Per stabilire se un'attività di trattamento sia assimilabile al controllo del comportamento dell'interessato, è opportuno verificare se le persone fisiche sono tracciate su internet, compreso l'eventuale ricorso successivo a tecniche di trattamento dei dati personali che consistono nella profilazione della persona fisica, in particolare per adottare decisioni che la riguardano o analizzarne o prevederne le preferenze, i comportamenti e le posizioni personali.
Ad esempio, se si utilizza Google Analytics (anche con la funzione di anonimizzazione dell'IP attiva), si può conoscere qual è l'area geografica dei visitatori di un sito. Abbinato ad altri dettagli come l'indirizzo email aziendale e/o l'età, questo dato può essere utilizzato per dedurre ulteriori informazioni come il reddito, contribuendo alla profilazione dell'utente.
Al contrario, non è considerato controllo del comportamento se i dati grezzi e resi anonimi di Google Analytics non sono associati a quelli dei singoli utenti, ma vengono usati a fini statistici per dare informazioni su come i visitatori utilizzano il sito web.
Indipendentemente da quale dei suddetti approcci vengono adottati, per soddisfare gli obblighi di divulgazione bisogna includere all'interno della privacy policy informazioni accurate e aggiornate sui dati raccolti, lo scopo, l'utilizzo e l'elaborazione di terze parti.
Tuttavia, Google Analytics non rispetta la normativa GDPR. Il Garante della Privacy è stato chiaro a riguardo con la sua pronuncia dello scorso 9 giugno. Sono passati i 90 giorni dati per adeguarsi a tutti i gestori di siti web, ora il rischio di possibili sanzioni è reale e una recente ricerca sostiene che queste ultime potrebbero ammontare a 4,5 miliardi di euro nella sola Lombardia.
Ci sono moltissimi numeri a tal riguardo che fanno capire come questa potrebbe diventare una vera emergenza per tutte le aziende e per gli operatori di questo settore.
Già nel 2020 era pervenuto un reclamo all'Autorità Garante della privacy italiana, nel quale si è fatto riferimento al fatto che Google Analytics trasferisce alcune informazioni dell'utente europeo negli Stati Uniti. Informazioni che consentono di risalire, aggregando diverse tipologie di dati, all'identità delle persone interessate. Le sanzioni previste dal regolamento possono infatti arrivare fino al 4% del fatturato mondiale totale annuo delle imprese.
Gli ultimi dati disponibili sul fatturato delle aziende lombarde che si occupano di servizi di informazione e comunicazione, di supporto alle imprese e di attività professionali, scientifiche e tecniche, dicono che l'ammontare è pari a 113.391.260.000 euro. Calcolando le sanzioni per il mancato adeguamento rispetto a tutte queste aziende, la somma arriverebbe a un totale di 4.535.650.400 euro. Una cifra altissima, ma che tiene conto solo di una piccola parte dell'intero fatturato della regione "motore d'Italia".
La ricerca ha infatti preso in esame i settori di attività che risultano emblematici e che potenzialmente usano il service di Google. Bisogna precisare che il rischio di sanzioni esiste però per tutte le imprese proprietarie di un sito web sul quale è attivo Google Analytics 3.