Il Garante Italiano della Privacy ha concluso che Google Analytics compie un trasferimento illecito di dati personali dei cittadini europei in Usa e ne vieta l’utilizzo: una decisione ufficializzata nel comunicato stampa del 23 giugno 2022 dopo una lunga istruttoria, che fissa a 90 giorni il termine per conformarsi.
La tematica si estende però non solo a Google Analytics (ndr se configurato in un certo modo), ma a molti altri servizi online erogati da aziende americane: benché oggi Usa ed Europa stiano contrattando un nuovo accordo di collaborazione sul trasferimento dei dati, a metà 2022 ancora nulla è stato definito e le aziende che usano questi servizi si trovano in una situazione di incertezza.
Ora, le aziende italiane devono trovare entro la fine di settembre 2022 una soluzione tecnica per effettuare un’analisi del traffico del sito web e delle campagne online compliant con la normativa vigente.
Argomenti trattati
Google Analytics e il trasferimento illecito di dati
Il Garante italiano ha ammonito una società che usava Google Analitycs sul proprio sito, chiedendole di togliere lo strumento entro 90 giorni: un invito che di fatto si estende a tutte le società italiane che utilizzano gli stessi strumenti di Google. Tra le motivazioni del Garante, il fatto che i dati raccolti da Google Analytics mediante cookie, possono essere assemblati e identificare l’utente anche se anonimizzati.
“Tra i molteplici dati raccolti, indirizzo Ip del dispositivo dell’utente e informazioni relative al browser, al sistema operativo, alla risoluzione dello schermo, alla lingua selezionata, nonché data e ora della visita al sito web. Tali informazioni sono risultate oggetto di trasferimento verso gli Stati Uniti. Nel dichiarare l’illiceità del trattamento è stato ribadito che l’indirizzo Ip costituisce un dato personale e anche nel caso fosse troncato non diverrebbe un dato anonimo, considerata la capacità di Google di arricchirlo con altri dati di cui è in possesso” si legge nelle note del Garante.
I dati dei cittadini europei così raccolti da Google Analytics vengono trasferiti negli Usa anche in mancanza di un accordo di collaborazione tra nazioni in merito al loro trattamento. Le Autorità governative e le agenzie di intelligence statunitensi possono infatti accedere ai dati personali trasferiti senza le dovute garanzie, pertanto secondo il Garante le misure adottate da Google non garantiscono – allo stato attuale – un livello adeguato di protezione dei dati personali degli utenti.
Perché Google Analytics sarebbe illegale?
Raccogliendo dati direttamente con l’attuale versione di Google Analytics Universal (GA), Google può fare digital fingerprint incrociando client_ID, user-agent e indirizzo IP (anche se anonimizzato). Questi 3 dati formano un’impronta digitale (digital fingerprint per l’appunto), che può essere utilizzata per identificare completamente o parzialmente singoli utenti o dispositivi, anche quando i cookie sono disattivati.
In particolare, il client_ID è l’id del cookie ed è considerato già di per sé un dato pseudonimo; lo user-agent è invece un identificativo (una stringa) che permette di individuare il browser che ha fatto accesso al sito e raccoglie informazioni sul tipo e sulla versione del browser, sul sistema operativo, sui plug-in attivi, sul fuso orario, la lingua, la risoluzione dello schermo e varie altre impostazioni attive. Infine, l’indirizzo IP è anch’esso un dato pseudonimo a meno che non venga anonimizzato e/o non incrociato con altri dati (ne abbiamo già parlato in questo nostro articolo dedicato ai Cookie di Analytics).
Conosciute queste caratteristiche, i dati possono essere assemblati in un profilo che aiuta a identificare l’utente, come farebbe un’impronta digitale: è una tecnica che si è resa necessaria in risposta alle politiche sempre più stringenti sui cookie e al crescente utilizzo di ad-blocker da parte di molti utenti, al fine di fornire comunque dati utili agli inserzionisti per pubblicità profilata.
La decisione del Garante Privacy italiano è l’epilogo di serie di sentenze, ultima delle quali risale al 2020 dove già la Corte di Giustizia europea aveva annullato gli strumenti giuridici con cui avvenivano i trasferimenti dati da Europa a Usa (nota con il nome di sentenza Schrems II) motivata dal fatto che la normativa statunitense non dava garanzie in termini di sorveglianza governativa su quei dati.
Le sentenze delle autorità per la protezione dei Dati su Google Analytics
Oltre al Garante Italiano, altre autorità per la protezione dei dati di diversi Stati membri dell’UE hanno rilasciato dichiarazioni in merito alla legalità dell’utilizzo di Google Analytics ai sensi del GDPR. Vediamo le varie sentenze di conformità di quei paesi in modo più dettagliato.
La sentenza Schrems II
Il caso Schrems II ha invalidato il quadro dello scudo UE-USA per la privacy, che in precedenza aveva favorito il trasferimento internazionale di dati personali tra gli Stati Uniti e gli Stati membri dell’UE/SEE.Questa decisione si basava sulla possibilità per il governo degli Stati Uniti di accedere ai dati personali dopo che sono stati trasferiti ai server statunitensi senza informare adeguatamente le persone dell’UE/SEE e nessun controllo reale di quest’ultimo sul trattamento dei loro dati personali, una violazione diretta del GDPR.
Sebbene non sia stato approvato o concordato alcun nuovo quadro, la sentenza mantiene gli obblighi contrattuali. Ora richiede alle aziende di determinare caso per caso se adeguate protezioni in atto soddisfano gli standard GDPR in merito al trasferimento di dati personali in un paese al di fuori del SEE. Ciò che è più importante, le aziende devono anche valutare se la legge applicabile nel paese di destinazione è contraria ai requisiti del GDPR.
Austria
Nel 2022, l’autorità austriaca per la protezione dei dati (DPA), Datenschutzbehörde, ha annunciato che l’utilizzo di Google Analytics da parte di un sito Web violava la sentenza Schrems II del 2020. Nel caso del sito web austriaco, l’anonimizzazione dei dati è stata definita insufficiente perché il processo probabilmente è avvenuto dopo che i dati hanno raggiunto i server statunitensi, non prima. Hanno anche trovato la crittografia dei dati insufficiente perché il governo degli Stati Uniti potrebbe ottenere l’accesso alla chiave.
Danimarca
In Danimarca, il DPA, Datatilsynet, ha annunciato nel 2022 che sta monitorando la decisione austriaca contro Google Analytics. Il gruppo ha esaminato Universal Analytics e GA4 e successivamente ha rilasciato linee guida relative all’utilizzo del servizio.
Francia
La DPA francese, la Commission nationale de l’informatique et des libertés (CNIL), ha stabilito che l’uso di Google Analytics da parte di un sito Web violava l’articolo 44 del GDPR nel febbraio 2022. Questa sentenza era ancora una volta dovuta al trasferimento di dati a livello internazionale in un paese senza adeguate protezioni della privacy. CNIL ha successivamente aggiornato le sue linee guida per l’utilizzo di Google Analytics e ha suggerito di utilizzare un server proxy, disponibile qui in francese.
Italia
Nel giugno 2022, il Garante, l’autorità di protezione dei dati italiana, ha rilevato che l’utilizzo di Google Analytics da parte di un sito Web violava il GDPR a causa del trasferimento internazionale di dati in un paese privo di adeguate protezioni della privacy. La decisione faceva riferimento direttamente agli indirizzi IP, raccolti da Universal Analytics all’epoca. Tuttavia, da allora, GA4 ha sostituito Universal Analytics e Google ha dichiarato che GA4 non tiene traccia né registra gli indirizzi IP. Ma, come gli altri Stati membri, fa anche riferimento alla capacità del governo degli Stati Uniti di accedere alle informazioni senza informare adeguatamente gli interessati dell’UE/SEE.
Paesi Bassi
Nei Paesi Bassi, almeno due distinti reclami riguardanti i trasferimenti internazionali di dati e Google Analytics sono oggetto di indagine da parte dell’autorità per la protezione dei dati, l’ Autoriteit Persoonsgegevens. Entrambe le denunce fanno riferimento alle stesse questioni sollevate da Austria, Italia e Francia e le indagini sono in corso.
Norvegia
Nel marzo 2023, anche il DPA norvegese, Datatilsynet, ha riscontrato che il trasferimento internazionale di dati personali tramite Google Analytics violava il GDPR. La DPA raccomanda ai siti web di cercare un’alternativa al servizio e afferma di aspettarsi una decisione formale relativa a Google Analytics entro la fine del 2023.
Soluzioni al problema e Google Analytics 4
Allo stato attuale, la Corte di Giustizia europea ha quindi annullato gli strumenti giuridici con cui avvenivano i trasferimenti dati da Europa a Usa, perché la normativa statunitense non offre garanzie in termini di sorveglianza governativa su dati personali dei cittadini europei. Inoltre, allo scadere del termine di 90 giorni, il Garante italiano procederà, sulla base di specifiche attività ispettive, a verificare la conformità al Regolamento Ue dei trasferimenti di dati effettuati dai titolari dei siti web.
Questo significa che le aziende italiane devono trovare, entro la fine di settembre, una soluzione tecnica compliant per l’analisi del traffico sul sito e anche delle campagne online.
Come risolvere il problema di Analytics
Quando parliamo di “web analytics” spesso parliamo di Google Analytics, ma questo non è ovviamente l’unico sistema di analytics disponibile sul mercato: è al momento il più diffuso. Ovviamente, quanto vale per Google Analytics, vale per qualsiasi altro sistema di analytics di terza parte che sia sviluppato da un’azienda americana.
Google aveva già annunciato che entro luglio 2023 avrebbe dismesso Google Analytics Universal (GA) sostituendolo con la nuova versione Google Analytics 4 (GA4): questo nuovo sistema di analytics presenta una modalità differente di raccolta dati, che non memorizza l’indirizzo IP ed è quindi dotato di un meccanismo di anonimizzazione più forte, by design. Il che da solo non è tuttavia sufficiente a risolvere la problematica della privacy, a meno che non si configuri GA4 con un particolare setup server side, che riduce ulteriormente i dati trasmessi in Usa e rende compliant lo strumento alla GDPR.
In alternativa alla gestione di GA4 (o di altri sistemi di analytics in terza parte), le aziende italiane possono decidere di installare sui propri server un sistema di analytics di 1° parte: si tratta di una soluzione molto più impegnativa dal punto di vista dell’infrastruttura informatica, che però porta il dato all’interno dell’azienda e quindi risolve anche altre problematiche di tipo formale.
Allo stato attuale, il Garante non ha fornito un’indicazione esatta su quale soluzione tecnica risolva la problematica, pertanto ogni configurazione adottata dovrà poi essere sottoposta e valutata a posteriori. In ogni caso, la scelta della soluzione migliore deve essere conseguenza di un processo di studio e della stesura di un piano di misurazione adeguato alle esigenze dell’azienda. Hai necessità di un supporto per scegliere la soluzione migliore? Contattaci
Come risolvere altre problematiche di tracciamento
Oltre ad analytics, il problema del tracciamento tramite cookie di terza parte e trasferimento dati in Usa si pone per moltissimi altri servizi online: dalle campagne in remarketing di Google Ads alle campagne Facebook Ads.
Il Garante infatti “invita tutti i titolari del trattamento a verificare la conformità delle modalità di utilizzo di cookie e altri strumenti di tracciamento utilizzati sui propri siti web, con particolare attenzione a Google Analytics e ad altri servizi analoghi, con la normativa in materia di protezione dei dati personali” (ndr: dove per altri servizi analoghi s’intende che effettuano trasferimento in Usa e profilazione dell’utente)
Anche in questo caso, per poter individuare la soluzione tecnica migliore e compliant al caso, è necessario intraprendere dapprima un processo di studio per elaborare un piano di misurazione adeguato alle esigenze dell’azienda, che tenga conto delle campagne multicanale e dell’esigenza di misurarne l’efficacia. Hai necessità di un supporto per scegliere la soluzione migliore? Contattaci
Fonti:
Comunicato Stampa Garante Privacy – Google: stop all’uso degli Analytics.
Sole24Ore: Vietato l’uso di Google Analytics
Il caso Schrems II e lo Scudo per la Privacy
Privacy Shield: Garante Privacy
Privacy Shield: Infografica del Garante
Fonte Immagine:
Termly.io