Il Garante della Privacy ha vietato l’utilizzo di Google Analytics?
È quanto si sta chiedendo da diversi giorni chiunque lavori nel mondo dell’online o possieda un sito web.
Il Garante della Privacy Italiano ha evidenziato come, senza l’adozione di specifici accorgimenti molto complessi da mettere in pratica, l’utilizzo di Google Analytics in siti e applicazioni violi quanto previsto dal General Data Protection Regulation (GDPR), la normativa europea che vige in materia di protezione dei dati personali.
Il Garante della Privacy ha avviato un’istruttoria molto complessa a seguito di una serie di reclami, arrivando così a questa conclusione:
“Il sito web che utilizza il servizio Google Analytics (GA), senza le garanzie previste dal Regolamento Ue, viola la normativa sulla protezione dei dati perché trasferisce negli Stati Uniti, Paese privo di un adeguato livello di protezione, i dati degli utenti.”
Dall'indagine del Garante è emerso che i gestori dei siti web che utilizzano Google Analytics raccolgono, mediante cookie, molte informazioni sulla navigazione delle pagine da parte degli utenti e sull’utilizzo dei servizi proposti. E, punto fondamentale dell'istruttoria, queste informazioni vengono trasferite attraverso GA negli Stati Uniti.
All’esito di tali accertamenti il Garante ha adottato il primo di una serie di provvedimenti con cui ha ammonito Caffeina Media S.r.l., che gestisce un sito web. Il Garante ha evidenziato, in particolare, la possibilità, per le Autorità governative e le agenzie di intelligence statunitensi, di accedere ai dati personali che l'azienda trasferisce verso gli Stati Uniti senza le dovute garanzie, rilevando al riguardo che, alla luce delle indicazioni fornite dall’EDPB (Raccomandazione n. 1/2020 del 18 giugno 2021), le misure che integrano gli strumenti di trasferimento adottate da Google non garantiscono un livello adeguato di protezione dei dati personali degli utenti.
Il Garante della Privacy ha imposto all’azienda di conformarsi al Regolamento europeo entro novanta giorni. In questo lasso di tempo Caffeina Media S.r.l. dovrà adottare misure adeguate per il trasferimento, anche se non è ancora chiaro quali saranno queste misure.
L'indagine avrebbe fatto emergere come i gestori dei siti web che utilizzano Google Analytics raccolgano, tramite i cookie, informazioni sulle interazioni degli utenti con i siti stessi, le pagine Internet visitate e i servizi offerti.
Tra i molteplici dati raccolti attraverso GA vi sono indirizzo l'IP del dispositivo dell’utente, quindi la sua posizione, informazioni relative al browser, alla risoluzione dello schermo, alla lingua selezionata e al sistema operativo utilizzato, dati riguardo la data e l’ora in cui viene visitato il sito. In particolare, l’indirizzo IP costituisce un dato personale che, anche se troncato, non costituisce un dato anonimo, considerata la capacità di Google di arricchirlo con altri dati di cui è in possesso.
Non è chiaro quali misure potranno essere adottate per rispettae il GDPR e continuare ad utilizzare gli strumenti di Google per le analisi dei risultati dei nostri siti web e le nostre strategie.
Molte delle soluzioni suggerite dal garante infatti, come la cifratura forte o l’utilizzo di proxy server, sono molto dispendiose da realizzare e non sempre sono applicabili, senza contare che molte misure riducono la possibilità di ricevere informazioni da GA, vanificandone così l’utilizzo.
Una soluzione consigliata è l’utilizzo di piattaforme alternative a Google Analytics, situate all’interno dell’Unione Europea, per risolvere così il problema dell’invio negli Stati Uniti di dati sensibili. Quest’opzione comporterebbe l’abbandono degli strumenti di Google, soluzione che per molte aziende e agenzie corrisponderebbe allo spreco di molte informazioni e risorse investite negli anni, senza contare la valutazione, necessaria, da operare su quanto piattaforme alternative a GA siano in grado di offrire gli stessi strumenti e prestazioni.
Nelle prossime settimane tutti noi dovremo tendere l’orecchio e fare le nostre valutazioni, per capire come sarà opportuno muoversi.
Senza dimenticare che le misure da adottare non saranno relative solo a GA ma anche a qualunque altro servizio che raccolga informazioni sensibili degli utenti e le invii verso paesi fuori dall’Unione Europea.