È di oggi (23 giugno 2022, per chi legge) la notizia apparsa sul sito del Garante per la protezione dei dati che afferma che il servizio Google Analytics (GA) viola la normativa sulla protezione dei dati in quanto trasferisce i dati degli utenti negli Stati Uniti, Paese privo di un adeguato livello di protezione.
La notizia è di quelle forti perché Google Analytics Universal è attualmente usato su quasi il 90% dei siti web italiani.
Cosa ha detto il Garante per la Privacy su Google Analytics
“Dall’indagine del Garante è emerso che i gestori dei siti web che utilizzano Google Analytics raccolgono informazioni sulle interazioni degli utenti con i predetti siti, le singole pagine visitate e i servizi proposti.“
Su questo nulla di nuovo. Forse non era necessaria una vera e propria indagine e bastava leggere cosa dichiara Google nel proprio sito. Tuttavia c’è dell’altro.
Dice ancora il Garante, “tra i molteplici dati raccolti, indirizzo IP del dispositivo dell’utente e informazioni relative al browser, al sistema operativo, alla risoluzione dello schermo, alla lingua selezionata, nonché data e ora della visita al sito web. Tali informazioni sono risultate oggetto di trasferimento verso gli Stati Uniti.”
Quindi il Garante pone ora l’attenzione non solo sul dato ma su come questo venga trasferito all’estero per essere trattato ed utilizzato.
Nel comunicato infatti si legge.
“Nel dichiarare l’illiceità del trattamento è stato ribadito che l’indirizzo IP costituisce un dato personale e anche nel caso fosse troncato non diverrebbe un dato anonimo, considerata la capacità di Google di arricchirlo con altri dati di cui è in possesso.”
Perchè sarebbe illegale Google Analytics
Il problema risiede principalmente nelle dinamiche innescate negli Stati Uniti dopo l’11 settembre quando sono entrate in vigore norme che permettono agli uffici governativi statunitensi di accedere liberamente a qualsiasi dato.
Questo aveva portato alla nota sentenza della Corte di Giustizia Europea del 16 luglio 2020 (C-311-18,EU:C:2020:559), c.d. Scherms II, dal nome dell’attivista Max Scherms, che ha dichiarato invalido il “Privacy Shield” , lo scudo normativo che legittimava lo scambio di dati personali tra USA e Unione Europea.
In particolare, la CGUE, ritenendo che un trasferimento a fornitori statunitensi che rientrano nell’articolo 702 della Foreign Intelligence Surveillance Act (FISA) e in programmi di sicurezza quali l’Executive Order (EO) 12333 violano le regole sui trasferimenti internazionali di dati nel GDPR, ha annullato l’accordo di trasferimento “Privacy Shield”, dopo aver sciolto il precedente accordo “Safe Harbor” nel 2015.
Cosa fanno gli altri Paesi europei
n seguito alla suddetta sentenza il Garante austriaco ha recentemente dichiarato illegale l’uso di Google Analytics per violazione delle norme del Regolamento (UE) 2016/679 sui trasferimenti transfrontalieri, in quanto nel caso di specie un sito web aveva esportato negli USA dati dei naviganti come indirizzi IP e gli ID univoci memorizzati nei cookie.
Anche il Garante francese (CNIL) a Febbraio 2022 ha emesso una pronuncia con la quale dichiara non conforme alla disciplina europea sulla protezione dei dati Google Analytics.
A questo punto sembra evidente che a breve anche altri paesi europei seguiranno questa strada.
Sulla scia quindi di Francia ed Austria il Garante italiano ha evidenziato la possibilità per le Autorità governative e le agenzie di intelligence statunitensi di accedere ai dati personali trasferiti senza le dovute garanzie, rilevando al riguardo che, alla luce delle indicazioni fornite dall’EDPB (Raccomandazione n. 1/2020 del 18 giugno 2021), le misure che integrano gli strumenti di trasferimento adottate da Google non garantiscono un livello adeguato di protezione dei dati personali degli utenti.
Occorre rimuovere Google Analytics dal sito
La domanda sorge naturale: che fare? Devo rimuovere Google Analytics dal sito?
L’Autorità ha richiamato all’attenzione di tutti i gestori italiani di siti web, pubblici e privati, l’illiceità dei trasferimenti effettuati verso gli Stati Uniti attraverso gli strumenti di Google e pertanto, anche in considerazione delle numerose segnalazioni e quesiti che stanno pervenendo all’Ufficio ha invitato tutti i titolari del trattamento a verificare la conformità delle modalità di utilizzo di cookie e altri strumenti di tracciamento utilizzati sui propri siti web, con particolare attenzione a Google Analytics e ad altri servizi analoghi, con la normativa in materia di protezione dei dati personali.
Pertanto a rigore di logica sembrerebbe che in questo momento sia solo un richiamo a verificare la conformità delle iniziative messe in pratica dalle aziende nella protezione dei propri dati e di quelli degli utenti che visitano i propri siti.
Trasferimento dati personali verso paesi extra europei
Il trasferimento di dati personali appartenenti a cittadini europei verso Paesi non appartenenti allo Spazio Economico Europeo oppure verso un’organizzazione internazionale – quindi parliamo di un flusso transfrontaliero dei dati, cioè il trasferimento di dati personali verso un destinatario soggetto a una giurisdizione straniera – sono consentiti a condizione che l’adeguatezza del Paese terzo o dell’Organizzazione sia riconosciuta tramite decisione della Commissione europea.
Si tratta quindi di trasferimento sulla base di una decisione di adeguatezza ai sensi di quanto indicato al Capo V del GDPR (Trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali) e, in particolare, all’Art. 45 del GDPR.
A oggi i Paesi adeguati sono: Andorra, Argentina, Australia (limitatamente al trasferimento dei dati del codice di prenotazione – Passenger Name Record, PNR – da parte dei vettori aerei), Canada, Fær Øer, Giappone, Guernsey, Isola di Man, Israele, Jersey, Nuova Zelanda, Svizzera, Uruguay, USA (limitatamente al trasferimento dei dati del codice di prenotazione – Passenger Name Record, PNR – da parte dei vettori aerei, in quanto con la sentenza Scherms II del 16 Luglio 2020 della Corte di Giustizia dell’Unione Europea è venuta meno la decisione di adeguatezza del Privacy Shield).
Quindi cosa fare in pratica con Google Analytics
È decisamente un momento difficile per gli strumenti di analitica, sia che questi siano mirati al tracciamento del comportamento degli utenti, sia che siano destinati a fare funzionare le campagne di advertising come Google Ads e Facebook Ads.
Il 22 aprile, Google ha rilasciato ulteriori controlli sulla privacy per Google Analytics 4 (GA4) per aiutare a risolvere questi problemi. Esaminiamo ciascuno degli aggiornamenti e cosa significano per la tua attività.
E’ ora di passare a Google Analytics 4 (GA4 is the key)
GA4 è la nuova versione di Google Analytics e sostituirà completamente la versione attuale (Universal) entro il luglio del 2023.
La notizia buona è che GA4 non registra gli indirizzi IP!
Da anni Google offriva la possibilità di rendere anonimo l’indirizzo IP dell’utente con un processo di mascheramento dell’IP. Tuttavia con il nuovo aggiornamento a GA4 Google fa un ulteriore passo avanti non registrando affatto gli indirizzi IP dei singoli utenti.
L’indirizzo IP dell’utente viene ancora inizialmente raccolto e utilizzato per una ricerca iniziale di alto livello della posizione, ma solo questi metadati della posizione vengono archiviati per l’utilizzo nei rapporti, e non viene memorizzato l’indirizzo IP stesso.
Questa attività di trattamento dei dati da parte di Google è gestita su server in Europa e l’indirizzo IP non viene mai trasferito né memorizzato al di fuori dell’Europa.
GA4 non basta, ecco cosa occorre controllare
E’ ancora presto per vedere come evolve la situazione, tuttavia consigliamo in questo momento alcune attività che a questo punto non possono essere più rimandate.
Di seguito indichiamo una check list che dovrebbe essere sul tavolo di ogni responsabile digital.
- Verificare che il proprio server web risieda in EU
Questo passaggio, sebbene non oggetto della segnalazione del Garante, è certamente fondamentale per essere compliant con il GDPR.
I trasferimenti di dati personali verso Paesi non appartenenti allo Spazio Economico Europeo (SEE, ossia UE + Norvegia, Liechtenstein, Islanda) o verso un’organizzazione internazionale sono consentiti a condizione che l’adeguatezza del Paese terzo o dell’organizzazione sia riconosciuta tramite decisione della Commissione europea (art. 45 del Regolamento UE 2016/679).
Se usate un hosting in altri paesi extra europei (come ad esempio negli Stati Uniti) allora potreste essere in violazione delle normative.
- Passare a Google Analytics 4 (GA4)
Come abbiamo visto sopra la nuova versione di Google Analytics 4 (GA4) non tratta l’IP o meglio non fa alcun trasferimento di questo dato al di fuori dell’Europa. Passare a GA4 è sicuramente un il primo passo da affrontare. Attenzione però, il passaggio a GA4 non consente a priori di mantenere la vista sugli stessi dati e report che abbiamo in Universal. Per il tracciamento corretto di tutti i dati è fondamentale passare per la realizzazione di un measurement plan.
GA4, a differenza di GA3 (Universal Analytics), permette inoltre di gestire in maniera più specifica e granulare le informazioni e i dati in entrata dal vostro sito.V
- Cookie Banner e Consenso Preventivo
In questo caso suggeriamo di verificare l’adeguatezza del blocco preventivo dei cookie. Suggeriamo, qualora l’utente non fornisca il consenso, di non installare completamente gli script di tracciamento.
Oggi gran parte delle soluzioni in commercio bloccano i cookie ma non l’installazione degli script di base.
- Attivazione Tracciamento Server Side
Questo aspetto è chiaramente il più complesso ed inoltre non garantisce la completa conformità al GDPR di per sè. Tuttavia il passaggio ad un tracciamento server side consente un controllo maggiore sui dati raccolti e sulla condivisione degli stessi con altre piattaforme.
Pertanto il passaggio ad un tracciamento server side è il primo passo per riappropriarci dei nostri dati ed avere un controllo completo su come vengono usati e condivisi.
- Utilizzare la combo BigQuery e Data Studio
Una delle altre possibilità, da integrare a un tracciamento di tipo Server Side, è quella di bypassare completamente Google Analytics 4 mandando i dati dal vostro server a BigQuery. Quest’ultimo è il data warehouse Cloud di Google che permette di archiviare e recuperare dati in ambiente SQL. Una volta lavorati i dati, potremmo creare rapporti personalizzati con Data Studio.
Va precisato che questo tipo di approccio comporterà l’assenza di rapporti su Analytics (che non conterrà infatti dati).
Come essere conforme anche con gli altri servizi web
Inoltre porre particolare attenzione se
- Utilizzi per hosting un server cloud situato in un Paese fuori dall’Unione Europea
- Mandi i dati a società del gruppo/casa madre che si trovano in un Paese fuori dall’Unione europea
- Utilizzi un software che gira su server (es. programma per mandare newsletter) collocato in un Paese fuori dall’Unione europea
In questo caso occorre assolutamente procedere ad una verifica che il fornitore del servizio rientri tra i Paesi adeguati.
Link e risorse
Ecco il link ai comunicati del Garante citati in questo articolo
https://www.gpdp.it/home/docweb/-/docweb-display/docweb/9782874
https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9782890
Ottimo articolo chiaro, utile con analisi e soluzioni