Era già successo in Francia ed in Austria pochi mesi fa e oggi anche in Italia Google Analytics finisce nel mirino del Garante della Privacy. È di ieri, infatti, la notizia che l’autorità per la protezione dei dati personali ha decretato che Google Analytics “viola la normativa sulla protezione dei dati perché trasferisce negli Stati Uniti, Paese privo di un adeguato livello di protezione, i dati degli utenti”1.
Ma come si è arrivati a questa decisione? E quali conseguenze ci saranno?
La decisione della Corte Europea di Giustizia
I presupposti che hanno portato all’attuale situazione risalgono addirittura a due anni fa. Nel luglio 2020, infatti, la Corte di Giustizia europea ha deciso di annullare un accordo stipulato nel 2016 tra Stati Uniti e Unione Europea noto come Privacy Shield. L’ente europeo definisce questo “scudo”, che permetteva il trasferimento di dati personali di tutti gli utenti europei su server americani, invalido, poiché la normativa americana non garantiva una privacy adeguata.
Ed è proprio in quest’ottica che si inserisce la decisione del Garante di vietare l’uso di Google Analytics. L’autorità ha difatti posto l’accento sulla facilità con cui le Autorità Governative USA avrebbero accesso ai dati personali conservati nel proprio paese. Ciò renderebbe gli Stati Uniti un paese non conforme al GDPR, la legge sulla privacy attualmente in vigore nell’Unione Europea.
Inoltre, in una nota del Garante si legge: “tra i molteplici dati raccolti, indirizzo IP del dispositivo dell’utente e informazioni relative al browser, al sistema operativo, alla risoluzione dello schermo, alla lingua selezionata, nonché data e ora della visita sul web. Tali informazioni sono risultate oggetto di trasferimenti verso gli Stati Uniti. Nel dichiarare l’illiceità del trattamento è stato ribadito che l’indirizzo IP costituisce un dato personale e anche nel caso fosse troncato non diverrebbe un dato anonimo, considerata la capacità di Google di arricchirlo con altri dati di cui è in possesso”2.
Il divieto di usare Google Analytics
Un primo ammonimento è stato emesso ieri nei confronti di Caffeina Media s.r.l., reo di utilizzare Google Analytics all’interno dei propri siti. Ma la questione riguarda tutti i siti che sfruttano lo strumento, i quali dovranno pertanto studiare soluzioni alternative. O rassegnarsi all’idea di non poter più monitorare i propri utenti.
Il termine per conformarsi alla decisione è di 90 giorni, allo scadere dei quali il Garante provvederà a verificare che tutti i siti siano conformi con il Regolamento Europeo per il trasferimento dei dati personali. In caso contrario si rischia la “sospensione dei flussi di dati effettuati, per il tramite di Google Analytics, verso gli Stati Uniti” ed, eventualmente, una sanzione amministrativa. Gestori avvisati….
Come rispondono i gestori dei siti?
Chi ha familiarità con Google Analytics sa quanto questo strumento sia importante per un e-commerce (clicca qui per maggiori informazioni). E ora che è stato vietato come fare? In seguito alla notizia, i gestori di siti web hanno iniziato a studiare soluzioni alternative ma, nonostante tutto, il divieto di GA è destinato ad avere un forte impatto sul settore.
Le soluzioni inizialmente proposte comprendono:
- l’abbandono di Google Analytics a favore di servizi a pagamento europei (e quindi con server siti in Europa);
- l’utilizzo di Google Consent Mode;
- l’anonimizzazione dei dati prima del loro invio ad Analytics, tramite servizi di proxying;
- creare un proprio servizio di analisi tramite piattaforme open source.
In realtà la situazione è in continua evoluzione. Mentre si cerca la soluzione ottimale, infatti, si attende anche il passaggio da Universal Analytics a Google Analytics 4. L’ultima versione dello strumento tratta i dati in modo differente rispetto al suo predecessore e permette un certo grado di anonimizzazione.
Non ci resta che aspettare e vedere se queste novità riceveranno l’approvazione del Garante per la Privacy. Nel frattempo, per chi volesse approfondire ulteriormente l’argomento, rimandiamo alla sezione FAQ del CNIL.