Google Analytics e GDPR: stop alla circolazione dei dati tra UE e USA
Sono mesi non semplici per Big G: Google Analytics (GA) sta facendo i conti col GDPR. In effetti, di recente Google ha dovuto necessariamente modificare i propri prodotti Analytics e Analytics 360, in quanto la circolazione dei dati degli utenti sembrava lederne la privacy.
E, ancor più recentemente, anche il Garante della Privacy italiano si è espresso in merito al popolare servizio, oltre che sulla circolazione dei dati personali.
Scopriamo cosa sta accadendo e come le modifiche ad Analytics sulla base del GDPR ha cambiato il celebre tool.
Google Analytics e GDPR: l’opinione del Garante della Privacy
Il nostro Garante per la Privacy ha dichiarato come illegittima la circolazione di dati dai Paesi dell’Unione Europea agli Stati Uniti tramite Google Analytics.
Questo perché, secondo il Garante, tale circolazione avviene con violazione del cosiddetto GDPR. Si tratta, in parole semplici, del Regolamento europeo in materia di privacy, già in vigore dal 2018.
In effetti, tramite l’utilizzo di GA, i proprietari di siti internet possono raccogliere varie informazioni in merito agli utenti.
Questi, una volta entrati su un sito web e dopo averne accettati i famosi cookie, consegnano i propri dati personali, IP incluso, a Google Analytics.
Il vero problema sta però nel fatto che non solo vengono raccolti tantissimi dati personali dell’utente, ma che questi vengono inviati direttamente negli Stati Uniti.
Cosa che viola i GDPR: ai dati inviati ed immagazzinati negli USA, di fatto, non vengono garantite tutele circa la privacy.
Da qui, la decisione del Garante della privacy italiano che, dopo un’attenta istruttoria, ha parlato ufficialmente di violazione.
Dopo le segnalazioni di alcuni utenti, il Garante si è trovato a dover ammonire i proprietari di Caffeina Media proprio per l’utilizzo di GA. Il sito non è stato sanzionato, ma solamente ammonito, così come sono stati messi in guardia anche tutti gli altri gestori di siti web nostrani.
In definitiva, per il Garante della Privacy un gestore di un sito che utilizza GA corre il rischio di non rispettare il GDPR vigente in Europa.
Google Analytics e GDPR: la posizione degli altri Paesi UE
In realtà, l’opinione negativa da parte del nostro Garante non è che una delle ultime, in ordine cronologico. Moltissimi altri Paesi hanno richiamato Google in merito alla scorretta gestione dei dati personali degli utenti.
Prima dell’Italia, anche Francia e Austria hanno in effetti ammonito Google. Il primo intervento è avvenuto da parte del Garante austriaco, ossia il DSB. Il garante austriaco, nel 2020, ha infatti predisposto un provvedimento nei confronti di un webmaster che, utilizzando GA, ha violato il GDPR.
Il webmaster in questione, a differenza del nostrano Caffeina Media, è stato anche sanzionato. Nonostante siano state messi in atto delle accortezze per rendere gli IP anonimi e nonostante l’utilizzo della crittografia, i dati personali degli utenti non sono stati tutelati.
Da qui, la decisione del DSB austriaco di obbligare tutti i gestori di siti web ad adeguarsi al GDPR.
A seguito dell’Austria, anche il Garante per la protezione dei dati in Francia (CNIL) ha imposto un obbligo simile ad un webmaster francese.
Ai medesimi risultati sono arrivate anche l’Autorità olandese per la protezione dei dati e l’Autorità norvegese per la protezione dei dati. I due Garanti hanno ritenuto Google Analytics colpevole di violazioni del GDPR. Di conseguenza, anche in questi due Paesi si cerca in tutti i modi di limitare l’utilizzo di Google Analytics.
Quali conseguenze comporterà questo stop
Ma cosa comporterà, esattamente, la decisione del Garante della Privacy che ha dichiarato il trasferimento dei dati Google Analytics come illecito?
I proprietari di siti web italiani, sia pubblici che privati, che utilizzano GA dovranno necessariamente conformare i propri siti al GDPR.
In particolare, come chiarito dal Garante stesso sul proprio sito ufficiale, è necessario “verificare la conformità delle modalità di utilizzo di cookie e altri strumenti di tracciamento utilizzati sui propri siti web”.
E non solo per quanto riguarda Google Analytics, ma anche in caso di utilizzo di altri servizi similari.
Il tutto, al fine di garantire la privacy e il corretto trattamento dei dati personali degli utenti che navigano sul web.
L’obbligo di verificare la conformità dei cookie dovrà essere rispettato entro 90 giorni, che decorrono dal 23 giugno 2022. È a tale data, infatti, che risale il comunicato stampa ufficiale da parte del nostro Garante.
Modifiche al prodotto da parte di Google
Dal canto suo, non possiamo dire che Google non si stia impegnando a modificare Google Analytics.
Nel tentativo di conformare la circolazione dei dati al GDPR, in effetti, da qualche tempo sono state realizzate varie correzioni a GA.
Innanzitutto, è stato modificato l’aspetto relativo alla tempistica di conservazione dei dati. Chi utilizza i servizi di Google, come Analytics, può decidere per quanto tempo conservare sui server i dati raccolti dagli utenti.
In questo modo, è possibile eliminare la conservazione dei dati che non rispettano il GDPR.
Attenzione, però: il nuovo controllo sulla conservazione dei dati non è automatico, ma va settato modificando le impostazioni.
Altra importante modifica riguarda la possibilità di eliminazione degli utenti. Viene implementata questa possibilità per garantire il cosiddetto “diritto alla cancellazione”, obbligatorio secondo il nostro GDPR.
Grazie a questo nuovo strumento, sarà possibile cancellare i dati associati ad ogni singolo utente.
Un problema ancora irrisolto
Ma le nuove implementazioni risolveranno i problemi relativi a GDPR e privacy? Purtroppo, la risposta è negativa.
Nonostante queste modifiche, Google Analytics non è ancora completamente conforme al GDPR. L’aggiunta di funzionalità e nuove implementazioni non ha del tutto rimosso le problematiche relative alla privacy.
Google deve dunque occuparsi di adeguare la circolazione dei dati tra UE e USA. Al momento, l’azienda non garantisce un’adeguata protezione in merito ai dati degli utenti dell’Unione Europea.
Fino a quando le problematiche non verranno risolte, i problemi maggiori potrebbero gravare su chi utilizza i servizi dell’azienda.
Infatti, sono gli utilizzatori (dunque i gestori dei siti web) a risultare come titolari dei dati ottenuti tramite Google Analytics.
Compito dei gestori è quello di avvisare gli utenti che navigano sul sito circa i dati che vengono raccolti in caso di utilizzo di GA.