Il Garante vieta l’utilizzo di Google Analytics? Cosa devono fare aziende e webmaster
IL PROVVEDIMENTO DEL GARANTE
Con il Provvedimento del 9 giugno 2022 [9782890] il Garante privacy evidenziava violazioni sul trasferimento dei dati personali per il sito web che utilizza il tracciamento di Google Analytics.
Il Provvedimento riguarda solo l’azienda che ha ricevuto l’ammonimento, ma le indicazioni dovrebbero essere valutate da parte di tutte le aziende che utilizzano questo servizio.
Google Analytics è un servizio di Google che consente di monitorare le statistiche relative al proprio sito web, al fine di migliorarne le prestazioni.
Tra i dati raccolti da Analytics, ci sono l’indirizzo IP del dispositivo dell’utente e informazioni relative al browser, al sistema operativo, alla risoluzione dello schermo, alla lingua selezionata, nonché data e ora della visita al sito web.
Una volta raccolti, Google Analytics effettua un trasferimento di dati dall’Europa agli Stati Uniti, compresi i dati personali (come l’indirizzo IP). Tale attività è considerata illecita qualora, a seguito della dichiarazione di invalidità della decisione internazionale di adeguatezza c.d. Privacy Shield della sentenza c.d. Schrems II della Corte di Giustizia Europea, il trasferimento non operi sulla base di adeguate garanzie.
In particolare, oltre alla sottoscrizione di apposite clausole contrattuali standard, sarebbe necessario adottare misure tecniche quali l’anonimizzazione o la pseudonimizzazione che impediscano il trasferimento dei dati personali al fornitore Statunitense, a prescindere dal fatto che il servizio si basi principalmente su data center europei o che il contratto sia stipulato formalmente con una società del gruppo europea.
Nonostante tale quadro, Google aveva dichiarato di trattare questi dati solo in forma aggregata e a fini statistici e limitatamente ai dati anonimizzati.
Tuttavia, grazie all’enorme quantità di informazioni e dati detenuti, Google restava in grado di combinarli e risalire ai singoli utenti, rendendo inefficaci le tecniche di anonimizzazione adottate finora, trattandosi piuttosto di semplici tecniche di pseudonimizzazione.ù
Alla luce del nuovo provvedimento, il Garante ritiene illecito l’utilizzo di Google Analytics qualora non siano garantite dai gestori di siti web adeguate garanzie, come tecniche di anonimizzazione o accordi con i fornitori del servizio – nel caso di specie, Google – che possono però risultare particolarmente onerose per i gestori dei siti web.
Oltretutto, nell’istruttoria operata nei confronti della Società verso la quale è stato promulgato il predetto Provvedimento, è emerso come la stessa abbia sottolineato le notevoli difficoltà nel stipulare accordi sul trattamento dati con Google (e, più in generale, con tutti i Big Tech), dovendosi necessariamente adattare al testo contrattuale imposto dalla piattaforma del fornitore.
Il provvedimento, infine, non si è concluso con una sanzione per la Società, ma con un ammonimento a conformarsi al Reg. UE 679/2016 (il GDPR) entro 90 giorni.
ESISTONO DELLE ALTERNATIVE A GOOGLE ANALYITCS?
Alla luce della nuova pronuncia del Garante, i gestori di siti web che utilizzano Google Analytics dovranno implementare le proprie tecniche di anonimizzazione dei dati raccolti, oppure sostituire lo strumento di Analytics con altri servizi che operano nel rispetto delle norme del GDPR.
Esistono, infatti, soluzioni alternative a Google Analytics, come Matomo, un software libero che viene utilizzato per fornire report dettagliati e in tempo reale sui visitatori di un sito web, il quale, se utilizzato nel rispetto dei limiti (che riguardano il consenso degli utenti, e non il trasferimento dei dati) suggeriti dalla CNIL (Autorità francese per la protezione dati) è conforme alla normativa del GDPR.
Nel caso di Matomo è possibile configurare i cookie di analytics senza il consenso degli utenti qualora non vi siano finalità di profilazione ma esclusivamente tecniche, ad esempio nel rispetto delle seguenti condizioni:
- Deve essere anonimizzato l’indirizzo IP.
- Devono essere disabilitate le funzionalità Live (in tempo reale, profilo visitatore, ecc.) nelle Impostazioni generali.
- Non devono essere utilizzate le funzioni “ID utente”, E-commerce e registrazioni di Heatmap/sessione.
- Deve essere consentito agli utenti di rinunciare al monitoraggio su una pagina del tuo sito web.
- Non deve essere tenuta alcuna traccia dei dati personali.
Inoltre, l’Autorità francese raccomanda di:
- Informare gli utenti dell’implementazione dei sistemi di tracciamento, ad esempio nelle privacy policy dei siti web.
- Limitare la durata dei sistemi di tracciamento a un periodo che consente un confronto rilevante del pubblico nel tempo, come nel caso di un periodo di tredici mesi, e che non si prolunga automaticamente durante le nuove visite.
- Conservare le informazioni raccolte con i sistemi di tracciamento per un periodo massimo di 25 mesi.
Per il territorio italiano restano comunque da considerare come prevalenti le indicazioni del provvedimento generale del Garante per la protezione dei dati personali “Linee guida cookie e altri strumenti di tracciamento” del 10 giugno 2021.
ATTENZIONE: NON TUTTE LE ALTERNATIVE SONO VALIDE!
È necessario prestare particolare attenzione ai software che si vogliono impiegare d’ora in avanti, in quanto il Garante non vieta Google Analytics in quanto tale, bensì lo vieta in quanto trasferisce i dati degli utenti presso gli Stati Uniti con modalità contrare a quanto previsto dal GDPR.
Pertanto, software “alternativi” a Google Analytics, ma che effettuano le medesime attività, sono da considerarsi parimenti illeciti.
Ad esempio, “Google Analytics 4” (anche noto semplicemente come GA4), sebben venga proposto come conforme al dettato normativo europeo grazie a maggiori controlli per la privacy, sembrerebbe comunque effettuare un trasferimento di dati illecito, dal momento che non si potrebbe ancora escludere una completa re-identificabilità dei dati trasferiti per motivi tecnici.
È fondamentale valutare con attenzione le alternative realmente idonee a sostituire Analytics.
Autori: Avv. Elia Barbujani, Dott. Massimiliano Bortolotto
Lascia un commento