Garante Privacy e Google Analytics

Garante Privacy e Google Analytics: cosa fare?

È di pochi giorni fa la notizia che il Garante della Privacy italiano ha preso posizione in riferimento all'uso di Google Analytics per un sito web. Molti organi di informazione hanno indicato come illegale l'uso di Google Analytics. La questione è complessa e dibattuta.

Nelle prossime righe cercherò di presentarla, di fare un po’ di chiarezza e di tracciare qualche possibile azione da intraprendere.

Cosa è successo?

Giovedì scorso (23 giugno) il Garante per la Privacy italiano ha ammonito la società Caffeina Media srl, che usava Google Analytics sul proprio sito caffeinamagazine.it, che l'utilizzo dei dati degli utenti non è rispettoso del regolamento europeo.

Il monito risponde ad una segnalazione ricevuta 2 anni prima dal Garante e l'indicazione è stata questa: il sito web che utilizza il servizio Google Analytics, senza le garanzie previste dal Regolamento Ue, vìola la normativa sulla protezione dei dati, perché trasferisce negli Stati Uniti, paese privo di un adeguato livello di protezione, i dati degli utenti.

Qual è il problema?

I paesi europei e le aziende europee sono tenute a rispettare il GDPR, un regolamento che garantisce dei livelli di protezione dei dati personali, standard per tutti i paesi della UE. Gli Stati Uniti non offrono un adeguato livello di protezione dei dati come indicato nel GDPR, in particolare nel modo in cui le agenzie governative possono accedere a tali dati.

Infatti, anche quando Google Analytics raccoglie dati in forma anonima e non riconducibili a specifiche persone, Google, società che tratta tali dati, ha comunque la possibilità di incrociarli con altri in suo possesso e riconoscere l’esatto utente. Questi dati potrebbero venire utilizzati da società governative americane (ad esempio i servizi di sicurezza) perché la legge americana lo permette senza adeguate protezioni, infrangendo il diritto alla privacy degli utenti europei.

Il garante ha vietato l’uso di Google Analytics?

No, il Garante non ha vietato l’uso di GA, ma ammonisce Caffeina e le società che fanno uso di GA di adottare delle misure affinché i dati vengano adeguatamente protetti, proprio perché Google (e il governo USA) non garantisce un adeguato livello di protezione.

La mia società deve fare qualcosa?

L'ammonimento è specifico alla segnalazione riguardante il sito di Caffeina srl, ma il Garante indica che nello stesso modo devono comportarsi società che si trovano in situazioni analoghe.

Se ti stai chiedendo se la tua azienda deve occuparsi di questo problema, la risposta probabilmente è sì.
Se utilizzi Google Analytics come strumento per la raccolta delle statistiche relative al tuo sito o della tua app, devi anche tu prendere dei provvedimenti affinché i dati dei tuoi utenti siano adeguatamente protetti.

Quanto tempo ho per agire?

Il Garante ha dato 90 giorni a Caffeina srl per adeguarsi. Ogni società dovrebbe cercare di muoversi per tempo, facendosi trovare pronta entro la fine di questo periodo.
Attenzione: il provvedimento del Garante anticipa che, dopo i 90 giorni, provvederà a un nuovo controllo e potrà prendere provvedimenti ulteriori. 

Cosa devo fare esattamente?

Il Garante questo non lo dice e tantomeno dà soluzioni tecniche. Di questo devono occuparsi le società, con l’obiettivo di proteggere i dati dei propri utenti.

Sicuramente il primo passo è capire se anche il tuo sito utilizza Google Analytics e, nel caso sia così, se utilizza GA3 (come nella stragrande maggioranza dei casi). Se è così, è certo che tu debba prendere provvedimenti.

Il passo successivo è quello di passare a GA4, la nuova versione di Google Analytics. Questo perché Google Analytics 4 non registra il dato dell’IP come fa GA3 e lo utilizza in modo volatile, proteggendo maggiormente l’utente. Inoltre ha una serie infinita di impostazioni che permettono di limitare l’uso dei dati al livello più consono, fino a tracciare la singola hit.

Un’altra soluzione più complessa e costosa può essere quella di utilizzare un sistema server-side con un server allocato in Europa e solo successivamente passare dei dati a Googla Analytics 4 (che oltrettutto sembrerebbe gestire i dati in Irlanda).

È anche possibile non sfruttare i sistemi di Google Analytics, scollegandosi completamente dal servizio. Questo però significherebbe rinunciare ad uno strumento determinante nel tracciamento delle visite degli utenti al sito e nel conteggio di conversioni (fondamentali per campagne di ads intelligenti). 

Infine resta sempre la possibilità di chiedere un consenso ulteriore all’utente in modo chiaro, che venga fornito liberamente ed esplicitamente. In pratica si può avvisare l'utente che per utilizzare il nostro sito e i servizi ad esso correlati deve accettare che alcuni specifici dati vengano trattati negli Stati Uniti al di fuori delle normali protezioni del GDPR e che il governo americano potrebbe farne uso senza adeguate garanzie.

Tutte queste soluzioni dovranno comunque essere vagliate dal Garante e molto probabilmente arriveranno delle precisazioni nei prossimi tempi.

E se non facessi nulla?

C'è sempre la possibilità (in cui molti sperano) che siano i governi di UE e USA a trovare una soluzione con un nuovo accordo, anche se sembrerebbe poco probabile che ciò avvenga nel breve termine che ha dato il Garante. Oppure che sia la stessa Google a trovare una soluzione che garantisca una via d'uscita, senza particolari impegni per le società che usano i suoi servizi.

Il consiglio?

Considerando l’utilità dei servizi di Analytics, la diffusione del suo utilizzo e la difficoltà nell'usare soluzioni alternative soprattuto per le piccole imprese, il consiglio è, per chiunque usi Google Analytics, di passare quanto prima alla nuova versione del servizio, GA4.

È un passaggio che si sarebbe reso comunque necessario nel medio termine (dato che nel luglio 2023 i dati di Google Analytics 3 saranno eliminati da Google) e che permetterà sicuramente una maggiore protezione dei dati.

Nel frattempo conviene stare alla finestra a e mantenersi informati sulla questione attendendo probabili sviluppi.

Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.