In seguito agli interventi del Garante della Privacy, anche in Italia è diventato urgente adeguare i siti web che ricorrono a Google Analytics alle norme previste del GDPR a livello europeo.
Qual è il motivo per cui Google Analytics viola la tutela dei dati personali in Italia e in Europa? Allo stato dell’arte quali misure sono state prese?
News segue attentamente la questione e incrementa il suo know-how con webinar e studi ad hoc per trovare soluzioni commisurate alle esigenze del cliente.
1. Privacy e Analytics: come nasce il problema?
Un sito web che ricorre a Google Analytics viola il regolamento europeo sulla protezione dei dati nel momento in cui trasferisce i dati degli utenti negli Stati Uniti, un Paese che non ha un livello di protezione dei dati adeguato agli standard dell’Ue.
Le informazioni raccolte dal servizio di Google e oggetto del trasferimento negli USA riguardano le interazioni degli utenti con il sito, browser e sistema operativo usato, pagine visitate, e una molteplicità di altri dati tra cui l’indirizzo IP. Anche quest’ultimo infatti è stato considerato dal Garante per la privacy un dato personale, al punto che neanche la funzione di IP anonymization prevista da Analytics è in grado di garantire un totale anonimato all’utente.
Il caso di Caffeina Media S.r.l ha portato all’attenzione la questione in Italia. In seguito al reclamo mosso da un utente nell’estate del 2020, il Garante ha avviato un’indagine nei confronti della società, gestore di un sito web che ricorreva alla versione gratuita di GA per fini statistici.
L’indagine ha accertato che i trasferimenti di dati personali degli utenti “verso Google LLC (con sede negli Stati Uniti), per il tramite dello strumento di Google Analytics, sono stati posti in essere in violazione degli artt. 44 e 46 del Regolamento”; e ha rilevato “altresì, che sono emerse le violazioni dell’art. 5, par. 1, lett. a) e par. 2, dell’art. 13, par. 1, lett. f), e dell’art. 24, del Regolamento”.
In sintesi, le autorità governative e agenzie di intelligence statunitensi avrebbero potuto accedere a un elevato numero di dati personali senza alcuna tutela, in violazione alle garanzie previste dal GDPR europeo.
Da un lato questa sentenza conferma l’illeceità nel trattamento dei dati già stabilito dai Garanti di Austria e Francia, e prima ancora dalla Sentenza Schrems II (16 luglio 2020) emessa dalla Corte di giustizia dell’Unione europea e invalidante la decisione di adeguatezza del Privacy Shield del 2016.
Dall’altro, è arrivata a Caffeina l’ingiunzione di conformarsi al regolamento europeo entro 90 giorni, oltre ai quali sarebbero potute scattare eventuali multe e contravvenzioni.
2. GA4 è GDPR compliance?
Ecco sorgere una miriade di domande per gestori e titolari di siti web. Cosa devo fare per rendere a norma GDPR i tracciamenti di un sito? Google Analytics 4 risolve i problemi di compliance? Quando arriva un ulteriore accordo tra Europa e Stati Uniti per regolarizzare il trasferimento dei dati?
Un dato è certo.
Dopo la pronuncia del Garante di giugno 2022, l’uso di Google Analytics sarebbe crollato del 90% almeno sui siti delle pubbliche amministrazioni italiane.
Per fare fronte alla situazione, Google ha intanto rilasciato una versione aggiornata del servizio: GA4, dichiarando che la nuova release anonimizza i dati.
Anche in questo caso, però, la questione non sembra essere del tutto risolta. In ordine di tempo, possiamo citare la più recente analisi della Danish Data Protection Agency proprio su GA4.
Secondo quanto emerso, è vero che la versione più aggiornata dello strumento permette ai gestori dei siti di personalizzare le impostazioni. Questo consentirebbe dunque di scegliere quale tipologia di dati raccogliere e minimizzare di conseguenza la raccolta dei dati non essenziali.
È altrettanto vero però che lo unique identifier associato all’utente porta con sé diversi dati relativi alla sua navigazione, che permetterebbero di identificarlo se opportunamente integrati ed elaborati.
Insomma, il Garante danese sembra affermare che anche GA4 non è di default a norma GDPR. Questo significa che ogni gestore o titolare di siti web è costretto ad adottare ulteriori precauzioni per tutelare la privacy degli utenti.
3. Gli ultimi sviluppi
News segue attentamente il problema fin dalle origini, e come in merito al problema correlato della gestione dei Cookie lavora per trovare soluzioni customizzate e commisurate alle esigenze del cliente.
Seguiamo la questione da vicino e ne monitoriamo costantemente gli sviluppi. È notizia di venerdì scorso che il presidente americano Biden ha firmato l’ordine esecutivo per l’attuazione del quadro di trasferimento dati tra Ue e USA, soltanto annunciato a marzo.
Mentre il Segretario al Commercio degli Stati Uniti garantisce che l’ordine esecutivo tutela a pieno titolo la privacy dei dati personali dei cittadini europei, due sembrano gli aspetti rilevanti messi sul tavolo: sorveglianza proporzionata e diritto al ricorso.
- Il Data Privacy Framework stabilisce che l’accesso ai dati da parte delle agenzie di intelligence americane avvenga in modo proporzionato e solo se necessario per perseguire un obiettivo prioritario, come proteggere la sicurezza nazionale.
- La proposta prevede un meccanismo multi-livello per i ricorsi. Il cittadino europeo che riscontrerà un accesso illegale ai propri dati potrà rivolgersi al Civil Liberties Protection Officer, ed eventualmente potrà presentare appello al Data Protection Review Court. Il primo è autorizzato a emettere una decisione vincolante per porre rimedio alla situazione. Il secondo costituisce un processo di revisione indipendente e secondario attraverso un tribunale per la protezione dei dati, con personale di nomina non governativa che a sua volta può emettere sentenze vincolanti.
Quali soluzioni?
Le autorità europee stimano circa 6 mesi per completare il complesso processo di revisione e approvazione dell’ordine emesso, per cui arriveranno nuovi aggiornamenti.
In conclusione, ci sono due possibilità:
Per avere ulteriori informazioni, puoi contattarci compilando il form che trovi di seguito.
