Google Analytics vs GDPR: quando la data analisys mette a rischio la privacy

Dove sei: Home > Blog > Google Analytics vs GDPR: quando la data analisys mette a rischio la privacy

Approfondimenti | 29-07-2022

Google Analytics e GDPR come comportarsi - image by freepik.com

 

Le ultime settimane hanno visto crescere una grande preoccupazione da parte di quanti si trovano a dover gestire un sito web, a causa di un pronunciamento del GDPR che sembrerebbe sancire l’illegittimità di Google Analytics. A seguito della sentenza, diverse voci si sono affrettate a dichiarare illegale l’utilizzo del software di Google, spesso fraintendendo quanto espresso dal Garante.

Anche rifiutando di cedere ad inutili allarmismi, non possiamo però negare quanto accaduto: a seguito di un’accurata indagine, infatti, Il Garante per la protezione dei dati personali ha emesso un provvedimento contro un’azienda italiana, invitandola a modificare le proprie politiche in merito al trattamento dei dati personali dei propri utenti.

Le violazioni alle norme sulla la data protection commesse dall’azienda riguarderebbero l’utilizzo di Google Universal Analytics, anche detto GUA o GA3, e il trasferimento oltreoceano delle informazioni da esso raccolte. Secondo quanto affermato all’interno della sentenza emessa dal GDPR, infatti, il trasferimento delle informazioni presso server statunitensi non garantirebbe un livello di protezione in linea con gli standard europei, a causa delle differenze legislative degli USA in materia di privacy.

Pur non essendosi concretizzata in alcuna sanzione, l’ammonimento chiarisce la posizione dell’autorità su un tema comune a molte piattaforme e che tocca concretamente diverse realtà presenti nel web. Il timore di provvedimenti più consistenti e di possibili sanzioni ha contribuito ad alimentare l’allarme, distogliendo talvolta l’attenzione dalla totalità dei retroscena implicati.

Per poter comprendere a pieno la complessità della situazione è bene ricordare quanto sia interconnesso il mondo in cui viviamo, e di quanto sia difficoltoso definire delle frontiere all’interno dello spazio immateriale della rete. All’interno del web le informazioni viaggiano incessantemente, raggiungendo in un millesimo di secondo parti del mondo lontanissime e sottoposte a legislazioni differenti.

Per regolamentare lo scambio delle informazioni trasmesse, quindi, è necessario un importante sforzo legislativo internazionale che comporta serrati dialoghi politici e frequenti interventi da parte delle autorità preposte. La concretizzazione di queste attività conduce a degli accordi internazionali che possono però dover essere modificati alla luce dell’evolversi delle tecnologie e delle leggi che i singoli stati decidono di adottare.

Per capire meglio la situazione, dunque, sarebbe il caso di fare qualche passo indietro, ripercorrendo alcuni dei momenti più significativi del rapporto EU-USA in merito a tematiche inerenti la privacy e il trattamento dei dati personali.

Cos’è il Privacy Shield?

Il 12 Luglio 2016 la Commissione Europea adottava un accordo finalizzato a regolamentare il trasferimento delle informazioni tra gli Stati Uniti e l’UE, inasprendo i termini della normativa precedente, il cosiddetto “Safe Harbour”, ritenuta ormai obsoleta.

Secondo quanto previsto da questo accordo, chiamato appunto Privacy Shield, veniva garantita la possibilità di trasferire oltreoceano i dati dei cittadini Europei, purché le aziende interessate accettassero di sottostare ad una serie di imposizioni piuttosto stringenti volte a garantire agli utenti un elevato grado di riservatezza e, soprattutto, di trasparenza riguardo le finalità dei trattamenti a cui i propri dati venivano sottoposti.

Questo accordo avrebbe dovuto comportare alcune limitazioni per le aziende commerciali con sede negli Stati Uniti, ma anche per le autorità di vigilanza statunitensi, che non avrebbero potuto accedere e disporre liberamente dei dati dei cittadini EU.

Cloud Act e FISA

Nel 2018 il Congresso degli Stati Uniti promulgava il Clarifying Lawful Overseas Use of Data, anche detto CLOUD Act, partendo dal presupposto secondo cui i trattati di mutua assistenza per l’acquisizione transfrontaliera di prove digitali non potessero più essere considerati uno strumento adeguato per fronteggiare i rischi derivati da un traffico di dati sempre più intenso ed immediato.

L’urgenza di trovare nuovi meccanismi di cooperazione che coinvolgessero direttamente gli Internet Service Provider ha portato il congresso a modificare lo Stored Communications Act (1986), secondo cui (in determinate situazioni) una autorità legislativa potrebbe imporre a una società statunitense di comunicare i dati personali in suo possesso, estendendone la giurisdizione anche a tutti quei server controllati da aziende USA collocati al di fuori dei confini americani anche senza stipulare accordi con gli altri paesi coinvolti.

Un simile provvedimento risulta tanto più insidioso alla luce dell’esistenza del FISA, o Foreign Intelligence Surveillance Act, una legge statunitense che regola le procedure di sorveglianza e l’acquisizione di informazioni per finalità di intelligence ammettendo, in alcune circostanze, la possibilità di disporre dei dati di cittadini extra-USA che risiedono al di fuori del territorio statunitense.

Le possibili ripercussioni del Cloud Act sulla privacy dei cittadini hanno sollevato diverse rimostranze, tanto da parte di organizzazioni per i diritti umani e le libertà civili statunitensi, quanto dalla comunità internazionale, spingendo il Consiglio Europeo a presentare un mandato di negoziato in cui il GDPR ha tenuto a ribadire le proprie posizioni in merito alla tutela dei dati dei cittadini europei.

Maximilian Schrems e Facebook Ireland

Ma cosa succede il 16 Luglio 2020? A seguito di una causa avanzata dall’attivista austriaco Maximilian Schrems nei confronti di Facebook Ireland, la Corte Europea decideva di invalidare la decisione 2016/1250 (il Privacy Shield, per l’appunto) sostenendo che

“le limitazioni della protezione dei dati personali che risultano dalla normativa interna degli Stati Uniti in materia di accesso e di utilizzo, da parte delle autorità statunitensi […] non sono inquadrate in modo da rispondere a requisiti sostanzialmente equivalenti a quelli richiesti “.

Secondo la normativa europea, è possibile per uno stato membro accogliere la richiesta di garanzia di protezione dei propri dati personali avanzata da un proprio cittadino, procedendo con le dovute indagini nei confronti della realtà commerciale coinvolta. Questo è stato il caso di Max Schrems, che nel 2013 presentò una denuncia nei confronti di Facebook Ireland Limited al fine di impedire il trasferimento dei propri dati dall’Irlanda agli USA affermando che in caso contrario l’azienda non avrebbe rispettato i diritti che la normativa europea gli riconosceva.

Già parzialmente riconosciuta nel 2015, la sua vittoria viene definitivamente sancita dalla Sentenza Schrems II del 2020, in cui le autorità prendono atto delle profonde differenze normative tra USA ed EU, riconoscendo la problematicità di alcune leggi statunitensi e quindi i possibili rischi che un trasferimento dei dati mal regolamentato potrebbe comportare.

In pratica, secondo quanto rilevato dal GDPR, la legislazione USA non garantirebbe il livello di protezione dei dati richiesto dagli standard europei; pertanto, sarà necessario stabilire nuovi accordi che permettano di salvaguardare il diritto alla riservatezza dei cittadini EU.

E Google Analytics?

A seguito di una serie di reclami, il Garante per la privacy ha recentemente avviato una lunga istruttoria coordinata ad altre autorità privacy europee, concretizzatasi nel provvedimento pronunciato il 23 Giugno 2022 nei confronti di Caffeina Media S.R.L., considerata colpevole di aver adottato misure non adeguate per il trasferimenti dei dati oltreoceano.

Al centro del dibattito si pone l’utilizzo di Google Universal Analytics, strumento di tracciamento dei dati di cui l’azienda faceva uso. Secondo quanto evidenziato dal GDPR, tra i dati raccolti dal software di Google sarebbe infatti presente anche l’indirizzo IP degli utenti che, anche nel caso in cui venisse registrato solo in parte, costituirebbe indubbiamente una informazione sensibile trasmessa in un paese la cui legislazione non è in grado di garantire gli standard di sicurezza europei in materia di riservatezza.

I provvedimenti presi dal GDPR in merito, per adesso, sembrerebbero soltanto ammonitori: sancita l’irregolarità, l’autorità lascia all’azienda un tempo di 90 giorni per adeguare le proprie policy e coglie l’occasione per richiamare all’attenzione tutti i gestori di siti web italiani che si avvalgono di software e web services che potrebbero essere considerati ugualmente problematici.

Cosa fare per non incorrere in sanzioni?

Dal momento in cui il pronunciamento è stato reso pubblico le opinioni in merito a come tutelarsi sono state diverse. Molti sostengono che il passaggio a GA4 sia sufficiente a garantire uno standard di riservatezza in linea con gli standard europei grazie alle implementazioni che questa nuova versione presenta, altri ne sostengono la totale illegittimità. Per esplicita ammissione delle autorità coinvolte, le indagini svolte hanno riguardato soltanto GA3 e non è quindi possibile trarre alcuna conclusione ragionata in merito alla conformità dei trattamenti proposti da Google Analytics 4.

Sebbene l’Autorità Garante della protezione dei dati francese sostenga che sia sufficiente utilizzare un server proxy proprietario localizzato in Europa a monte del server proxy nativo utilizzato da Google Analytics, anche questo potrebbe non rivelarsi sufficiente. Per evitare il rischio di incorrere in sanzioni, potrebbe sicuramente essere utile installare sul proprio sito un sistema di monitoraggio che ne verifichi la conformità alle direttive europee, ma più di ogni altra cosa è indispensabile rivolgersi quanto prima al proprio DPO o consulente privacy in modo che questi possa fornire indicazioni più corrette e aderenti alla situazione specifica.

Images by freepik.com