Google Analytics e Garante della Privacy: l'ammonizione e la replica

Il sito web che utilizza il servizio Google Analytics, senza le garanzie previste dal Regolamento UE, viola la normativa sulla protezione dei dati perché trasferisce negli Stati Uniti, Paese privo di un adeguato livello di protezione, i dati degli utenti.

Ma che cos'è Google Analytics? Quali sono i dati che gli Stati Uniti non proteggono adeguatamente? Come si può agire per risultare conformi al GDPR?

Questo articolo vuole cercare di fare un po' di chiarezza e di rispondere a queste domande.

...Ma che cos'è Google Analytics?

Google Analytics (GA) è un servizio gratuito, messo a disposizione da Google, che consente di analizzare dettagliate statistiche sui visitatori di un sito web.

Sono molte le aziende che utilizzano questo strumento per monitorare gli accessi al proprio sito internet. Tramite GA è infatti possibile conoscere statistiche relativamente al numero di accessi, alla durata della sessione di visita, alla posizione geografica dell'utente che ha visitato il sito, al dettaglio delle pagine visitate, per esempio quali siano le pagine più cliccate, il numero di pagine viste per singolo accesso.

Il sistema è integrabile con altri servizi, per esempio, sempre della famiglia di Google, citiamo Google Ads, che permette di configurare campagne online. I due sistemi integrati consentono, tra le altre funzionalità, di creare annunci pubblicitari, di migliorare il posizionamento del proprio sito nelle ricerche di Google e di monitorare l'efficacia di queste azioni consultando i report degli accessi.

...Quali sono i dati che gli Stati Uniti non proteggono adeguatamente?

I siti web che utilizzano Google Analytics raccolgono, tramite cookies, l'indirizzo IP del dispositivo dell'utente. L'indirizzo IP è un indirizzo assegnato ad un dispositivo collegato ad una rete interna od esterna. Sebbene di per sé un indirizzo IP non contenga ulteriori informazioni, può essere utilizzato per trarre deduzioni sull'utente. È possibile, per esempio, determinare una posizione geografica, più o meno precisa. Utilizzando gli indirizzi IP, i provider internet possono monitorare e tracciare il flusso dei dati dei loro clienti.

All'interno del Regolamento generale per la protezione dei dati (GDPR), è stato stabilito che gli indirizzi IP fanno parte, in qualità di cosiddetti identificativi online, dei dati personali e necessitano quindi di un'adeguata protezione.

Quando l'utente accede tramite il proprio account Google, i dati che possono essere ricavati dall'analisi dell'indirizzo IP diventano di più: indirizzo email, numero di telefono, altri dati personali quali l'immagine del profilo.

Il Garante della Privacy ha ritenuto non sufficienti le misure adottate da Google per rendere il trasferimento dei dati conforme al GDPR.

Il Garante ha evidenziato, in particolare, la possibilità per le Autorità governative e le agenzie di intelligence statunitensi, di accedere ai dati personali trasferiti senza le opportune garanzie, rilevando che, alla luce delle indicazioni fornite dall'EDPB (Raccomandazione n.1/2020 del 18 giugno 2021), le misure che integrano gli strumenti di trasferimento adottate da Google non garantiscono un livello adeguato di protezione dei dati personali degli utenti.

Inoltre, anche qualora si adottassero tecniche di IP-Anonymization, queste permetterebbero comunque a Google di riuscire ad identificare l'utente.

...Come si può agire per risultare conformi al GDPR?

L'illegittimità di Google Analytics deriva quindi dal trasferimento di dati verso gli Stati Uniti che era disciplinato dal regime giuridico previsto dal Privacy Shield. La sentenza Schrems II della Corte di Giustizia dell'Unione Europea ha dichiarato l'invalidità di questo regime giuridico in quanto non garantisce un livello di protezione come quello che vige all'interno dell'Unione Europea grazie al GDPR.

Stati Uniti ed Europa stanno negoziando un nuovo accordo che tenga conto di una serie di provvedimenti e normative riguardanti la regolarizzazione delle piattaforme e dei mercati digitali (es. Digital Market Act e Digital Services Act).

Nel frattempo, Google ha rilasciato una nuova versione di Google Analytics, "GA4". Tale versione permette la configurazione di alcuni parametri per la gestione dei dati personali con la possibilità di gestire gli stessi con server di Google situati in Europa. Tuttavia, il Garante non ha ancora espresso un parere favorevole all'utilizzo di GA4.

Pertanto, i titolari del trattamento che si affidano a Google Analytics sono richiamati dal Garante della Privacy a verificare la conformità delle modalità di utilizzo di cookies e altri strumenti di tracciamento. I tempi dettati dal Garante sono di 90 giorni a partire dalla data del comunicato stampa, scaduti i quali il Garante provvederà a verificare la conformità al Regolamento UE dei trasferimenti di dati effettuati dai titolari.

In attesa di chiarimenti dalle Autorità competenti, i titolari del trattamento possono cogliere l'occasione per analizzare i servizi concorrenti di GA presenti sul mercato e che trattano i dati all'interno dell'Unione Europea.

Google sta facendo passi in direzione giusta, adottando nuove misure dal punto di vista della protezione dei dati; ma sarà comunque necessaria l'approvazione del Garante della Privacy prima di affidarsi nuovamente ai suoi strumenti per il monitoraggio dei siti web.

Le organizzazioni che applicano un sistema ISO 27001 con estensione alla ISO 27701 dispongono degli strumenti utili a gestire situazioni come quella descritta in questo articolo. QSA può fornire servizi di consulenza per l'implementazione di tali sistemi.