Stop a Google Analytics: cosa fare dopo il provvedimento del Garante?
Google Analytics non si può più usare? Cosa bisogna fare ora?
Anche tu ti stai ponendo queste domande, dopo il recente provvedimento del Garante alla società che utilizzava Google Analytics nel proprio sito? In questo articolo cerchiamo di fare un po’ di chiarezza sul tema, e di analizzare 4 possibili soluzioni.
Indice argomenti:
- Il provvedimento del Garante Italiano su Google Analytics
- Il garante ha emesso una sanzione per l’utilizzo di Google Analytics?
- Quale è il vero problema? Il trasferimento di dati personali di cittadini europei verso gli USA
- Trasferimento di dati personali verso gli USA: quale è lo status attuale degli accordi UE /USA?
- Cosa fare ora con Google Analytics? 4 alternative
Il provvedimento del Garante Italiano su Google Analytics
Il Garante per la Protezione dei Dati Personali ha ammonito la società italiana Caffeina Media Srl per l’utilizzo di Google Analytics nel sito Caffeinamagazine.it, a seguito di un reclamo ricevuto da NOYB: l’associazione per la privacy fondata da Max Schrems, attivista per la protezione dei dati personali che ha ottenuto nel 2020 la sentenza della Corte di Giustizia Europea sull’invalidazione del Privacy Shield, l’accordo tra UE e USA per il trasferimento dei dati personali di cittadini europei verso gli USA.
È possibile consultare il testo completo del provvedimento sul sito del Garante: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9782890
Il nocciolo della questione si può riassumere brevemente in 4 punti:
- Il sito web utilizzava Google Analytics, il noto strumento di statistiche per siti web fornito da Google.
- Via Google Analytics, tale sito raccoglieva tramite cookie dati personali dei visitatori come indirizzo IP, informazioni sul browser, sistema operativo, risoluzione dello schermo, lingua selezionata, data e ora della visita del sito web.
- Google Analytics è un servizio offerto da Google che deve sottostare alla giurisdizione USA
- Dopo l’invalidamento del Privacy Shield, oggi gli USA sono considerati un Paese che non garantisce un adeguato livello di data protection per i cittadini europei.
Il garante ha emesso una sanzione per l’utilizzo di Google Analytics?
Va chiarito che in seguito al reclamo che NOYB gli ha presentato ad agosto 2020, il Garante per ora si è limitato ad ammonire la società Caffeina Media, senza emettere sanzioni ad oggi. Ha dato alla società contestata una finestra di 90 giorni di tempo per adeguare al GDPR il trattamento dei dati che il loro sito svolge tramite Google Analytics. In caso non sia possibile l’adeguamento, dovrà sospendere i flussi di dati personali verso gli USA derivanti dall’utilizzo di Google Analytics.
Quale è il vero problema? Il trasferimento di dati personali di cittadini europei verso gli USA
Il problema alla base evidenziato non è tanto l’utilizzo di Google Analytics di per sé. È vero che è stato contestato inizialmente che l’impostazione non prevedeva l’anonimizzazione degli indirizzi IP dei visitatori del sito, ma anche dopo averlo fatto, non è risultato sufficiente per le potenzialità che ha il colosso di Mountain View di incrociare i dati che raccoglie con quelli di altri servizi che offre.
Il nocciolo della questione è il trasferimento di dati personali verso gli USA. Ad oggi anche se è possibile selezionare Google Ireland quale responsabile esterno sul territorio dell’Unione Europea (invece di Google LLC con sede in USA), i termini e condizioni del servizio prevedono comunque la possibilità per Google Ireland di utilizzare Google LLC come responsabile esterno, e in questo caso sussiste un trasferimento dati verso USA per chi utilizza Google Analytics.
Trasferimento di dati personali verso gli USA: quale è lo status attuale degli accordi UE /USA?
C’era una volta il Privacy Shield: meccanismo di autocertificazione per le aziende con sede in USA che trattano dati personali di cittadini europei, che la Commissione Europea aveva ritenuto offrire un livello adeguato di protezione dei dati personali trasferiti da UE e USA, costituendo così una fonte di garanzie giuridiche e base legale per il trasferimento transatlantico dei dati personali.
Nel 2020 però, in seguito alla sentenza “Schrems II” della Corte di Giustizia Europea, il Privacy Shield è stato invalidato, perché incompatibile con il GDPR: il livello di protezione dei dati personali previsto dalla normativa statunitense non è più considerato equivalente a quello del GDPR.
Questo perché la normativa vigente in USA consente alle autorità statunitensi, forze dell’ordine e agenzie di intelligence di accedere a dati di cittadini (anche) europei archiviati sui server di aziende USA, a prescindere dal luogo in cui sono ospitati tali dati, anche se i server sono su territorio UE, ma l’azienda è sottoposta alla giurisdizione USA, senza una preventiva autorizzazione di un giudice (necessaria invece in UE).
Quindi anche nel caso di “adozione” di altre basi legali per il trasferimento verso gli USA (come es. le Standard Contractual Clauses), rimane il problema che i dati personali dei cittadini europei non hanno un sufficiente livello di protezione proprio per la possibilità degli enti governativi USA di accedere a tutti i loro dati personali ospitati sui servizi cloud, quindi sia Google Analytics, ma anche tutti gli altri servizi di società americane (Facebook, Linkedin, Instagram, Mailchimp, Microsoft…).
Da diverso tempo sono in corso trattative bilaterali tra Unione Europea e Stati Uniti per raggiungere un nuovo accordo, e probabilmente i provvedimenti del Garante italiano (ma anche di quello francese e austriaco) vogliono rappresentare anche una “spinta” verso la ratificazione di un nuovo patto.
A marzo 2022 il presidente USA Joe Biden e la presidente della Commissione UE Ursula von der Leyen hanno annunciato di aver raggiunto un’intesa politica, alla quale però finora non ha dato seguito alcun accordo legislativo/normativo.
Cosa fare ora con Google Analytics? 4 alternative
E quindi ora cosa fare con Google Analytics? È la domanda che ci stiamo ponendo tutti in questo periodo.
Di seguito condividiamo alcune possibili soluzioni, ma valuta con il tuo consulente legale, DPO, o Privacy Officer quale soluzione adottare per il tuo caso specifico.
1) Rimuovere Google Analytics dal tuo sito
Questa è la soluzione più semplice, se ritieni di poter fare a meno di questo strumento di reportistica sul tuo sito.
2) Utilizzare un sistema di statistiche alternativo, basato in UE, al posto di Google Analytics
Ci sono diverse soluzioni UE che si dichiarano GDPR compliant, per esempio la più nota è Matomo, che è anche stata accreditata dal Garante Francese.
È un servizio open source, che si può utilizzare in 2 modalità:
- Cloud (con hosting in Germania)
- Oppure On-Premise, cioè installandolo su server dell’azienda.
3) Passare alla nuova versione di Google Analytics GA4
Google Analytics ha lanciato GA4, una nuova versione completamente rinnovata del servizio, che sarà l’unica disponibile sul mercato da luglio 2023 (le versioni precedenti verranno deprecate).
Attenzione: l’utilizzo di Google Analytics 4 non è ancora stato esaminato dal Garante Privacy (la società ammonita utilizzava la versione precedente), citando Guido Scorza, Componente dell’Authority Italiana, “gli uffici del Garante non hanno avuto occasione di esaminare la versione 4 di Google Analytics semplicemente perché il titolare del trattamento oggetto del provvedimento non la utilizzava, né sin qui tale versione è venuta in rilievo in altri procedimenti analoghi. Impossibile in queste condizioni, pertanto, dire se essa sia o meno in grado di risolvere il problema e consentire l’uso di Google Analytics in conformità alla disciplina europea sul trasferimento dei dati personali negli USA”.
GA4 dichiara di non salvare l’indirizzo IP degli utenti: li utilizza in prima battuta per estrapolare altri metadati, e non li memorizza.
Inoltre, è possibile impostare alcune configurazioni “privacy” che offrono una maggiore tutela nei confronti dei visitatori del sito, e in qualche modo potrebbero dimostrare una certa accortezza del Titolare del Trattamento dal punto di vista dell’accountability in caso di contestazioni o ispezioni, che vediamo di seguito.
A. Disattivare la funzione “Raccolta dei dati granulari su località e dispositivo”
Disattivando questa funzione, Google Analytics 4 non raccoglie i seguenti dati:
- Città
- Latitudine (della città)
- Longitudine (della città)
- Versione secondaria del browser
- Stringa dello user agent del browser
- Brand del dispositivo
- Modello del dispositivo
- Nome del dispositivo
- Versione secondaria del sistema operativo
- Versione secondaria della piattaforma
- Risoluzione dello schermo
B. Non attivare i “Google Signals”
I Google Signals raccolgono dati di sessione di siti e applicazioni che Google associa a quegli utenti che hanno effettuato un accesso ai loro account Google e hanno la personalizzazione degli annunci attivata.
C. Utilizzare il tracciamento Server-side
Secondo la CNIL (Garante Francese) utilizzare un server proxy proprietario a monte del server proxy nativo in GA4, cioè un server basato in UE su cui far arrivare i dati degli utenti, è una soluzione efficace per rispettare la normativa europea in materia di privacy, perché evita che i dati degli utenti arrivino direttamente sui server Google (UE o USA).
Questa opzione richiede necessariamente competenze tecniche per essere implementata.
Puoi trovare un’introduzione sul tema al seguente articolo: https://www.agendadigitale.eu/sicurezza/privacy/google-analytics-4-non-e-illegale-come-usarlo-bene-ed-evitare-problemi-col-gdpr/
4) Attendere e non fare nulla?
Attendere la scadenza dei 90 giorni (9 settembre 2022) che il Garante ha dato alla società ammonita, per verificare come essa si sarà adeguata, e se sarà ritenuto sufficiente dal Garante.
Considera che questa opzione “attendista” non ti mette al riparto da potenziali contestazioni che puoi ricevere nel frattempo, oltre al fatto che comunque stai operando un trasferimento di dati personali verso USA con Google Analytics che attualmente non poggia su base legale.
Riassumendo questo caso, emergono 2 macro-concetti fondamentali:
1.Torniamo al principio fondamentale che è uno dei pilastri del GDPR: il principio di accountability del Titolare del Trattamento, in virtù del quale il Titolare del Trattamento deve valutare e adottare politiche e misure adeguate per garantire ed essere in grado di dimostrare il trattamento dei dati personali in modo conforme al GDPR.
2. Google Analytics non è l’unico strumento che le aziende stanno utilizzando che trasferisce dati personali extra-UE, è importante fare attenzione a tutti i servizi / software che comunemente vengono utilizzati nell’ambito dell’ICT e del digital marketing (CRM, Servizi Cloud, Software di Email marketing, servizi di hosting, servizi di advertising,…), valutare se operano trasferimento di dati personali extra UE e che misure adottare per fare in modo che la tua azienda garantisca il trattamento dati in modo conforme al GDPR.