Google Analytics è uno degli strumenti di analisi dei siti Web più comuni, ma sta diventando sempre più difficile giustificarne l’utilizzo sui siti Web dell’UE.
Andiamo subito al dunque.
A seguito della sentenza della Corte di giustizia europea sull’invalidità del Privacy Shield, il Centro europeo per i diritti digitali (noyb), un’associazione per la protezione dei dati fondata dall’avvocato e attivista Max Schrems, ha presentato 101 denunce.
E questo è un gran casino perché la decisione ha di fatto chiarito che l’uso di Google Analytics è illegale nell’UE.
Le autorità di vigilanza stanno assumendo una posizione sempre più netta contro l’uso di Google Analytics. Di base si critica la violazione dei principi generali del trasferimento di dati a un paese terzo, poiché GA viene utilizzato per trasmettere le informazioni personali dell’utente alla sede di Google negli Stati Uniti.
Il fatto che le autorità europee dichiarino gradualmente i servizi statunitensi non conformi aumenta ovviamente la pressione sulle imprese dell’UE affinché optino per opzioni sicure e conformi.
Il Garante per la protezione dei dati personali italiano ha emesso un avviso ai siti web che utilizzano Google Analytics, affermando che l’utilizzo del servizio “senza garanzie” viola le leggi UE sulla protezione dei dati a causa del trasferimento di dati negli stati Uniti.
Il Garante ha rimproverato un gestore di sito web per la sua non conformità al GDPR e gli ha ordinato la conformità entro 90 giorni.
Questa è l’ultima di una serie di sfide riguardanti l’uso dello strumento di analisi nell’UE.
Di recente infatti l’autorità di regolamentazione della privacy francese ha ordinato a un operatore di siti Web francese d’interrompere l’utilizzo di Google Analytics a determinate condizioni. L’autorità austriaca ha invece affermato che l’utilizzo di Google Analytics da parte di un sito web non è conforme alla legge UE sulla protezione dei dati.
Insomma, le acque non sono proprio tranquille.
L’autorità italiana per la protezione dei dati è giunta alla sua decisione dopo un’indagine in coordinamento con altre autorità dell’Unione europea per la protezione dei dati, a seguito di una serie di denunce.
In effetti, ha scoperto che gli utenti di Google Analytics tendono a raccogliere molti tipi di dati dell’utente, come:
- l’indirizzo IP del visitatore;
- il browser;
- il sistema operativo;
- la risoluzione dello schermo;
- la lingua selezionata;
- il tempo trascorso sulla pagina.
Tutte le informazioni inviate poi negli Stati Uniti
Secondo la sentenza Schrems 2 del Luglio 2020, i trasferimenti di dati personali dall’UE agli Stati Uniti possono aver luogo solo se esiste un livello di protezione sufficiente.
Alla base dell’obiezione europea c’è il fatto che le società americane sono obbligate per legge a rendere i dati dei propri clienti ricercabili dai servizi di intelligence e sicurezza su richiesta e l’UE non ritiene che i dati dei suoi residenti siano perciò sufficientemente protetti.
Google di suo promette di smettere di raccogliere indirizzi IP, ma si ritiene che questo non sia fatto abbastanza strettamente. Anche con parte di un indirizzo IP, Google può infatti tracciare l’identità o il profilo di qualcuno utilizzando altre fonti di dati.
Insomma, divide le tessere ma poi se vuole potrebbe ricostruire il puzzle.
Il Garante per la protezione dei dati personali ha per questa ragione invitato tutti i responsabili del trattamento a verificare che l’uso dei cookie e di altri strumenti di tracciamento sui propri siti web sia conforme alle leggi dichiarando di voler richiamare l’attenzione di tutti i gestori di siti web italiani, sia pubblici che privati, sull’illegittimità dei trasferimenti.
Gli indirizzi IP sono considerati dati personali, in quanto possono essere ricondotti a una persona specifica. Per il Garante, il fatto che l’indirizzo IP sia stato parzialmente trasferito negli Stati Uniti non costituisce di per sé anonimizzazione, in quanto Google è in grado di combinarlo con altri dati, come, ad esempio l’indirizzo email.
Gianclaudio Malgieri, professore associato di diritto e tecnologia presso la EDHEC Business School ha spiegato a riguardo che il Garante italiano ha chiarito che Google Analytics non utilizza dati anonimi. Ciò che Google chiama “IP-Anonymization” è in realtà mera pseudonimizzazione, perché la cancellazione di parte dell’indirizzo IP non impedisce a Google di re-identificare quell’utente, tenendo conto delle informazioni che detiene sugli utenti web nel loro complesso”.
L’autorità italiana non è l’unica a mettere a tacere ogni speranza riguardo al fatto che possa essere utilizzato in modo lecito se ci fossero determinate garanzie.
In una sessione di domande e risposte recentemente pubblicata in merito alla decisione su Google Analytics, l’autorità francese Commission nationale de l’informatique et des libertés ha specificato che nessuna salvaguardia può essere considerata soddisfacente poiché tutti i dati raccolti dal servizio Google sono ospitati sul suolo statunitense.
“In base al principio di responsabilità, sia Google che il titolare del trattamento dei dati dell’UE che utilizza Google Analytics potrebbero e dovrebbero adottare ulteriori garanzie per rendere lecito il trasferimento dei dati.
Ad oggi, secondo Malgieri, le misure proposte da Google Analytics sono ritenute inadeguate.
Google Analytics aiuta gli editori a capire quanto bene i loro siti e le loro app funzionano per i loro visitatori, ma non identificando le persone o monitorandole sul Web.
In effetti, esistono altre organizzazioni che controllano quali dati vengono raccolti e come vengono utilizzati con questi strumenti al di fuori di Google. Google aiuta fornendo una serie di salvaguardie, controlli e risorse per la conformità,
Ha detto un portavoce di Google a EURACTIV.
L’autorità ha concesso al titolare del trattamento in questione 90 giorni per adeguare il proprio sito web alle norme dell’UE sulla protezione dei dati. Per il Garante, ciò significa interrompere del tutto l’uso di Google Analytics, in quanto non possono essere messe in atto misure di salvaguardia per impedire ai servizi d’intelligence statunitensi di accedere ai dati personali dell’UE.
Quali conseguenze potrebbe avere questo sviluppo?
Se, alla fine, è davvero chiaro che Google Analytics non può essere utilizzato nel rispetto delle normative sulla protezione dei dati – e forse anche nessuna azienda può fare affidamento su clausole contrattuali standard in modo lecito, ciò avrebbe conseguenze drastiche: sia per gli operatori di siti Web dell’UE che per le società statunitensi.
Ma potrebbero esserci ancora (almeno) due vie d’uscita:
- in primo luogo, la nuova amministrazione statunitense sotto Biden potrebbe decidere di cambiare le leggi statunitensi.
- Inoltre, gli Stati Uniti e l’UE potrebbero presto trovare una soluzione comune nel senso di un nuovo accordo transatlantico sulla protezione dei dati.
Tuttavia, una cosa sta diventando sempre più chiara: il trasferimento di dati personali tra l’UE e gli Stati Uniti ha urgente bisogno di una base giuridicamente sicura. Altrimenti, c’è il rischio di una divisione indesiderabile tra l’economia europea e quella americana.
Conclusione: stai lontano da Google Analytics
Fondamentalmente, per non dire paradossalmente, l’uso di Google Analytics non è attualmente legalmente possibile. Dalle dichiarazioni di cui sopra si potrebbe anche concludere che le imprese dell’UE non possono più effettivamente utilizzare i servizi cloud statunitensi.
In qualità di prima persona a raccogliere i dati, il gestore del sito web è sempre responsabile dell’utilizzo e dell’implementazione di soluzioni conformi e questo è un grosso problema perché le decisioni delle autorità di controllo sono quindi sempre rivolte ai gestori dei siti web e non a Google Analytics.
Ad ogni modo il punto è che la conservazione dei dati nell’UE non risolve tutti i problemi
Mantenere i dati in Europa poi, a volerla dire tutta non è necessariamente utile finché si lavora con un’azienda statunitense.
E sai perché?
Perché in un non nulla potrebbe essere obbligata dal governo degli Stati Uniti al trasferimento dei dati.
Insomma, ne vedremo delle belle.
Questo articolo in pillole… 🙌
- Google Analytics non può essere utilizzato nel rispetto delle normative sulla protezione dei dati
- Le imprese dell’UE non possono più effettivamente utilizzare i servizi cloud statunitensi
- I dati devono essere conservati in Europa perché altrimenti rischiano di essere trasferiti negli Stati Uniti
- Il Garante per la protezione dei dati personali italiano ha emesso un avviso ai siti web che utilizzano Google Analytics
- L’autorità francese Commission nationale de l’informatique et des libertés ha specificato che nessuna salvaguardia può essere considerata soddisfacente