I responsabili di Google Italia affermano senza mezzi termini che Google Analytics 4 è GDPR compliant: allo stato, sembra che gli analisti dicano, in maggioranza, il contrario. Resta un punto: la vicenda è economicamente molto sensibile per vasti settori del lavoro online.
Privacy, Google Analytics 4 è fumo negli occhi: ecco perché non risolve il problema
GA4 sì, GA4 no
Google Analytics è un tool di analisi molto utilizzato (verosimilmente è il più diffuso); da alcuni mesi il suo utilizzo viene considerato non conforme al Regolamento UE 16/679, in seguito alla sentenza Schrems II della Corte di Giustizia dell’Unione europea (luglio 2020) e dei provvedimenti dei Garanti per il trattamento dei dati personali di Austria, Francia ed Italia.
Il problema fondamentale risiede nel fatto che i dati analizzati con GA vengono poi inoltrati presso i server di Google LCC, negli Stati Uniti dove sono dichiaratamente accessibili ad autorità governative come CIA e NSA.
Il provvedimento del Garante italiano del 23 giugno 2022 ha costretto le aziende italiane ad aprire un focus sull’impiego di Google Analytics.
Da qui anche il mail bombing di soggetti che offrono soluzioni marketing alternative o che chiedono ai titolari del trattamento se i loro dati sono stati gestiti tramite GA o meno (queste ultime sembrano micro-truffe travestite da richieste lecite).
Ora il tema è: si può utilizzare GA o no?
La posizione di Google
La risposta del colosso statunitense è: certamente, con Google Analytics 4 abbiamo risolto ogni problema di conformità al GDPR, perché i server utilizzai per “far girare” il tool sono situati in Europa e la gestione soggiace al diritto europeo.
Per le aziende questa risposta è molto rassicurante, perché abbatte tempi e costi di gestione di una problematica seria: ossia come gestire il flusso di dati necessari alle proprie attività di marketing senza essere esposte a rischio di sanzioni.
D’altra parte, il settore è economicamente in crescita: per le agenzie web, così come per ogni responsabile del marketing aziendale, la disabilitazione di GA (unico sistema efficace per avere la certezza di essere GDPR compliant in materia) è un problema economico serio.
Le posizioni contrarie all’uso di GA4
Quindi, possiamo fidarci della vulgata di Google?
Secondo Pietro Biase, informatico ed attivista di MonitoraPA, no.
L’assetto normativo statunitense, infatti, impone a Google (ma anche a Meta e Microsoft) di inviare alle autorità richiedenti i dati anche se raccolti fuori dagli USA.
In altri termini, anche se il titolare del trattamento di GA4 è una società europea, con server in Europa, la controllante statunitense dovrebbe comunque fornire i dati a CIA e NSA.
Il rischio, ovviamente, è una sanzione economica per violazione del GDPR, ma il dato di fatto è che Google (come Meta e Microsoft) si trova a dover servire contemporaneamente due padroni.
Google Analytics, Scorza: “Ecco cosa devono sapere le aziende”
Due possibili vie d’uscita
Allo stato, GA4 non fornisce garanzie idonee sulla compliance.
- Si possono ipotizzare due vie: disabilitare il tool e sostituirlo con un altro (Biase suggerisce, fra le altre, Matomo, Piwik Pro, Plausible, Open Web Analytics)
- o non impiegare strumenti di analisi.
- La terza via, teoricamente ipotizzabile, è creare percorsi alternativi per impedire a GA4 di effettuare il tracciamento e di inviare i dati negli USA.
Questa soluzione, teoricamente ritenuta lecita anche dal garante italiano e certo suggerita dallo CNIL (il Garante francese) con uso di proxy, appare poco praticabile per il rapporto tempi/costi/benefici assolutamente svantaggioso per chi la implementa.
Google Analytics, Scorza: “Basta annunci politici, sul trasferimento dati serve accordo giuridico”
Conclusioni
È evidente che il monito del Garante serve ad attirare il focus sull’impiego del tool: l’utilizzo indiscriminato massivo è, infatti, certamente censurabile.
La presa di posizione, comunque, non è stata punitiva nei confronti dei destinatari del provvedimento: è stato piuttosto un segnale politico di adesione del Garante italiano alle decisioni già prese altrove in Europa.
Non solo: è un tassello di un edificio politico per cui se i dati sono utili per il business, non possono essere utilizzati n modo indiscriminato dalle autorità statali, specie se estere.
Ora Google promuove GA4 come GDPR compliant: se ne assume la responsabilità.
In altri termini, per il principio dell’accountability ogni titolare deve adottare soluzioni adatte alla propria struttura per il trattamento dei dati.
Un’azienda medio-piccola, con alfabetizzazione normale in materia di trattamento dei dati, può fare legittimo affidamento su quanto affermato da Google.
In caso di sanzioni da parte del Garante, quindi, Google potrebbe essere chiamato a risarcire i danni.
Realtà più strutturate, dotate di DPO, invece, non potranno invocare – verosimilmente – questo grado di “ignoranza consentita”; i DPO, da parte loro, dovrebbero sapere perché GA4 è rischioso e sconsigliarlo ai propri clienti, pena la propria responsabilità professionale.
