Google Analytics e privacy: il Garante dichiara illegittimo l'uso in Italia.

Google Analytics: il Garante dichiara illegittimo l'uso in Italia.

il 03.07.2022
in google Privacy gdpr

I siti web o web app che usano Google Analytics (GA), in assenza delle garanzie previste dal GDPR, violano la normativa sulla protezione dei dati degli utenti perché i dati sono trasferiti negli USA dove la legge non prevede un adeguato livello di protezione 

Quindi l'uso di Google Analytics è illegittimo?

Così si è espresso, lo scorso 23 giugno 2022, il Garante per la protezione dei dati personali in merito a reclami e segnalazioni nei confronti di una serie di siti web europei, ed in particolare nei confronti di Caffeina Media Srl e del suo sito caffeinamagazine.it per l'uso di Google Analytics.

La decisione Italiana è giunta dopo quasi 2 anni dalla segnalazione e ricalca le decisioni delle omologhe autorità Francese, Austriaca e Danese con leggere ma sostanziali differenze:

  1. Il Garante ha concesso a Caffeina Media Srl 90 giorni (contro i 60 dei colleghi europei) per adottare soluzioni volte a risolvere la violazione e conformarsi al GDPR.

  2. Il Garante ha richiamato all'attenzione di tutti i titolari e gestori di siti web e web app, pubblici e privati, “..l'illiceità dei trasferimenti [di dati personali] effettuati verso gli Stati Uniti attraverso GA, … E invita tutti i titolari del trattamento a verificare la conformità delle modalità di utilizzo di cookie e altri strumenti di tracciamento utilizzati sui propri siti web, con particolare attenzione a Google Analytics e ad altri servizi analoghi, con la normativa in materia di protezione dei dati personali.”

Quali sono i dati oggetto di contestazione?

Dalle indagini è emerso che, con l'uso di Gogole Analytics e tramite i relativi cookie, Caffeina Media Srl ha raccolto dati che consentono l'identificazione del navigatore, indirizzo del sito navigato, dati di navigazione, device utilizzato e tipo di browser, indirizzo IP dell'utente, varie informazioni sul sistema operativo e altre ancora. Tutte queste informazioni insieme ad altre in possesso di Google, consentono di riconoscere l'utente anche in caso di anonimizzazione dell'IP.  

Quale versione di Google Analytics è incriminata?

La decisione del Garante è stata presa nei confronti di un sito che utilizzava nel 2020 (data del reclamo) la versione Universal Analytics (GA3) e senza l'anonimizzazione dell'IP del navigatore. 

È doveroso sottolineare che la nuova versione di Google Analytics (GA4) si basa su modelli di raccolta e gestione dei dati degli utenti più affini alle stringenti regole del GDPR ma anche queste novità non sembrano adeguate a risolvere la questione. 

Cosa posso fare?

Di fatto, il Garante ha definito illecito il trasferimento dei dati degli utenti verso server USA. 

Questo implica il divieto di utilizzare strumenti di raccolta dati che prevedano il trasferimento degli stessi su server USA.

Pertanto, alla data odierna, risulta illecito utilizzare qualsiasi strumento di raccolta dati che sia riconducibile a società con sede legale negli USA o controllata da una società con sede legale negli USA.

Quindi si prospettano 3 mesi di incertezza e poche opzioni:

  1. Passare ad una soluzione offerta da società 100% residente in UE e con server in UE

  2. Passare a Google Analytics 4 (GA4) ma facendo attenzione al corretto settaggio dello strumento e adeguato utilizzo dei dati 

  3. attendere che entro settembre USA e UE trovino una soluzione, più politica che tecnica, che consenta di riabilitare pienamente l'uso di GA4 e degli altri strumenti che risultano di vitale importanza per chi fa business con il proprio sito internet.