“Google: Garante privacy stop all’uso degli Analytics. Dati trasferiti negli Usa senza adeguate garanzie”, questo il titolo del comunicato stampa del 23 giugno 2022, con cui il Garante italiano per la protezione dei dati personali ha reso nota una decisione, presa qualche giorno prima, che ha dichiarato illegittimo l’utilizzo di Google Analytics. Almeno l’utilizzo per come fino ad ora lo abbiamo sperimentato.

Il caso  

Partiamo dai fatti. Nel mese di agosto 2020 un utente del sito caffeinamagazine.it ha proposto reclamo contro il gestore de sito, lamentando il fatto che, attraverso l’utilizzo di Google Analytics, il sito trasferisse i dati degli utenti negli Stati Uniti, senza che fosse garantito il rispetto delle regole previste dal GDPR, in materia di protezione dati.

Alla fine del procedimento, lungo ed articolato, il Garante Italiano ha emesso il Provvedimento del 9 giugno 2022 (che vale la pena di leggere integralmente!) nel quale sono stati indicati alcuni punti fermi.

I concetti chiave

– Dal punto di vista protezione dati, il gestore di un sito internet è sempre Titolare del trattamento dei dati degli utenti, mentre i fornitori di servizi (come Google) hanno il ruolo di Responsabili del Trattamento. Spetta quindi al Titolare verificare che i suoi fornitori di servizi rispettino le norme sulla protezione dati. Anche se questo fornitore si chiama Google.

– Con l’utilizzo di Google Analytics, il gestore di un sito “raccoglie, mediante cookies trasmessi al browser degli utenti, informazioni in ordine alle modalità di interazione di questi ultimi con il sito web, nonché con le singole pagine e con i servizi proposti. Più nel dettaglio, i dati raccolti consistono in: identificatori online unici che consentono sia l’identificazione del browser o del dispositivo dell’utente che visita il sito web, sia del gestore stesso del sito (attraverso l’ID account Google); indirizzo, nome del sito web e dati di navigazione; indirizzo IP del dispositivo utilizzato dall’utente; informazioni relative al browser, al sistema operativo, alla risoluzione dello schermo, alla lingua selezionata, nonché a data e ora della visita al sito web” (paragrafo 2.1 del Provvedimento).

– Non solo. “Qualora il visitatore del sito web faccia accesso al proprio account Google –circostanza verificatasi nell’ipotesi in esame–, i dati sopra indicati possono essere associati ad altre informazioni presenti nel relativo account, quali l’indirizzo email (che costituisce l’user ID dell’account), il numero di telefono ed eventuali ulteriori dati personali tra cui il genere, la data di nascita o l’immagine del profilo” (paragrafo 2.1 del Provvedimento). La quantità di dati che Google acquisisce con l’installazione su un sito di Google Analytics è quindi enorme.

– Anche nel caso in cui si utilizzi la funzione IP-Anonymization “il troncamento dell’ultimo ottetto non impedisce a Google LLC di re-identificare l’utente medesimo, tenuto conto delle informazioni complessivamente detenute dalla stessa relative agli utenti del web”. Quindi, l’utilizzo dell’IP anonimizzato non aumenta il livello di protezione dei dati.

Le conclusioni

Così conclude il Garante: “Alla luce di quanto complessivamente rilevato, si evidenzia dunque che l’utilizzo di GA, da parte dei gestori dei siti web (…) comporta il trasferimento dei dati personali dei visitatori dei suddetti siti verso Google LLC con sede negli Stati Uniti. Tali trasferimenti, in quanto effettuati verso un paese terzo che non garantisce un livello di protezione adeguato ai sensi della normativa di protezione dei dati (ossia gli Stati Uniti), devono essere posti in essere in conformità al Capo V del Regolamento” (paragrafo 2.1 del Provvedimento), ovvero sulla base di una decisione di adeguatezza adottata dalla Commissione europea o in presenza delle garanzie adeguate citate nell’art.  del GDPR. Elementi oggi assenti nel trasferimento dati verso gli USA attraverso Google Analytics.

Quindi: l’utilizzo di Google Analytics non è di per sé illegittimo, ma lo è senza l’adozione di quelle che il Garante definisce “misure supplementari adeguate” (conclusioni del provvedimento), che il Titolare del trattamento (e del sito) deve adottare. Questo in quanto, ad oggi, il trasferimento dei dati negli Stati Uniti non è sicuro, perchè non garantisce un livello di protezione almeno pari a quello presente in Europa, grazie al GDPR.

Il sito in questione (e tutti quelli che installano Analytics) hanno 90 giorni di tempo dall’emissione del Provvedimento per trovare soluzioni e adeguarsi. In seguito, potrebbero scattare le sanzioni, in caso di ispezione.

Quali sono le “misure supplementari adeguate?”

Bella domanda. Il Garante ci dice cosa c’è che non va, ma non ci dice, in pratica, cosa possiamo fare o quali correttivi o strumenti adottare per continuare ad usare Analytics. Anzi, il Garante precisa che l’anonimizzazione dell’IP non è una misura sufficiente e non lo è neppure ottenere il consenso dell’utente all’installazione di Analytics.

Nella newsletter del 30 giugno 2022 il nostro Garante ci informa che sono state poste in consultazione (fino al 30 settembre 2022) la “Linee guida sulle certificazioni come strumento per i trasferimenti” emanate dall’European data protection Board. Forse une certificazione ci salverà. Forse. Ma non subito.

Cosa dice il web

Il web ha già detto moltissimo, in una sola settimana. Soluzioni poche, a parte disinstallare Analytics, installare Matomo o fingersi morti (eh…).

L’Avv. Guido Scorza (Garante privacy) sottolinea che “La soluzione deve essere politica, tra Stati Uniti e UE”. Tempi lunghi, insomma.

Molto chiara e utile anche l’intervista che l’Avv. Scorza ha rilasciato a Matteo Flora. Sempre sul pezzo.

Wired fa una bella analisi e abbozza qualche soluzione.

Lo Studio La Scala schematizza con intelligenza, come piace a noi.

E voi cosa pensate di fare? Avete idee? Buona estate!

Photo by Myriam Jessier on Unsplash

AGGIORNAMENTO DEL 4 LUGLIO 2022

Se avete ricevuto la mail di Federico Leva, che vi chiede la rimozione dei suoi dati dal vostro sito (che installa Google Analytics), non sottovalutatela e rispondete.

In questo video Matteo Flora ci spiega benissimo perchè (con intervista a Federico, che avremo il piacere di conoscere).