Recentemente, con provvedimento del 9 giugno 2022, il Garante Privacy ha dichiarato Google Analytics non conforme alla normativa Privacy europea.
Infatti, l’utilizzo di Google Analytics comporta trasferimenti di dati negli Stati Uniti, in cui non trovano applicazione le tutele del GDPR, limitate all’ambito europeo.
Cosa è Google Analytics?
Google Analytics è il servizio di raccolta e analisi delle statistiche più utilizzato in assoluto. Dato che i dati degli utenti vengono inviati a server che si trovano negli Stati Uniti, l’uso di Google Analytics è stato considerato illegale, poiché il trasferimento dei dati non avverrebbe nel rispetto dei limiti di adeguatezza previsti dal GDPR europeo.
Cosa è il Privacy Shield?
Shield in inglese significa “scudo” e il Privacy Shield è appunto l’equivalente di uno scudo per la privacy approvato da Unione Europea e USA. Con l’entrata in vigore del GDPR, però, è stato previsto che il trasferimento di dati personali verso un Paese extra UE può avvenire soltanto nel caso in cui quello ricevente sia in grado di assicurare un livello di protezione dei dati analogo a quello europeo.
Il Privacy Shield è ancora valido?
Con la sentenza “Schrems II” del luglio 2020, la Corte di giustizia UE ha ritenuto non valido il Privacy Shield. La risoluzione di invalidare la decisione sul Privacy Shield è stata motivata con l’inadeguata protezione fornita dalla legge degli Stati Uniti, inferiore agli standard vigenti nell’eurozona.
In particolare, la legislazione statunitense permette all’NSA (National Security Agency) l’accesso ai dati di cittadini non statunitensi archiviati sui server di aziende americane senza una preventiva autorizzazione da parte di un giudice, come avviene invece in ambito UE.
Perché il Garante Italiano ha dichiarato illegittimo l’uso di Google Analytics?
In particolare, il Garante privacy, come indicato nel provvedimento del 9 giugno 2022, a carico di Caffeina Media Srl, ha accertato “che i trasferimenti effettuati da Caffeina Media S.r.l. verso Google LLC (con sede negli Stati Uniti), per il tramite dello strumento di Google Analytics, sono stati posti in essere in violazione degli artt. 44 e 46 del Regolamento; si rileva, altresì, che sono emerse le violazioni dell’art. 5, par. 1, lett. a) e par. 2, dell’art. 13, par. 1, lett. f), e dell’art. 24, del Regolamento”.
Il Garante ha rilevato che Caffeina ha utilizzato la versione gratuita di Analytics, per fini statistici – cioè capire le attività degli utenti sul sito.
Quali rischi il Garante Italiano ritiene sussistere nel caso di utilizzo di Google Analytics?
I siti web che usano Google Analytics raccolgono numerosi dati, tra cui indirizzo IP, tipo di browser, sistema operativo, risoluzione dello schermo, lingua, data e ora.
Questi dati vengono utilizzati per ottenere statistiche dettagliate che servono per migliorare il servizio offerto o monitorare le campagna di marketing.
Si tratta però di informazioni personali (l’indirizzo IP in particolare) che vengono trasmessi negli Stati Uniti senza le garanzie del GDPR.
Non si possono evitare i rischi tramite la soluzione IP-Anonymization offerta da Google Analytics?
Il Garante ha rilevato che non si tratta di una reale anonimizzazione ma di una mera pseudoanonimizzazione.
In sostanza il troncamento dell’ultimo ottetto non impedisce a Google LLC di re-identificare l’utente medesimo, tenuto conto delle informazioni complessivamente detenute dalla stessa relative agli utenti del web.
Sussiste, inoltre, in capo alla medesima Google LLC la possibilità, qualora l’interessato abbia effettuato l’accesso al proprio profilo Google, di associare l’indirizzo IP ad altre informazioni aggiuntive già in suo possesso (quali le informazioni contenute nell’account utente).
Quali conseguenze ha previsto quindi il Garante Privacy Italiano?
Ha imposto a Caffeina Media Srl di adottare, entro 90 giorni, sistemi alternativi all’uso di Google Analytics, ergo a tutti i siti web che dovranno conformarsi a questa decisione, pena l’applicazione di sanzioni.
E gli altri Garanti Privacy Europei come si sono espressi rispetto a Google Analytics?
Anche l’autorità austriaca e quella francese hanno espresso pareri conformi a quello del Garante Italiano.
Quali sono le soluzioni?
Nell’attesa di una nuova Privacy Shield fra le autorità europee/statunitesi, poiché il provvedimento del Garante si riferisce all’utilizzo di Google Analytics 3 (GA3), Google che è già corsa ai ripari e già ha lanciato il nuovo servizio Google Analytics 4 (GA4).
Nell’attesa di valutare la nuova versione di Google Analytics, tuttavia sembra doveroso osservare che anche tale versione dovrà scontrarsi con il vuoto di tutela presente extraEuropa.
Cosa fare quindi nel frattempo (che anche i Garanti Nazionali dettino maggiori indicazioni?).
In primis, è consigliabile valutare l’effettiva necessità per il sito web dell’utilizzo di tale strumento, perché laddove non necessario, è bene procedere alla disinstallazione dei rispettivi cookie.
Qualora l’analisi statistica fosse necessaria, occorrerà installare cookie interni oppure, rivolgersi a terzi fornitori europei.
Il Garante Privacy francese (CNIL) ha proposto alcune soluzioni.
L’elenco, con le modalità di configurazione è lungo ed è consultabile al seguente link
Quali sono le ulteriori raccomandazioni rinvenibili nel provvedimento del 9 giugno 2022 del Garante Italiano?
1) Necessità di corretta ed esaustiva informativa ex art. 13 GDPR, anche in merito al trasferimento dati e con quali garanzie (nel caso esaminato da Garante, l’informativa era stata ritenuta inadeguata).
2) Il titolare dal trattamento è tenuto, a mettere in atto, anche nel contesto dei trasferimenti transfrontalieri, misure adeguate ed efficaci a tutela dei diritti e delle libertà degli interessati e ad essere in grado di dimostrare la conformità delle stesse al Regolamento.
3) Il titolare del trattamento deve sempre valutare previamente il grado di protezione dei fornitori a cui si affida.
………………………………
In conclusione, occorre che i siti web che utilizzano Google Analytics si adeguino al provvedimento del Garante Italiano, adottando altre soluzioni, in attesa di future specifiche indicazioni.
Tale operazione potrebbe essere l’occasione per un check completo del sito, anche alla luce delle recenti Linee Guida emesse dal Garante Italiano in materia di cookie, a cui le aziende si sarebbero dovute adeguare entro il 10.1.2022 e di cui abbiamo già parlato nel nostro blog (clicca sul link).
Hai dubbi? Non esitare a contattarci per valutare insieme il grado di adeguatezza del tuo sito e i correttivi da adottare.
Categorie: Commercio elettronico, Internet, Privacy, Protezione dei dati personali