Google Analytics

Di recente il Garante sulla Privacy al termine di una complessa istruttoria si è pronunciato a proposito di Google Analytics rilevando che quest’ultimo non rispetta la normativa sulla privacy, in quanto i dati vengono trasferiti negli Stati Uniti, un paese che non offre un adeguato livello di protezione per gli utenti.

Ovviamente quanto annunciato ha scosso tutto il web. Ma perché questa decisione?

Per farla breve tutto nasce dall’istruttoria sul caso di Caffeina Media srl in cui si evidenzia una violazione sul trasferimento dei dati personali tramite il tracciamento effettuato da Google Analytics. Come si può ben immaginare questo è un problema molto vasto che interessa la quasi totalità dei siti italiani, vista la diffusione di questo strumento.

E adesso che si fa?

Una soluzione e una decisione ufficiale in questo momento non c’è.

Il Garante ha concesso, nel provvedimento preso per il caso Caffeina, un tempo di 90 giorni per poter apportare le modifiche necessarie ad evitare il trasferimento di dati non consentito.

La speranza, visto che molti siti ne sono coinvolti, è che gli attori di questa vicenda, Google e le istituzioni, si impegnino per trovare una soluzione definitiva al problema.

Rimane però da capire. Il nostro sito ha lo stesso problema? Se si utilizza un sistema di tracciamento del traffico potrebbe essere interessato. Possiamo verificarlo per te.

Avere però un sito senza un sistema di tracciamento del traffico di certo ti esclude da questo problema di privacy, ma ne vale veramente la pena? Senza un efficiente sistema di tracciamento non è possibile ottimizzare la navigazione sul sito, incrementare l’indicizzazione dei motori di ricerca, controllare l’andamento delle campagne marketing.

Contattaci

Se poi vi interessa approfondire ulteriormente l’argomento si riporta di seguito l’intervento dell’avv. Guido Scorsa componente del Garante per la protezione dei dati personali.

Fonte: Garante Privacy

Garante e Google Analytics, l’intervista a Guido Scorza

«Il contesto è quello dell’ormai famosa decisione della Corte di Giustizia dell’Unione Europea che ha di fatto annullato il Privacy Shield che garantiva l’export di dati verso gli Stati Uniti d’America – ha spiegato Guido Scorza a Giornalettismo -. La Corte di Giustizia ha evidenziato che tra i due ecosistemi non ci sono le stesse garanzie di tutela: negli Usa, le condizioni per i dati personali importanti dall’Europa non sono le stesse. In particolare, le agenzie di intelligence possono accedere con più facilità ai dati dei cittadini europei e i cittadini europei, in casi di violazioni, non possono appoggiarsi a una autorità garante della privacy che possa offrire loro tutela. Google Analytics, come un sacco di altri servizi americani, presuppone un trasferimento di dati dall’Europa agli Stati Uniti, dati potenzialmente utili a identificare gli utenti che visitano un sito internet che è cliente di Google Analytics: indirizzi IP, identificativi di browser, connessione e tempo di connessione. Essendo, ad oggi, vietato il trasferimento dei dati verso gli Usa, ed avendo ricevuto dei reclami nei confronti di questo aspetto, ci siamo adeguati. La nostra intenzione non era quella di trovare il cattivo del gruppo».

E infatti, l’effetto potrà diffondersi a cascata. L’orizzonte è quello dei 90 giorni che il Garante ha concesso per effettuare le opportune verifiche. Ma la questione non può risolversi in alcun modo “in casa”. Si tratta di un problema politico, che deve giocarsi tra Bruxelles e Washington. Esattamente come accaduto a marzo dell’anno scorso, quando il presidente Usa e quella della commissione europea avevano trovato un’intesa sull’annoso problema del trasferimento dei dati personali a parità di garanzie.

«Il vero nodo non si può sciogliere a valle, ma a monte – conferma Guido Scorza -. Significa passare dall’impegno politico che a marzo Joe Biden e Ursula von der Leyen hanno preso per uniformare l’allineamento americano a quello comunitario, rendendo semplice e legittimo il trasferimento dei dati agli Stati Uniti. Quello che manca a quell’accordo politico è un accordo giuridicamente vincolante. Noi stiamo giocando di supplenza, in un tratto specifico della filiera, legata a un singolo episodio: ma il problema è molto più ampio».

Cosa fare, ora, se si è utenti di Google Analytics?

Il problema pratico che, adesso (o comunque tra 90 giorni), riguarderà tutti i gestori di siti web italiani che usano Google Analytics è rappresentato da un’unica domanda: cosa fare? Nella community c’è fermento, si moltiplicano richieste e si propongono fantasiose soluzioni. Al momento, secondo il collegio del Garante, ci sono pochi punti fermi: «Il trasferimento dei dati negli Stati Uniti non è vietato a prescindere. Il dubbio che ora è diffuso – il nostro provvedimento segue quello dei colleghi austriaci e francesi – da parte delle autorità di protezione è che esista allo stato una modalità di Google Analytics conforme, su cui si possano applicare le garanzie legate al trattamento dei dati. Dire se questo è possibile o non è possibile sta ai vari siti e a Google. Il nostro provvedimento non è un semplice blocco: nel documento si dice al gestore del sito se nei 90 giorni successivi riuscirà a usare questo servizio a norma di GDPR; in caso contrario bisogna fermarsi».

Una speranza può essere rappresentata dall’ormai imminente passaggio alla versione di Google Analytics 4, che sta già creando più di un grattacapo ai gestori dei siti web: «In teoria può esistere un modo per usare in maniera conforme Google Analytics, in pratica è legittimo dubitarne – dice Scorza -. Capire su quale sponda ci troviamo è compito dei titolari del trattamento. Una volta che sapremo di più su Google Analytics 4, bisognerà fare una verifica di conformità. Sicuramente sul versante degli indirizzi IP ci sarà una semplificazione, il punto è capire se la quantità di dati personali, che comunque anche con questa nuova versione passeranno da una parte all’altra, sarà tale da dichiarare risolto il problema o no».

L’unica certezza è che la portata di questa decisione potrebbe essere epocale e che, in assenza di un provvedimento politico, si possa fare ben poco. «La portata del problema – conclude Guido Scorza – è tanto vasta quanto è la posizione di un leader di mercato come Google Analytics. È realistico supporre che la più parte o la totalità degli utenti italiani di Google Analytics si trovino esattamente nella stessa condizione in cui si è trovato il titolare del trattamento oggetto del nostro provvedimento. La nostra principale speranza è che nei prossimi 90 giorni intervenga un accordo giuridicamente vincolante tra Europa e Stati Uniti. In caso contrario, si configura lo scenario peggiore: il moltiplicarsi di provvedimenti di blocco in relazione ai quali poco si potrà fare. Andranno adottati e saranno destinati ad estendersi a macchia d’olio anche fuori dal perimetro di Google Analytics». E, in quel caso, non sarà un bel momento per la maggior parte dei siti e dei servizi online in Italia.

A completamento dell’informazione, vi riportiamo il link, dal sito ufficiale del Garante Privacy del Provvedimento del 9 giugno 2022 di cui abbiamo parlato