Garante della Privacy e Google Analytics
27/07/2022
Criticità tra Google Analytics e il Garante della Privacy
Il 22 giugno 2022, il Garante della Privacy ha emesso un provvedimento ai danni della web agency italiana Caffeina Media srl, che utilizzava sul proprio sito il servizio di Google Analytics (GA), senza però rispettare le garanzie previste dal regolamento UE sulla protezione dei dati, in riferimento al trasferimento degli stessi negli Stati Uniti.
Questo provvedimento ha destato molto scalpore tra gli addetti ai lavori, e visto che può interessare molte organizzanizzazioni (potenzialmente tutti coloro che sono titolari di un sito web), abbiamo pensato di analizzare nel dettaglio le motivazioni che hanno spinto a questa sentenza in modo da potersi tutelare.
Ma perché Google Analytics è illegale per il Garante della Privacy?
Non è vero che Google Analytics è illegale, ma la versione più diffusa attualmente di Google Analytics, denominata GA3 non risulta più conforme per il Garante della Privacy.
Tutti i siti utilizzano i cookies per raccogliere informazioni come: indirizzo IP, user ID, informazioni relative al Browser, al sistema operativo, al dispositivo utilizzato, dati di geolocalizzazione o altri dati personali come, numero di cellulare, sesso, data di nascita, immagine del profilo etc…, ma alcuni di questi dati devono essere protetti e non possono essere inviati a Google LLC in quanto la sede è negli USA.
L’illegittimità deriva appunto dal trasferimento dei dati verso gli Stati Uniti, che fino a luglio dell’anno scorso era disciplinato da un accordo tra UE ed USA, chiamato Privacy Shield che attualmente non è più valido poiché negli Usa, per motivi di sicurezza nazionale, le agenzie di intelligence come Cia e FBI, possono accedere ai dati in possesso delle aziende, violando quindi la privacy dei cittadini europei.
Google Analytics per ovviare a questo problema, aveva provato ad inserire uno strumento chiamato “IP-Anonymization”, che però non consente di fatto l’effettiva anonimizzazione delle informazioni.
Come possiamo metterci in regola nei confronti del Garante della Privacy?
Una delle soluzioni possibili, ma non l’unica, è quella di utilizzare l’ultima versione, già disponibile, di Analytics GA4 che andrà a sostituire l’attuale GA3, rendendo obbligatoria la migrazione entro luglio 2023.Analytics GA4 è un software completamente diverso dalla versione precedente Analytics GA3 e permetterà l’anonimizzazione dei dati e la configurazione di un Server Proxy.
Il Server Proxy si occupa del processo che consente l’anonimizzazione dell’indirizzo IP e anche di tutti i dati riconducibili al dispositivo dell’utente, rendendone quindi impossibile l’identificazione.
Affinché tutto il processo possa ritenersi GDPR Compliance, il Server Proxy, dovrà però risiedere all’interno del territorio Europeo.
Conclusioni:
Tirando le fila del discorso, nell’attesa che venga stipulato un nuovo accordo fra UE e USA, consigliamo a tutti di controllare i propri siti web, per verificare che l’utilizzo di Google Analytics sia corretto e non illegale, rispettando quindi la normativa stabilita dal Garante della Privacy.Fonti: https://www.garanteprivacy.it/ - https://www.marcogentilini.com/blog/google-analytics-e-gdpr-consigli-dopo-il-provvedimento-del-garante-per-essere-in-regola/ - https://www.privacylab.it/IT/2251/il-problema-non-e-google-analytics-ma-come-lo-utilizzi/