Conosciamo le novità della nuova UNI ISO 11228-1:2022
Giugno 10, 2022
La UNI/PdR 125:2022 per la gestione e la misurazione della parità di genere nelle imprese
Luglio 12, 2022

Google Analytics “illegale” secondo il Garante Privacy: e ora?

Google: Garante privacy stop all’uso degli Analytics. Dati trasferiti negli Usa senza adeguate garanzie. 

“Il sito web che utilizza il servizio Google Analytics (GA), senza le garanzie previste dal Regolamento Ue, viola la normativa sulla protezione dei dati perché trasferisce negli Stati Uniti, Paese privo di un adeguato livello di protezione, i dati degli utenti.”

Il provvedimento è notevole perché, a seguito di un reclamo, il Garante ha preso la sua prima posizione ufficiale su una faccenda spinosa: la liceità del trasferimento dati verso gli Stati Uniti dopo che la Corte di Giustizia Ue ha invalidato il privacy shield e nell’attesa di un nuovo accordo Usa-Europa sulle garanzie per il trasferimento dati.

Dall’indagine del Garante è emerso che i gestori dei siti web che utilizzano GA raccolgono, mediante i cookie, informazioni sulle interazioni degli utenti con i predetti siti, le singole pagine visitate e i servizi proposti. Tra i molteplici dati raccolti, indirizzo IP del dispositivo dell’utente e informazioni relative al browser, al sistema operativo, alla risoluzione dello schermo, alla lingua selezionata, nonché data e ora della visita al sito web. 

A seguito di questo reclamo, è stato ribadito che l’indirizzo IP costituisce un dato personale e anche nel caso fosse troncato non diverrebbe un dato anonimo, considerata la capacità di Google di arricchirlo con altri dati di cui è in possesso.

Ricordiamo che Google Analytics è lo strumento di web analytics fornito da Google ai gestori di siti internet, che consente la generazione di dettagliate statistiche sugli utenti. Lo strumento è utilizzatissimo da chi fa digital marketing per ottimizzare le proprie attività on line.

Caffeina Media S.r.l., la società cui è arrivata il provvedimento del Garante, è una delle tantissime realtà italiane, sui cui sistemi è installata la versione gratuita di Google Analytics. La questione però come detto è generalizzata. Il Garante ha chiesto a tutte le società di valutare attentamente il trasferimento dati estero con strumenti come Analytics.

Può essere insomma il primo passo – atto dovuto dopo le denunce ricevute dal Garante – per una possibile escalation, sempre che l’Europa e gli USA non si accordino prima.

I problemi di Google Analytics

Ma perché Analytics viola il GDPR, per il Garante? C’è innanzitutto un problema formale di nomina.

1. Il problema “formale” di nomina

Google, facendo tracciamento dei dati degli utenti del sito web, diviene Responsabile del Trattamento, conformemente all’art. 28 del GDPR, e dovrebbe essere nominato e adeguatamente istruito relativamente le attività di trattamento.

L’impossibilità per qualsivoglia titolare europeo di imporre a Google o a una qualsiasi Big Tech, le proprie istruzioni documentate, è uno dei principali cortocircuiti del GDPR, come denunciato da Wojciech Wiewiórowski, in una recente conferenza (17/06/22 Bruxelles) sullo stato di salute del Regolamento Europeo.

Nei fatti Google si autonomina con i “Google Analytics Terms of Service” e i “Google Ads Data Processing Terms”, propri documenti fatti pro domo sua, e dati senza alcuna possibilità di discussione ad ogni soggetto, che necessiti di utilizzare suoi applicativi, dall’alto di una palese e manifesta sproporzione di forza fra le parti.

Tali accordi definiscono Google Ireland Limited come Responsabile del trattamento, come da art. 28 del GDPR e annoverano tra i subfornitori l’americana Google LLC, innescando un problema, come vedremo a breve, di trasferimento internazionale di dati oltre oceano.

2. Il problema “sostanziale”

In secondo luogo c’è un problema sostanziale.

I siti web raccolgono, mediante cookies trasmessi al browser degli utenti, informazioni in ordine alle modalità di interazione di questi ultimi con il sito web, nonché con le singole pagine e con i servizi proposti.

I dati raccolti consistono in:

  • identificatori online unici che consentono sia l’identificazione del browser o del dispositivo dell’utente che visita il sito web;
  • indirizzo, nome del sito web e dati di navigazione;
  • indirizzo IP del dispositivo utilizzato dall’utente, che come sappiamo è un dato personale;
  • informazioni relative al browser, al sistema operativo, alla risoluzione dello schermo, alla lingua selezionata, nonché a data e ora della visita al sito web.

L’aggravante è data dal fatto che l’utente del sito web può essersi loggato al proprio account Google, e che quindi i dati poc’anzi citati possano essere associati ad altre informazioni presenti nel relativo account, quali l’indirizzo email (che costituisce l’user ID dell’account), il numero di telefono ed eventuali ulteriori dati personali, tra cui il genere, la data di nascita o l’immagine del profilo.

Infine, vi è appunto la sentenza della Corte di Giustizia Europea che ha cancellato il “Privacy Shield”. Il fatto che, a distanza di due anni, le diplomazie transatlantiche non siano ancora riuscite ad accordarsi su un compromesso, che possa mettere tutti d’accordo, implicitamente dimostra che la questione non è così semplice da dipanare.

La soluzione (errata) dell’IP-Anonymization

La soluzione errata portata avanti da Google Analytics, si chiama impropriamente “IP-Anonymization”. Lo strumento oscura l’ottetto meno significativo, le ultime cifre dell’IP per intenderci, rendendolo virtualmente anonimo e quindi non più elemento che lo renda soggetto al GDPR. Tale strumento non sempre è implementato, essendo una personalizzazione lasciata agli utenti, che sovente ignorano l’esistenza della soluzione.

Il Garante ha detto che Caffeina non l’ha attivato e che se pure l’avesse fatto non sarebbe stato sufficiente per l’anonimizzazione.

Il nome della stessa soluzione è fuorviante, poiché non si tratta di una reale anonimizzazione, ma di una mera pseudoanonimizzazione. In sostanza il troncamento dell’ultimo ottetto non impedisce a Google LLC di re-identificare l’utente medesimo, tenuto conto delle informazioni complessivamente detenute dalla stessa relative agli utenti del web.

Sussiste, inoltre, in capo alla medesima Google LLC la possibilità, qualora l’interessato abbia effettuato l’accesso al proprio profilo Google, di associare l’indirizzo IP ad altre informazioni aggiuntive già in suo possesso (quali le informazioni contenute nell’account utente).

MonitoraPA e le sue 7833 e-mail

Per gli addetti ai lavori il tema di Google analytics è particolarmente scottante, dopo che un collettivo di hacker – attivisti della privacy, “Monitora PA”, un mese fa ha sollevato un discreto polverone.

I telefoni hanno iniziato a squillare e le e-mail a fioccare, mentre solerti dipendenti comunali strabuzzavano gli occhi di fronte alle comunicazioni giunte a protocollo, che denunciavano l’illegale uso di Google Analytics sui siti istituzionale di ben 7833 enti comunali, intimando l’immediata disinstallazione dello strumento di tracciamento, pena una denuncia al Garante e il pubblico ludibrio, attraverso la pubblicazione sul web di tutte le amministrazioni, che perseverassero nella condotta illecita.

Conclusioni

Insomma, la situazione è in divenire il provvedimento odierno contribuisce solo in parte a chiarirla, e in parte aumenta le incertezze perché non è chiaro cosa possa succedere adesso a chi continua a usare Analytics. Certo dovrebbero valutarne la sostituzione, ma oltre a questo non si può dire altro.

Il Garante in effetti non ha infierito e non ha stabilito sanzioni, quasi giustificando in parte Caffeina Media S.r.l. dichiarando: “stante l’asimmetria di potere contrattuale derivante dalla primaria posizione di mercato assunta da Google nel settore dei servizi di web analytics – (il trasgressore) ha erroneamente assunto come idonee, sulla base delle informazioni rese da Google, le misure supplementari adottate da quest’ultima senza esercitare alcun potere decisionale in merito alle stesse.

Il Garante, infine, nelle sue conclusioni “ordina la sospensione dei flussi, verso Google LLC con sede negli Stati Uniti”.

Con l’occasione l’Autorità richiama all’attenzione di tutti i gestori italiani di siti web, pubblici e privati, l’illiceità dei trasferimenti effettuati verso gli Stati Uniti attraverso GA, anche in considerazione delle numerose segnalazioni e quesiti che stanno pervenendo all’Ufficio. E invita tutti i titolari del trattamento a verificare la conformità delle modalità di utilizzo di cookie e altri strumenti di tracciamento utilizzati sui propri siti web, con particolare attenzione a Google Analytics e ad altri servizi analoghi, con la normativa in materia di protezione dei dati personali.

fonte: garanteprivacy.it | agendadigitale.eu


Per saperne di più puoi chiedere un incontro con un nostro consulente a contatti@ecoconsult.it  e per rimanere sempre aggiornato sulle ultime novità iscriviti alla nostra NEWSLETTER (fai richiesta nella nostra sezione contatti)!

close-image