Non è lecito usare Google Analytics senza rispettare le regole del GDPR, perché si effettua un trasferimento di dati negli Usa, dove la normativa sul trattamento dei dati personali non tutela adeguatamente il cittadino: questo il senso del provvedimento del Garante.
Google Analytics “illegale” secondo il Garante Privacy: e ora?
L’istruttoria, il provvedimento e le motivazioni
Google Analytics era già sotto la lente d’ingrandimento di altre autorità garanti europee: anche il Garante italiano ha avviato istruttorie, sulla base di alcuni reclami presentati proprio contro l’utilizzo di questo strumento di marketing.
L’istruttoria del Garante italiano ha permesso di accertare che i gestori dei siti web che impiegano Google Analytics raccolgono numerose informazioni attraverso i cookies di navigazione: registrano, in altri termini, le interazioni di un soggetto con siti, singole pagine e servizi offerti al pubblico.
La profilazione sul web, d’altra parte, è la base del marketing e del remarketing online: la profilazione, quindi, fa parte del gioco.
I dati raccolti tramite questi cookies sono considerati dati personali: ad esempio, indirizzo IP del dispositivo, informazioni relative al browser utilizzato (ad esempio Chrome, Mozilla Firefox o Microsoft Edge solo per citare i più noti).
Tramite Google Analytics l’utente viene anche profilato sulla base del sistema operativo del device che utilizza, della risoluzione dello schermo, della lingua che seleziona e di data bed ora di visita al sito internet.
Il Garante per il Trattamento dei dati personali ha verificato, nel procedimento aperto contro la società Caffeina S.r.l., che i dati raccolti tramite i cookies di profilazione e filtrate attraverso il tool di Google che tutte queste informazioni vengono trasferite negli Stati Uniti senza le garanzie previste dalla normativa europea sul trattamento dei dati.
In particolare, nel comunicato stampa del 23 giugno 2022, “Il Garante ha evidenziato, in particolare, la possibilità, per le Autorità governative e le agenzie di intelligence statunitensi, di accedere ai dati personali trasferiti senza le dovute garanzie, rilevando al riguardo che, alla luce delle indicazioni fornite dall’EDPB (Raccomandazione n. 1/2020 del 18 giugno 2021), le misure che integrano gli strumenti di trasferimento adottate da Google non garantiscono, allo stato, un livello adeguato di protezione dei dati personali degli utenti”.
In conclusione: ogni sito che utilizza Google Analytics consente, attraverso passaggi successivi, alle agenzie governative statunitensi l’accesso ai dati egli utenti che ha raccolto tramite i cookies.
Il Garante ha quindi “ammonito” la Caffeina S.r.l., imponendole di adeguarsi alla normativa europea entro il termine di 90 giorni, ed invitando tutti gli altri gestori web a fare altrettanto.
Google Analytics, PA fuori legge? Niente panico: ecco cosa sta succedendo
Il precedente austriaco
Il provvedimento del Garante italiano non è il primo: già il 22 dicembre 2022 il Garante austriaco aveva stabilito che il trasferimento dei dati personali negli Stati Uniti da parte di Google avveniva in violazione dell’articolo 44 del regolamento UE 16/679 (GDPR).
La decisione era stata presa sulla base dell’sposto e delle indagini effettuate dall’Associazione NOYB, capeggiata dal noto attivista Maximilian Schrems.
In pratica, il Garante per il Trattamento dei dati personali italiano è giunto alle stesse conclusioni di quello austriaco, che si è basato, a sua volta, sulle indagini dei Robin Hood della rete globale.
E ora, che fare?
Le alternative per i gestori di siti web sono, essenzialmente, due: disabilitare Google Analytics e scegliere un altro tool, oppure assicurarsi che i dati raccolti tramite la profilazione che effettuano siano adeguatamente anonimizzati.
La prima scelta è quella – almeno apparentemente – più economica e sicura, anche in relazione al termine di 90 giorni dato dal Garante per la messa a norma (termine che vale per la Caffeina S.r.l., ma che andrebbe tenuto a mente da tutti gli operatori).
Ai sensi dell’articolo 28 del Regolamento UE 16/679, il titolare del trattamento – nel caso che ci occupa, il proprietario del sito web – deve individuare i responsabili del trattamento per suo conto tra soggetti “che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato”.
L’interessato è l’utente del sito, e soggetti che abbiano caratteristiche compliant con la normativa europea dovrebbero essere, quindi, soggetti che operano nello spazio comune europeo, seguendone le normative.
L’alternativa è trovare il modo di anonimizzare totalmente l’indirizzo IP dell’utente e di pseudonomizzarlo (slegarlo cioè dagli altri dati dell’utente raccolti tramite cookies): più facile a dirsi che a farsi.
Conclusioni
Profilazione selvaggia e passaggio diretto di dati da Google alla NSA vedono una battuta d’arresto: il fenomeno ormai è noto e le autorità nazionali europee iniziano a prenderne – correttamente – atto.
La questione riguarda sia la macroeconomia del mercato dei dati personali, sia la geopolitica della profilazione.
Da un lato c’è l’interesse delle aziende che operano sul web a utilizzare strumenti economici e user friendly per essere più efficaci nel marketing in rete, sempre più costoso così come sempre più proficuo.
Dall’altra la geopolitica dei dati: pensate – per fare un esempio attuale – al soldato russo che combatte sul fronte ucraino e accede a siti che impiegano Google Analytics.
Se i dati sono il petrolio del nuovo millennio, dovremmo anche ricordare quante guerre si sono combattute nel 1900 per il petrolio.
E anche se ormai la questione “dati personali” è entrata nell’immaginario collettivo in modo più impattante rispetto al primo decennio del 2000, possiamo dire che siamo solo all’inizio.
