Negli ultimi giorni non si sente parlare d’altro che del caso Google Analytics e GDPR.
Ma da dove è nato il problema e quali servizi riguarda?
Il caso si riferisce solo ai servizi Google o può essere esteso a tutti quelli in USA?
Modificare la privacy policy risolverebbe il problema di Google Analytics?
Per fare luce sulle possibili soluzioni e per capire quali potrebbero essere le possibili conseguenze, abbiamo esaminato diversi scenari possibili e risposto a questi e altri dubbi con Frida Del Din di legaledigitale.com.
Table of Contents
Google Analytics e GDPR: cosa sta succedendo?
Ivan Messina di SupportHost.
Frida Del Din di legaledigitale.com.
Qui di seguito puoi vedere l’intervista video in cui Frida ha risposto in maniera chiara e semplice a tutti i dubbi sulla questione GDPR e Google Analytics.
Controlla anche la nostra intervista passata riguardo a GDPR, registro dei trattamenti e all’utilizzo dei cookie sul sito web.
Come è scoppiato il caso GDPR e Google Analytics e come bisogna muoversi
Vediamo da dove è venuto fuori il problema di Google Analytics che sta facendo tanto discutere.
Qual è stato il caso che ha fatto scoppiare tutta la situazione?
Adottare Google Analytics 4 potrebbe davvero risolvere? Oppure le soluzioni sono da ricercare altrove?
E cosa dobbiamo fare nell’attesa? Modifiche alla privacy policy potrebbero essere sufficienti oppure sarà necessario rimuovere i servizi dal sito in tutti i casi?
Vediamo tutte le risposte.
Partiamo con la prima domanda. Cos’è successo esattamente con Google Analytics negli ultimi giorni?
Quello che è successo negli ultimi giorni è scaturito da un provvedimento del Garante, dei primi giorni di giugno. Preciso che si tratta di un provvedimento che riguarda una società specifica che è stata oggetto di un controllo.
Il Garante ha sancito che l’utilizzo di Google Analytics presenta delle criticità. Queste sono legate al fatto che i dati che vengono trasmessi a Google Analytics vengono trasferiti negli Stati Uniti. E, dal 2020 la Corte di Giustizia dell’Unione Europea ha invalidato quello che era l’ombrello protettivo che ci permetteva di trasferire in sicurezza i dati negli Stati Uniti.
Parlo di ombrello protettivo non tanto dal punto di vista della sicurezza informatica quanto per il fatto che, ai sensi del GDPR, il trasferimento dei dati in paesi al di fuori dell’Unione Europea è libero solo nella misura in cui la legislazione e la prassi di questi Paesi offra delle garanzie simili a quelle offerte dal GDPR agli interessati e alla tutela dei dati.
Non essendoci questo allineamento, di fatto il trasferimento diventa sostanzialmente vietato, o meglio è vietato, potrebbe essere effettuato utilizzando degli ulteriori strumenti, ma anche questi alla fine vengono considerati come non adeguati, non sufficienti a tutelare i diritti degli interessati.
Il provvedimento è stato pubblicato il 9 giugno, da quel momento la notizia ha avuto una grande risonanza e ha messo in crisi tutti coloro che utilizzano Google Analytics per le analytics del sito.
Ho sentito qualcuno dire che con Google Analytics 4 il problema GDPR si potrebbe risolvere perché gli IP sono anonimizzati e alla fine questo dovrebbe essere l’unico dato personale, se non sbaglio. Come funziona?
In realtà anche Google Analytics 3 permette di anonimizzare gli IP come opzione facoltativa e il Garante, infatti, aveva rilevato che all’epoca la società (da cui è partito tutto il caso) non aveva gli IP anonimizzati. Nel corso dell’istruttoria la società ha anonimizzato gli indirizzi IP.
Purtroppo, però, il Garante ha riscontrato che l’anonimizzazione degli indirizzi IP non è sufficiente. Questo perché, soprattutto se l’utente è loggato con il proprio account Google, anche se il dato è anonimizzato e vengono oscurati alcuni dei caratteri dell’indirizzo IP (3 su 8), in qualche modo Google riesce comunque a identificare il soggetto attraverso l’incrocio di altri dati.
Questo è quello che emerge dal provvedimento, anche se andrebbe approfondito. Quindi sembrerebbe che l’anonimizzazione da sola non sia sufficiente.
Per ritornare alla domanda, per quanto riguarda Google Analytics 4, se le implementazioni tecniche si limitano solo all’anonimizzazione e a renderla obbligatoria, bisognerebbe poi andare a vedere nello specifico se c’è qualche misura in più.
Quindi, di fatto, passare a Google Analytics 4 non risolve la situazione.
Bisogna vedere se Google sta implementando anche altre funzionalità. Considerando che l’obbligatorietà di GA4 entrerà in vigore dal 1 luglio 2023, è plausibile che stiano ancora implementando il prodotto. Per cui si potrà poi vedere se, nella sua versione definitiva, verranno inserite anche altre funzioni.
Allo stesso modo si attende il Trans-Atlantic act che dovrebbe arrivare e che dovrebbe essere una decisione di adeguatezza che dovrebbe risolvere a monte questo problema. Ricordiamoci, infatti, che la questione non riguarda solo Google Analytics, ma anche tutti gli altri strumenti che vengono forniti da società statunitensi.
Su questo ritorneremo dopo con delle domande specifiche. In questo caso, invece, chi deve trovare una soluzione? Google o l’atto a cui facevi riferimento?
In realtà, in base al principio dell’accountability, chi deve trovare una soluzione è il titolare del trattamento, quindi colui che gestisce il sito. Poi sicuramente Google prenderà atto della situazione, come è già successo in passato, e troverà una soluzione.
Di certo se arriverà il Trans-Atlantic act, il problema della disparità di trattamento delle leggi a livello europeo e a livello statunitense sarà risolto. A quel punto, quindi, non ci saranno ulteriori problematiche perché il problema di fondo in realtà è proprio questo: una società statunitense può ricevere una richiesta e dover esibire i dati anche senza una dover rispettare una serie di garanzie. Perlomeno questa è la stata la conclusione della Corte di Giustizia dopo aver analizzato la questione.
Questa situazione si ricollega anche al tema della sorveglianza sociale e anche alla legge e la prassi che sono intervenuti dopo i noti fatti del 2001 e successivi. La soluzione ideale, e migliore tra tutte, sarebbe quindi l’arrivo del Trans-Atlantic act.
Ad oggi è il titolare del trattamento che deve fare le sue valutazioni. Questo perché il Garante potrà anche prendere provvedimenti nei confronti di Google (come è successo già in passato), però quando apre un’indagine su una società che gestisce un sito allora ad esserne responsabile sarà il titolare della società.
Per adesso, quindi, la soluzione per chi ha un sito è eliminare Google Analytics e poi sperare nel Trans-Atlantic act o sperare che Google riesca a sistemare e che si possa continuare a usare il servizio. Ho capito bene?
Sì, sicuramente la soluzione migliore, specie per quei siti che usano Google Analytics perché di utilizzo comune, ma non ne fanno un uso fondamentale nella loro strategia, è ricercare strumenti analoghi che non implichino il trasferimento dei dati fuori dall’Unione Europea.
In questi giorni, infatti, si sente parlare di Matomo.
Sì, infatti è una delle alternative a Google Analytics che vengono proposte come possibili.
Facciamo l’ipotesi in cui io ho un banner dei cookie e gli utenti che visitano il sito hanno la possibilità di scegliere che tipo di cookie vogliano accettare e, per esempio, accettano di utilizzare i cookie di Analytics. Se nella privacy policy inserisco una dicitura in cui dico che uso Google Analytics e che i dati possono essere esportati fuori dall’Europa, ecc. Questa può essere una soluzione oppure no?
Potrebbe essere una soluzione. Come dicevamo prima, infatti, ci sono delle deroghe in virtù delle quali è possibile effettuare il trasferimento. Una di queste deroghe, dettate dall’articolo 49 lettera A del GDPR, è il consenso esplicito dell’interessato, a condizione che venga informato adeguatamente di quelli che sono i rischi del trasferimento.
Questa potrebbe sembrare una soluzione, in realtà la dottrina impone di fare attenzione. Infatti, trattandosi di una deroga, e quindi un’eccezione ad un divieto, deve applicarsi in casi straordinari, eccezionali e non ripetuti.
È chiaro che, se andiamo ad applicare a tutti i visitatori che possono arrivare sul nostro sito, questo carattere di eccezionalità che deve avere la deroga potrebbe essere contestato che non sussista. E, quindi, una soluzione di questo tipo potrebbe essere considerata insufficiente.
Quindi diciamo che non è una reale soluzione.
È una soluzione che comporta dei rischi. Il trattamento dei dati personali, per quanto possa sembrare banale, ai sensi del diritto civile equivale a “svolgere attività pericolosa“, nel senso che i dati sono importanti.
Ne consegue che è necessario avere un atteggiamento proattivo e cercare delle soluzioni che siano quanto più possibile conformi al dettato normativo.
Può darsi, in alcune ipotesi, che facendo un bilanciamento dei vari interessi in campo, il titolare del trattamento possa anche decidere di assumersi il rischio.
In questo caso potrebbe stabilire di implementare la soluzione, anche se non è ideale e non è, quindi, la massima garanzia possibile. Il titolare decide così di implementare la soluzione, alla luce di questa premessa, e di giustificarla, soprattutto nell’eventualità in cui dovesse venire contestata.
La cosa più importante è sempre fare una valutazione a monte perché tutta la normativa sul trattamento dei dati personali è fondata sull’accountability. Quindi io sono libero di scegliere, ma devo dare conto delle motivazioni delle mie scelte.
L’aver fatto una valutazione ed essersi assunti dei rischi può essere, in un certo senso, meno grave che non aver valutato nulla e aver agito senza pensare.
Quindi non basta che io inserisca nella privacy policy dove finiscano i dati e che l’utente accetta per essere “autorizzato” a farlo?
Esatto. Proprio per il principio di eccezionalità di cui parlavamo prima. In alcuni casi isolati o particolari può applicarsi quella deroga.
Apriamo una parentesi entrando più nel tecnico per capire perché la valutazione è importante. Se è vero che i dati sono “in pericolo” negli Stati Uniti perché vengono acquisiti in alcune situazioni dall’Intelligence, è anche vero che l’articolo 49 lettera D (del GDPR) prevede l’eccezione di gravi motivi di interesse pubblico.
Questo è l’argomento che è stato sollevato dal governo americano dopo la sentenza, ipotizzando che si potrebbe utilizzare questo tipo di base giuridica. Vale a dire che nel momento in cui avviene un accesso da parte dell’Intelligence, posso invocare quel tipo di eccezione tale da giustificare il trasferimento dei dati.
Il problema è che non si capisce perché la Corte di Giustizia, invece, sostiene che in realtà le richieste di accesso vengono svolte senza ordine del giudice o senza fondati sospetti. Questa parentesi serve solo a capire quanto sia complessa la questione e, quindi, quanto sia altrettanto difficile trovare una soluzione.
GDPR, Google Analytics e altri servizi di aziende USA: cosa aspettarsi
La domanda che tutti si stanno ponendo adesso è se la situazione di Google Analytics non riguardi, appunto, solo questo servizio, ma si possa estendere anche ad altri strumenti statunitensi.
Questo è il caso degli altri servizi di Google e non solo.
Ci basti pensare al pixel di Facebook e a tutti gli altri servizi made in USA.
Ma anche la situazione stessa dei provider di servizi hosting che vengono offerti da società statunitensi pur appoggiandosi a server in Europa. La posizione del server è importante in questo caso? O bisogna tenere conto anche di altri fattori?
Vediamo cosa succede in tutte queste situazioni.
A questo punto la domanda che mi viene in mente, e che ho letto anche ovunque sui vari gruppi che frequento, è se questa situazione potrebbe scatenare un effetto domino. Se non posso usare Google Analytics, posso continuare a usare il pixel di Facebook, per esempio?
Questo è un problema perché effettivamente la questione non riguarda solo Google Analytics. Il problema va affrontato in tutti i casi in cui vado a utilizzare degli strumenti che trasferiscono o possono trasferire dati in un paese che non è stato ritenuto, dall’Unione Europea, adeguato per il trasferimento e, quindi, sicuro.
Quindi se per adesso, per tornare all’esempio di prima, il problema non è ancora emerso esplicitamente riguardo al pixel di Facebook, consigli comunque di eliminarlo dal sito?
Anche qua le valutazioni vanno sempre fatte caso per caso. Sicuramente, anche se il Garante non si è espresso nei confronti di quello specifico strumento, bisogna fare una valutazione su tutti gli strumenti che si stanno utilizzando.
Senza entrare nel dettaglio, riguardo al pixel di Facebook si potrebbe considerare che abbiamo già degli utenti che sono sul social, e quindi i loro dati sono già fuori, però bisogna considerare anche come funziona lo strumento.
Inoltre bisogna tenere conto di come viene utilizzato e, soprattutto, qual è il ruolo dell’utente. Questo caso, infatti, è diverso da quello di Analytics in cui l’utente subisce, in un certo senso, la scelta del titolare del trattamento che ha facoltà di utilizzare o meno lo strumento sul suo sito.
Nel caso dei social il discorso potrebbe essere più ampio proprio perché l’utente ha accettato di entrarvi e creare un account. Anche in questo caso, però, è bene sottolineare che occorre valutare con attenzione.
Supponiamo che io utilizzi un servizio dove vengono caricati dati di utenti europei che ha i server in Europa, ma l’azienda è in USA. Posso continuare a usarlo oppure sarebbe meglio evitare di farlo?
Il provvedimento che sta facendo tanto discutere offre una risposta a questo tipo di situazione. In questo caso la società statunitense è soggetta alla legislazione federale statunitense. Quindi, a prescindere da dove può avere i server, è chiaro che se è sotto il controllo di una società sottoposta a quella giurisdizione, è facile pensare che difronte ad una richiesta non abbia modo di sottrarsi solo perché i server sono da un’altra parte.
Abbiamo visto tutti che in questi due anni Google ha fondato la società irlandese e, recentemente, ha anche quella italiana. Però, è anche vero che la società statunitense controlla queste altre società. Nel caso che ha esaminato il Garante, i dati venivano trasferiti negli Stati Uniti e criptati, ma la chiave di decriptazione era in possesso della società statunitense, quindi torniamo di nuovo allo stesso discorso di prima.
C’è, quindi, comunque sempre il rischio visto che la società deve rispondere trattandosi di una richiesta governativa. In conclusione, avere i server in Europa non è una soluzione sufficiente, perché dipende da chi può avere accesso a quei dati.
Questo blocco di Google Analytics potrebbe causare un effetto dominio e rendere, quindi, tutti i servizi in USA illegali? Mi pare di capire di sì.
Più che illegali, direi che presentano queste problematiche di cui abbiamo parlato. Google, ma anche altre aziende, sono consapevoli di questa situazione e stanno cercando di risolverla.
Per esempio nel giugno dell’anno scorso la Commissione Europea ha approvato le nuove clausole contrattuali standard che possono essere inserite nei contratti e che vanno ad aggiungere delle misure in più proprio nei casi in cui il trasferimento viene effettuato in un paese che non ha una decisione di adeguatezza.
Queste clausole e misure suppletive potrebbero essere sufficienti, ma in realtà non lo sono perché alla fine la soluzione vera ci sarà quando avremo un accordo tra Unione Europea e Stati Uniti che offra delle garanzie in conformità al regolamento europeo.
I vari servizi Google come Drive, Gmail, vanno a soffrire dello stesso problema? Se io sto usando Gmail per lavoro e mando un’email a Frida, devo avere quantomeno il suo indirizzo email.
A ben guardare sì, perché c’è sempre il concetto del dato e di dove viene archiviato o sotto il controllo di chi viene archiviato.
E per Adsense come funziona? C’è uno scambio di dati personali o no se utilizzo i banner sul mio sito?
Anche in questo caso bisogna fare un’analisi approfondita per capire come funziona esattamente lo strumento e se c’è tracciamento dei dati.
Cosa bisogna fare ora?
Ora che abbiamo sviscerato la questione e capito che bisogna fare attenzione anche per l’utilizzo degli altri strumenti, vediamo cosa occorre fare da qui in avanti e quanto tempo abbiamo per adeguarci per evitare rischi.
Sai se sono già stati presi dei provvedimenti verso dei siti che usano Google Analytics o ancora è presto?
Per quanto riguarda il Garante italiano e in realtà credo anche quello francese, c’è un provvedimento che si conclude con l’ammonizione della società e l’assegnazione di un termine di 90 giorni per trovare una soluzione soddisfacente e alternativa.
Al momento non ci sono sanzioni pecuniarie, parlo sempre del caso di specie. E ci sono state delle valutazioni del Garante che hanno portato a considerare questo tipo di violazioni, parlo di Google Analytics ecc, come una violazione minore.
Tutto questo riferito solo al caso di specie.
Sicuramente la natura dei dati che vengono trattati è la stessa per tutti i titolari dei siti. Qui ha avuto un peso anche il fatto che la Società è stata particolarmente collaborativa e si è attivata per sistemare le cose. Anche questo comportamento viene visto positivamente.
Certo, dobbiamo considerare che trattandosi della prima, questo trattamento potrebbe non essere riservato alle prossime.
Il problema riguarda tutti, anche a livello di enti pubblici che magari utilizzano alcuni di questi strumenti.
Qual è la data ultima per eliminare Google Analytics da tutti i siti?
Non c’è una data unica perché l’unico dato è 90 giorni a partire dal 9 giugno, ma solo per la società che è stata oggetto dell’accertamento.
Possiamo presumere che possiamo prenderci un po’ di tempo per valutare bene la situazione, approfondirla e aggiornare le nostre scelte, infatti, le scelte che si fanno non sono mai definitive.
Quindi, oggi, alla luce di questo ulteriore dato è il caso di fare una riflessione e un approfondimento in base al proprio sito e al proprio business e prendere delle decisioni. Inoltre non dimentichiamo che si possono esplorare anche delle alternative.
Conclusioni
Grazie a questa preziosa intervista con Frida Del Din abbiamo fatto chiarezza sulla questione Google Analytics e GDPR. Abbiamo visto da dove è nato il problema e come il rispetto del regolamento che tutela la protezione dei dati sia sempre più importante.
Non ci resta che seguire i consigli che ci ha offerto Frida in conclusione: valutare la situazione e adeguare le nostre scelte, magari optando anche per delle alternative.
E tu, cosa ne pensi? Ora la situazione ti è più chiara? Ma soprattutto, ti stai già muovendo per testare delle alternative al noto servizio di Google?
Lascia un commento