Il Garante dice no a Google Analytics, che cosa fare?

Il Garante dice no a Google Analytics, che cosa fare?

Torniamo a parlare di GDPR e privacy policy, dove ci eravamo lasciati (provate a leggere l'articolo di oZone sulla nuova GDPR)? Come era prevedibile, anche in Italia il Garante della Privacy ha espresso le sue raccomandazioni con un provvedimento emanato lo scorso 9 giugno e ha ammonito una società per l'uso di Google Analytics. Da notare che si tratta ancora di un'ammonizione e non di una sanzione pecuniaria, il Garante ha dato all'azienda 90 giorni di tempo per adeguarsi al provvedimento.

La decisione del Garante della Privacy italiano

Con il provvedimento 9782890 il Garante ha stabilito che il sito web gestito dall'azienda Caffeina Media S.r.l. che utilizza il servizio Google Analytics senza le garanzie previste dal Regolamento UE, viola la normativa sulla protezione dei dati perché li trasferisce negli Stati Uniti, Paese privo di un adeguato livello di protezione rispetto a quanto sancito dalla normativa europea.

Per quanto non venga esplicitato nel provvedimento, si può implicitamente presumere che l'oggetto a cui il Garante fa rifermento sia Google Analytics 3 (GA3 o Analytics Universal) perché il reclamo era stato presentato il 17 agosto 2020 quando GA4 era ancora in fase beta. A presentare il reclamo, come negli altri casi europei, è stata l'associazione Noyb, presieduta da Max Schrems. L'obiettivo di quest'associazione è quello di colmare il gap esistente tra la legge e la pratica aziendale facendo ricorso davanti ai garanti della privacy europei.

Nel caso italiano, dall'indagine del Garante, è emerso che i gestori di siti che utilizzano Analytics raccolgono dati attraverso i quali sarebbe possibile risalire all'identità dell'utente, per poi trasferirli negli USA, dove sappiamo che il Privacy Shield non è stato ritenuto una misura sufficiente a proteggere gli utenti dai controlli delle Autorità governative e delle agenzie di intelligence statunitensi.

Il rilevamento dell'indirizzo IP, afferma il Garante, “costituisce un dato personale nella misura in cui consenta di identificare un dispositivo di comunicazione elettronica, rendendo pertanto indirettamente identificabile l'interessato in qualità di utente (..) Tutto ciò soprattutto ove, come nel caso di specie, l'IP sia associato ad altre informazioni relative al browser utilizzato, alla data e all'ora della navigazione”. Anche l'IP-Anonymization, ossia l'oscuramento dell'ottetto meno significativo dell'indirizzo IP, non è considerato una misura sufficiente a proteggere l'identità dell'utente perché, dice il Garante, “non impedisce a Google LLC di re-identificare l'utente medesimo, tenuto conto delle informazioni complessivamente detenute dalla stessa relative agli utenti del web”.

La situazione sarebbe ulteriormente aggravata qualora l'utente navighi avendo effettuato l'accesso al suo account Google. Allora Analytics sarebbe in grado di rilevare informazioni aggiuntive come l'indirizzo email, il numero di telefono e altri dati personali (genere, data di nascita e immagine del profilo). Anche altre misure supplementari come la cifratura dei dati non sono ritenute adeguate dal Garante ad assolvere al dovere della protezione dei dati degli utenti. Ciò è dovuto al fatto che le chiavi di cifratura rimarrebbero comunque in possesso di Google LLC, in qualità di importatore di dati che deve poter elaborare per offrire i suoi servizi.

Il Garante, tuttavia, riconosce l'elemento soggettivo della colpa al titolare del trattamento perché è Google ad avere una posizione primaria. L'azienda ha, infatti, fornito informazioni che lasciavano presagire l'adeguamento alla normativa europea vigente. Da qui la decisione di ammonire e non sanzionare l'azienda italiana.

Allo stato dei fatti GA4 può essere considerata un'alternativa legittima a GA3?

A questa domanda non c'è una risposta certa, anche se in molti hanno dato GA4 per buono. Come accennato su, quando il ricorso è stato presentato il nuovo software era in versione beta e il motivo per cui è stato rilasciato da Google è proprio quello di far fronte a questo problema.

Google Analytics 4 utilizza gli indirizzi IP per determinare dove conservare i dati degli utenti e li elimina completamente, in un secondo momento, per aggirare il problema del trasferimento oltreoceano. Inoltre GA4 permette anche dei controlli a livello nazionale e delle opzioni che minimizzano la raccolta dati.

Il Garante italiano, in un'intervista, ha dichiarato che “in teoria può esistere un modo per usare in maniera conforme Google Analytics, in pratica è legittimo dubitarne”. Google Analytics dovrà essere sottoposto a una verifica di conformità e anche se il rilevamento degli indirizzi IP sarà in qualche modo limitato, “il punto è capire se la quantità di dati personali, che comunque anche con questa nuova versione passeranno da una parte all'altra, sarà tale da dichiarare risolto il problema o no”.

Il problema è nella natura stessa dello strumento che è capace di rilevare l'IP e, quindi, re-identificare l'utente attraverso dei dati che allo stato attuale vengono trasferiti negli Stati Uniti. “La nostra principale speranza”, ha commentato il Garante, “è che nei prossimi 90 giorni intervenga un accordo giuridicamente vincolante tra Europa e Stati Uniti. In caso contrario, si configura lo scenario peggiore: il moltiplicarsi di provvedimenti di blocco in relazione ai quali poco si potrà fare. Andranno adottati e saranno destinati ad estendersi a macchia d'olio anche fuori dal perimetro di Google Analytics”.

A che punto siamo con il Trans-Atlantic Data Privacy Framework?

Veniamo, perciò, al nodo dei nodi: la diplomazia. Le trattative tra autorità statunitensi ed europee vanno avanti da tempo. A fine marzo, in occasione della visita a Bruxelles del Presidente Biden, le due parti hanno firmato un accordo preliminare su un Trans-Atlantic Data Privacy Framework.

Anche se non vincolante, l'accordo impegna Washington a:

  • rafforzare la tutela della privacy e delle libertà civili che regolano le attività dell'intelligence statunitensi,
  • stabilire un nuovo meccanismo di risarcimento,
  • nominare un'autorità indipendente
  • aumentare i controlli sull'intelligence.

Questo sistema permetterebbe, inoltre, agli utenti europei di chiedere risarcimenti qualora i loro diritti venissero violati. Al momento, tuttavia, le trattative sono tornate in una fase di stallo e un accordo prima della fine dell'anno sembra inverosimile.

Nel frattempo, anche in Irlanda, il 7 luglio il Garante della privacy ha informato le autorità europee, le quali hanno un mese di tempo per esprimersi, che procederà a bloccare il trasferimento di dati verso gli USA da parte di Meta, l'azienda che possiede Facebook & co.

Che cosa fare?

Per quanto la situazione rimanga molto aleatoria, sono state individuate delle soluzioni che provano a risolvere il problema:

  1. chiedere il consenso esplicito dell'utente al trasferimento dei propri dati fuori dall'Unione Europea;
  2. usare save un software d'analisi con database in Europa, potrebbe trattarsi di un software creato ad hoc da un'azienda o di software terzo con server europei;
  3. Google potrebbe aprire una società in Europa e trattenere i dati all'interno dell'Unione.

In ogni caso, il nostro consiglio è quello di rivolgersi a un legale con esperienza in questo settore e non affidarsi esclusivamente ai software automatici per l'elaborazione della privacy policy che, ricordiamo, deve soddisfare specifici criteri di trasparenza e accessibilità.

Photo by Myriam Jessier on Unsplash

Pubblicato il 11/07/2022 alle ore 15:09

Non ci sono tag

Hai trovato utile questo contenuto?

Informativa

Questo sito e/o gli strumenti di terze parti incluse in esso, utilizzano i cookie con finalità illustrate nella cookie policy. Accettando i cookie con il pulsante qui sotto acconsenti all’uso dei cookie.