Google Analytics è illegale?

Google Analytics è illegale?

Se vi state chiedendo se l’utilizzo di Google Analytics sia diventato illegale molto probabilmente avete assistito al tam-tam mediatico su siti web e social che ha seguito la recente pronuncia del Garante della Privacy in merito al “caso Caffeina Media s.r.l.”.

Il caso specifico da cui ha originato la decisione, infatti, riguarda la società sopra citata e il suo utilizzo sul proprio sito web di Google Analytics.

Cos’è Google Analytics?

Cominciamo con il dire che Google Analytics è un servizio di web analisi, ovviamente di Google, che consente di ricavare delle interessanti statistiche sui visitatori di un sito web e sul loro comportamento (es. posizione geografica dell’utente, numero di pagine visitate, durata della sessione ecc.)

Si stima che tale strumento sia utilizzato da circa il 56% dei siti web.

Vuoi sapere come aumentare le visite al tuo sito web?

Prenota subito un appuntamento gratuito online  oppure chiamaci direttamente al 0383 052137

Cosa ha stabilito il Garante della Privacy a proposito di Google Analytics?

Il 9 giugno 2022 il Garante della Privacy italiano ha chiesto alla società Caffeina Media s.r.l. (tramite un provvedimento poi pubblicato il 23 dello stesso mese) di rimuovere entro 90 giorni Google Analytics dal proprio sito web, ritenendo che le modalità di trattamento dei dati operate da tale strumento non fossero conformi ai requisiti contenuti nel GDPR in quanto implicano il trasferimento dei dati degli utenti (tra i quali l’indirizzo IP dei visitatori, considerato a tutti gli effetti un dato personale) negli Stati Uniti.

Da questa pronuncia possiamo dedurre le seguenti informazioni:

  1. Per il momento non è stata emessa alcuna sanzione ma è stato concesso un periodo di tempo alla società Caffeina Media s.r.l. per adeguarsi
  2. Anche se la decisione ha riguardato una singola persona giuridica, l’invito ad adeguarsi al GDPR abbandonando l’utilizzo di GA riguarda tutti coloro che utilizzano sul proprio sito tale strumento di analisi.
    E infatti il Garante, a mezzo del comunicato stampa relativo all’adozione del provvedimento in esame, ha manifestato l’intenzione, una volta decorsi i 90 giorni concessi, di iniziare a fare ispezioni e verifiche in merito.
  3. Ad essere illegale non è di per sé Google Analytics ma il trasferimento dei dati che quest’ultimo opera verso gli Stati Uniti.
    E ora vedremo il perché.

L’abolizione del Privacy Shield

Gli artt. 45 e ss. Del GDPR stabiliscono in quali casi il titolare del trattamento possa legittimamente effettuare il trasferimento dei dati verso un paese terzo.

Tra questi vi è la decisione di adeguatezza riconosciuta dalla Commissione Europea, decisione che con riferimento gli Stati Uniti è stata adottata il 12 luglio 2016 (n. 2016/1250).

Tale decisione, che ha appunto preso il nome di Privacy Shield, origina da un accordo fra la Commissione Europea ed il Dipartimento del Commercio degli Stati Uniti avente lo scopo di tutelare la riservatezza dei dati personali dei cittadini europei in caso di trasferimento a scopo commerciale negli Stati Uniti.

Senza dilungarsi nei tecnicismi, basti sapere che la Corte di Giustizia della Comunità Europea, con una sentenza del 16 luglio 2020, ha dichiarato l’invalidità di tale decisione (sentenza c.d. “Schrems Il”).

Giova specificare che il venir meno del Privacy Shield non basta a considerare un trasferimento di dati negli Stati Uniti illegittimo tout court, perché tale trasferimento potrebbe ben basarsi su una delle altre ipotesi di legittimità previste dal GDPR (es. il consenso dell’interessato).

Occorre per concretezza, tuttavia, affermare come tali altri adempimenti, previsti ex lege per effettuare un trasferimento, non sono spesso alla portata di tutte le società, soprattutto delle milioni di PMI che godono di risorse limitate se paragonate a quelle ben più ingenti delle multinazionali.

Google Analytics 3

A questo punto, è doveroso fare una precisazione di estrema importanza.

La pronuncia del Garante della privacy Italiano ha avuto ad oggetto l’utilizzo di Google Analytics 3 (o Universal Analytics), versione che ad ogni modo verrà dismessa a luglio 2023 per essere definitivamente sostituita da Google Analytics 4 (GA4).

Già nella versione 3 era prevista la possibilità di anonimizzare l’IP.

Tale accortezza non è tuttavia stata ritenuta sufficiente dall’Autorità preposta.
Afferma, infatti, il Garante della Privacy italiano che:

l’IP-Anonymization” consiste di fatto in una pseudonimizzazione del dato relativo all’indirizzo di rete dell’utente, in quanto il troncamento dell’ultimo ottetto non impedisce a Google LLC di re-identificare l’utente medesimo, tenuto conto delle informazioni complessivamente detenute dalla stessa relative agli utenti del web. Sussiste, inoltre, in capo alla medesima Google LLC la possibilità −qualora l’interessato abbia effettuato l’accesso al proprio profilo Google− di associare l’indirizzo IP ad altre informazioni aggiuntive già in suo possesso (quali le informazioni contenute nell’account utente). Tale operazione, pertanto, nonostante l’attivazione dell’“IP-Anonymization”, consente comunque la possibile re-identificazione dell’utente”.

In conclusione, l’anonimizzazione dell’IP in Google Analytics 3 non rende tale strumento compliant.

GA4 sarà conforme al GDPR?

A tale domanda cercheremo di rispondere in modo estremamente onesto.

Come anticipato, il Garante non si è pronunciato sulla nuova versione di Google Analytics perché la società oggetto del provvedimento non ne faceva uso.

Al momento non possiamo quindi sapere con certezza se le autorità riterranno l’uso di Google Analytics 4 conforme al GDPR, dal momento che il Garante italiano si è limitato ad affermare che se scegli di continuare a utilizzare Google Analytics sono necessarie delle misure di sicurezza aggiuntive, ma non ha specificato quali.

Quello che possiamo limitarci a dire è che Google Analytics 4, anche se non può garantire la conformità al GDPR, è un passo avanti e un’alternativa migliore rispetto alla versione precedente offrendo ulteriori opzioni e impostazioni riguardanti la privacy.

Ad esempio per quanto riguarda l’anonimizzazione degli indirizzi IP Google ha affermato che in Google Analytics 4 non è necessaria, poiché gli indirizzi IP non vengono registrati né archiviati.

Inoltre, all’amministratore dell’account è data facoltà di non condividere i dati GA4 con Google Signals.

Dubbi su GA4

Secondo quanto affermato da Google GA4 non effettuerà più la registrazione degli IP degli utenti, i quali saranno utilizzati in maniera volatile, al solo fine ricevere altri meta dati (es. luogo fisico di collegamento), ottenuti i quali l’IP verrà completamente ignorato.

Posto ciò, dal momento che è la stessa Google a scartare tali dati dopo averli ricevuti, sorge lecitamente il dubbio che nel tempo intercorso tra la ricezione e lo scarto, possa essere costretta a inviarli alle agenzie governative USA che ne facciano richiesta nei modi e nei tempi previsti dalla legge statunitense.

Oltre a questo, occorre valutare se, a prescindere dall’IP, GA4 raccolga altri dati sufficienti ad identificare gli utenti.

Quanto al fatto che Google affermi che i dati degli utenti UE saranno memorizzati e conservati su server residenti nella UE, questo non basta a dirimere la questione del possibile successivo trasferimento verso gli USA.

La pronuncia del Garante della Privacy riguarda solo Google Analytics?

La risposta è no.

Ci sono decine di servizi di Google e di altre aziende con data center negli Stati Uniti e che quindi trasferiscono in questo paese i dati raccolti.

Pensiamo a piattaforme pubblicitarie utilizzate per il web marketing come Facebook Ads, Google Ads, YouTube Ads, etc.

Ma anche a strumenti di email marketing come Mailchimp, rispetto al cui uso il Garante della Privacy bavarese si è già pronunciato negativamente nel 2021, sempre in ragione dell’illecito trasferimento dei dati negli Stati Uniti.

Cosa posso fare adesso se sto usando Google Analytics?

La domanda è più che lecita e condivisa unanimemente.

La speranza ovviamente è che la soluzione di questa problematica non sia lasciata nelle mani dei singoli fruitori del servizio ma trovata a monte, sanando il vuoto lasciato dalla sentenza “Schrems Il”.

Inoltre, il 25 marzo è stata annunciata l’intenzione di raggiungere un nuovo accordo sul trasferimento dati tra UE e USA. Questo accordo, in fase di discussione, dovrebbe risolvere il problema dei trasferimenti illegali di dati al di fuori dell’Europa.

Nel frattempo ovviamente, volendo proprio stare in botte di ferro, gli utenti possono valutare se sospendere momentaneamente l’utilizzo del servizio oppure rivolgersi ad alternative europee.

Il nostro consiglio, laddove decidiate di rivolgervi a servizi europei, è comunque quello in ogni caso di valutarne la conformità al GDPR.

Il fatto di non trasferire i dati extra UE non rende di per sè un servizio compliant perché potrebbe non rispettare altri requisiti previsti dal GDPR. Quindi rischiereste di “spostarvi” per nulla.

Condividi il post

Articoli correlati

Iscriviti alla nostra newsletter

Rimani sempre aggiornato

logo-base315-2021

Prenota ora un appuntamento

Utilizzando il form puoi fissare un appuntamento gratuito con un membro del nostro staff.
Sarà nostra cura ricontattarti telefonicamente nella data e nell’ora che selezionerai per discutere delle tue esigenze, dei tuoi obiettivi e degli eventuali problemi legati al web che intendi risolvere.