Sì, ma alla fine che devono fare le aziende con Google Analytics – e magari anche con altri servizi americani usati sui loro siti?
La domanda attanaglia molte aziende italiane – circa il 50% dei siti usa GA secondo varie stime – e vi provano a dare risposta vari esperti sia di privacy sia di Google Analytics
Agendadigitale.eu ha pubblicato dieci articoli sulla questione dopo la decisione del Garante Privacy italiano; per non parlare di quelli usciti prima – il problema già era cocente dopo i provvedimenti francese e austriaco. Da leggere anche quelli su Cybersecurity360.it.
Google Analytics, Scorza: “Ecco cosa devono sapere le aziende”
Le diverse posizioni su Google Analytics
Come da linea editoriale di Agendadigitale.eu da un decennio (ossia dalla sua nascita) pubblichiamo diverse opinioni sui principali temi. E non si può dire necessariamente che uno specifico articolo dei partecipanti alla discussione rifletta la posizione della redazione. La linea è piuttosto quella di alimentare il dibattito, soprattutto nei casi come questo, in cui non ci sono certezze definitive.
Quando la materia è complessa però è anche utile fermarsi un attimo per provare almeno un po’ a tracciare qualche chiarimento possibile.
Come in questo caso.
Come emerso dai diversi articoli ci sono due posizioni
- Quelli che dicono togliete GA e basta (MonitoraPA), non ci sono garanzie sufficienti che i dati personali dei visitatori dei siti non siano re-identificati e che il Governo USA non vi acceda
- Quelli che dicono che si può usare con vari accorgimenti (GA4 e installazioni server), come suggerito anche dal Garante francese CNIL e dalla stessa Google e/o con soluzioni contrattuali-legali-organizzative comunque previste dal GDPR.
C’è anche chi dal punto uno deriva che si corre un rischio con qualsiasi servizio americano, ma al momento abbiamo un provvedimento solo su GA; anzi: su uno specifico utilizzo di GA (da parte di Caffeina Media). Quindi per restare sul pratico che devono fare le aziende?
Che devono fare le aziende?
Ci sono in effetti solo tre vie possibili.
- Non correre nessun rischio ora e rimuovere GA, sostituendolo con altri servizi (se serve avere analytics). Quindi, come suggerisce Anna Cataleta (P4i, del gruppo Digital360, che pubblica questa testata) “scegliere un servizio alternativo a Google Analytics (come Matomo, Piwik, etc.) che permetta di avere un maggiore controllo sui dati e di mantenere gli stessi nel perimetro dell’UE (verificando quindi che i dati non possano essere acceduti da paesi terzi extra UE, così come accade ora per Google Inc.)”;
- Continuare con GA adottando varie soluzioni.
“La scelta della soluzione più adeguata dipende da un’analisi dell’uso di Google Analytics nella propria organizzazione, che comporta anche la verifica dei dati trasferiti negli Stati Uniti (se sono trasferiti solo dati comuni, come l’IP, oppure anche dati particolari, come dati relativi alla salute, etc.). Infatti, le organizzazioni che non utilizzano Google Analytics in modo intensivo potrebbero valutare di optare per un servizio alternativo, mentre organizzazioni che fanno ricorso intensivo alle funzioni di Google Analytics potrebbero valutare di individuare soluzioni tecniche adeguate per cercare di continuare ad utilizzare il servizio di analisi di Google (es. server proxy), per quanto sia comunque una scelta rischiosa e costosa”, spiega Cataleta.
Insomma bisogna scegliere 1) o 2) a seconda di costi e complessità che impatterebbero nel proprio caso specifico; anche della propria fiducia nella compliance data dalla soluzione trovata.
Una valutazione che ogni titolare del dato dovrà fare per conto proprio – senza aspettare ricette pronte dal Garante – secondo il principio di accountability iscritto nel GDPR.
Aspettare?
Un momento, non c’era una terza via?
Sì ma più che operativa è tattica, pragmatica: aspettare. Sì perché oltre alle questioni di diritto (assolte dai punti 1) e 2)) ci sono quelle pratiche da considerare. Le aziende devono essere consapevoli che:
- La vicenda è così complessa e connessa a questioni geopolitiche – USA-Europa – che sembra molto improbabile che il Garante sanzioni a breve. Almeno non dovrebbe farlo prima di settembre, nella peggiore delle circostanze, avendo dato 90 giorni di tempo a Caffeina e poi dovrebbe comunque avere tempo di valutare – con l’estate di mezzo – le singole segnalazioni che stanno arrivando su altre aziende. E in generale la sensazione degli esperti è che è improbabile che il Garante sanzioni in linea generale, appunto perché è in attesa di un accordo giuridico USA-Europa, evocato e caldeggiato da EDPB e dal nostro Garante.
- Potrebbe in ogni caso, appunto, arrivare un accordo giuridico, il che renderebbe un costo inutile attrezzarsi con i punti 1) e 2).
Più di questo non si può davvero dire. La scelta ora è nelle mani di ognuno di noi.
Ma come commenta l’avvocato Andrea Lisi, certo questa vicenda ci dà grattacapi ma ha un pregio: costringe tutte le aziende a interrogarsi meglio e di più sui nodi privacy, in particolare quelli che attraversano l’Atlantico. Ci rende insomma tutti più consapevoli di questioni vitali per i nostri diritti (ed economie digitali). Ossia proprio le questioni che hanno portato l’Europa su questa rotta, con sentenza della Corte di Giustizia e più in generale con le politiche di sovranità digitali basate sui dati.
Data Governance Act, come sarà l’ecosistema digitale UE: le regole
