarżący wszedł na stronę internetową Caffeina Media S.r.l. korzystając ze swojego konta Google, jego dane osobowe zostały przekazane do podmiotu w Stanach Zjednoczonych.

Włoski organ badając sprawę stwierdził, że spółka Caffeina Media S.r.l. zbierała na swojej stronie informacje o użytkownikach, takie jak dane o odwiedzanych stronach, czy oferowanych im usługach posługując się i przetwarzając adres IP, informacje na temat używanej przeglądarki, systemu operacyjnego, języka, dni a nawet dokładnej godziny przeglądania danej strony.

W rozstrzygnięciu po raz kolejny podkreślono, że adres IP, który był przetwarzany przez podmiot jest daną osobową, a zważając na ogromną bazę danych posiadanych przez spółkę Google, nie byłaby ona zanonimizowana nawet w przypadku jego skrócenia. Jednocześnie organ stwierdził naruszenie rozdziału V RODO dotyczącego przekazywania danych osobowych do państw trzecich lub organizacji międzynarodowych, klauzule umowne Google nie zapewniały bowiem bezpieczeństwa danych wymaganego przez RODO. Dodatkowo, naruszono także artykuły 5, 13, 24, 44 i 46 RODO. Przy ocenianiu stopnia naruszenia dla oceny zasadności nałożenia na podmiot kary pieniężnej wzięto pod uwagę przede wszystkim fakt, że żadne z naruszeń nie dotyczyło szczególnej kategorii danych osobowych, a także dysproporcję w pozycji rynkowej pomiędzy podmiotami, w związku z którą Caffeina Media S.r.l. błędnie przyjęła środki przyjęte przez Google opierając się na informacjach dostarczonych przez tę spółkę. Naruszenie zostało zakwalifikowane jako mniejszej wagi i w związku z art. 83 ust. 2 RODO organ zdecydował się podjąć proporcjonalne do niego środki.

W związku z naruszeniami, organ udzielił nagany oraz nałożył na Caffeina Media S.r.l. obowiązek doprowadzenia w ciągu dziewięćdziesięciu dni do zgodności metod ich działania z RODO pod rygorem całkowitego zawieszenia możliwości przekazywania danych związanych z Google Analitics do Stanów Zjednoczonych. Spółka jednak zaktualizowała informacje na swojej stronie, w związku z czym nie podjęto wobec niej dalszych działań.

Źródła
https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9782890

https://edpb.europa.eu/news/national-news/2022/italian-sa-bans-use-google-analytics-no-adequate-safeguards-data-transfers_en