Consulenza legale per ecommerce con un Team di avvocati esperti in privacy e diritto digitale, dal 2011.

Riepilogo carrello

Il tuo carrello è vuoto

Prodotti nel carrello: 0
Totale prodotti: € 0,00

Prosegui al carrello

Il Garante Privacy dice stop a Google Analytics

23/06/2022

Il Garante Privacy dice stop a Google Analytics


Dopo le pronunce dei Garanti privacy austriaci e francesi, anche il Garante Privacy italiano si è pronunciato in materia sull'uso di Google Analytcs.

Come previsto, anche la nostra Autorità si è espressa nel senso di vietare l'uso di Google Analytics sui siti web.

Per quale motivo Google Analytics è stata dichiarato "illegale"?

Vediamo insieme le motiviazioni del Garante Privacy e come cercare di adeguarsi alla decisione.

Clicc qui se vuoi leggere la versione integrale del provvedimento del Garante Privacy su Google Analytics.

Seguici sui nostri social: FacebookLinkedIn e YouTube.
 

Il reclamo presentato dall'utente

 

Con un reclamo presentato in data 17 agosto 2020, un utente ha segnalato al Garante Privacy che la società Caffeina Media S.r.l. avrebbe trasferito a Google LLC, con sede negli Stati Uniti, i dati personali che lo riguardano trattati per il tramite del sito internet www.caffeinamagazine.it.

Il trasferimento sarebbe avvenuto in assenza delle garanzie previste dal GDPR (capo V del Regolamento).
 

La difesa del sito internet


Il sito web ha presentato le seguenti argomentazioni a difesa:
 

  • il trattamento dei dati personali degli utenti del sito è posto in essere dalla società per il tramite di Google Analytics nella sua “versione gratuita”;
  • la società “non ha né visibilità del dettaglio dei dati raccolti, né può precisamente descriverne le tipologie” e ha scelto di avvalersi di Google Analytics  anche perché Google afferma di trattare soltanto dati pseudonimi e su base cookie;
  • la società è vincolata al testo contrattuale di  Google Analytics approvato in piattaforma e come emerge dalla documentazione contrattuale imposta da Google, Google agisce in qualità di responsabile del trattamento dei dati raccolti tramite Google Analytics;
  • il trasferimento dei dati verso Google LLC è posto in essere per il tramite delle Clausole contrattuali standard che corrispondono allo schema tipo adottato il 5 febbraio 2010 dalla Commissione europea con decisione n. 2010/87/UE;
  • tali clausole sono state integrate dalle misure supplementari adottate da Google, rispetto alle quali la Società non ha “alcuna possibilità di verificare l’implementazione a livello tecnico (..), ovvero di impartire specifiche istruzioni sull’effettiva implementazione delle stesse;
  • nell’ambito dei servizi offerti tramite Google Analytics, Caffeina Media S.r.l. non ha aderito all’opzione di condivisione dei dati, c.d. data sharing option;
  • in ordine al contestato trasferimento verso Google LLC dei dati relativi al reclamante, Caffeina Media S.r.l. “non ha particolare autonomia nell’utilizzo dello strumento [Google Analytics], ivi inclusa la possibilità di sapere se i dati del reclamante sono stati effettivamente trasferiti verso paesi terzi”;
  • la società si avvale del servizio automatico della società Iubenda s.r.l. per la gestione dell’informativa privacy e dell’informativa cookie”.
Molte delle argomentazioni difensive poste in essere dal sito rappresentano molto probabilmente argomentazioni che avrebbe speso qualsiasi altra azienda.

Vediamo perchè il Garante Privacy ha detto no all'uso di Google Analytics.


Garante Privacy google analytics illecito
 

I trasferimenti di dati personali verso gli Stati Uniti effettuati per il tramite di Google Analytics.

 

Google Analytics è uno strumento di web analytics fornito da Google ai siti web che consente a questi ultimi di analizzare dettagliate statistiche sugli utenti nell’ottica di ottimizzare i servizi resi e di monitorare le proprie campagne di marketing.

Il sito oggetto del provvedimento ha utilizzato Google Analytics nella sua versione gratuita per finalità  statistiche.

Il Garante Privacy ha rilevato che il sito ha raccolto, mediante cookies trasmessi al browser degli utenti, informazioni in ordine alle modalità di interazione di questi ultimi con il sito web, nonché con le singole pagine e con i servizi proposti.

Nel provvedimento il Garante Privacy ricorda che l'indirizzo IP costituisce un dato personale se consente di identificare un dispositivo di comunicazione elettronica, rendendo pertanto indirettamente identificabile l’interessato in qualità di utente.

Tutto ciò soprattutto ove, come nel caso di specie, l’IP sia associato ad altre informazioni relative al browser utilizzato, alla data e all’ora della navigazione.
 

Google Analytics e l'opzione di anonimizzazione


In merito, Google, nell’ambito del servizio Google Analytics, ha messo a disposizione dei gestori dei siti web l’opzione denominata “IP-Anonymization” che comporta l’invio a Google Analytics dell’indirizzo IP dell’utente previo oscuramento dell’ottetto meno significativo.

Nel caso di specie, la società ha dichiarato che la suddetta opzione, alla data della presentazione del reclamo, non era stata attivata e ha altresì rappresentato di aver aderito alla stessa solo successivamente, nell’ambito dell’adozione di una serie di misure tecnico giuridiche implementate a seguito dell’avvio del procedimento del Garante Privacy.

Alla luce di quanto complessivamente rilevato, il Garante Privacy ha evidenziato che l’utilizzo di Google Analytics da parte dei siti web implica il trasferimento dei dati personali dei visitatori dei suddetti siti verso Google LLC con sede negli Stati Uniti.

Tali trasferimenti, in quanto effettuati verso un paese terzo che non garantisce un livello di protezione adeguato ai sensi della normativa di protezione dei dati (ossia gli Stati Uniti), devono essere posti in essere in conformità al Capo V del GDPR.
 

L’illiceità dei trasferimenti di dati personali in USA


Il Garante ricorda che la Corte di Giustizia dell’Unione Europea, con la pronuncia del 16 luglio 2020 (c.d. Schrems II) ha:

  • dichiarato invalida la decisione della Commissione UE n. 2016/1250 del 12 luglio 2016, sull’adeguatezza della protezione offerta dal regime dello scudo UE-USA per la privacy (c.d. Privacy Shield);
  • ha constatato che il diritto interno degli Stati Uniti comporta deroghe alla normativa in materia di protezione di dati che eccedono le restrizioni ritenute necessarie in una società democratica;
  • ribadito la validità della decisione n. 2010/87/CE della Commissione del 5 febbraio 2010 concernente le clausole contrattuali tipo per il trasferimento di dati personali a responsabili stabiliti in paesi terzi – clausole adottate da Caffeina nel caso di specie (v. supra, par. 1);
  • puntualizzato che, in base al principio di accountability, i titolari del trattamento, in qualità di esportatori, sono comunque tenuti a verificare, caso per caso e, ove necessario, in collaborazione con l’importatore nel paese terzo, se la legge o la prassi di quest’ultimo incidano sull’efficacia delle garanzie adeguate contenute nelle predette clausole; ciò al fine di determinare se le garanzie previste dalle clausole contrattuali tipo possano essere rispettate nella pratica.

 

A seguito di un iter molto specifico e puntuale sulla normativa USA in materia di protezione dei dati personali degli utenti, il Garante Privacy ha riscontrato che negli USA non sussiste un livello di protezione dei dati adeguato in base agli standard europei imposti dal GDPR.

 

Inidoneità delle misure supplementari

 

Nemmeno l'azione di misure supplementari ha impedito di sancire l'illecità di Google Analytics.

Infatti, nemmeno misure di cifrature dei dati personali sono sufficienti ad evitare i rischi di un accesso, ai fini di sicurezza nazionale, ai dati trasferiti dall’Unione europea da parte delle Autorità pubbliche degli Stati Uniti, in quanto le tecniche di cifratura adottate prevedono che la disponibilità della chiave di cifratura sia in capo a Google LLC che la detiene, in qualità di importatore, in virtù della necessità di disporre dei dati in chiaro per effettuare elaborazioni e fornire servizi.

Merita inoltre evidenziare che l’obbligo di consentire l’accesso, da parte delle Autorità statunitensi, ricade su Google LLC non solo con riferimento ai dati personali importati, ma anche in ordine alle eventuali chiavi crittografiche necessarie per renderli intelligibili.
 

Inidoneità della informativa privacy pubblicata sul sito tramite Iubenda


Il Garante Privacy ha contestato anche la privacy policy pubblicata sul sito tramite il generatore di documenti legali Iubenda.

Infatti, la privacy policy non conteneva alcun riferimento al fatto che il trasferimento di dati personali avveniva in un Paese che non possedeva idone misure di protezione dei dati personali.
 

Le conclusioni del Garante Privacy sull'uso di Google Analytics


In conclusione, il Garante Privacy ha statuito l'illecità dell'uso di Google Analytics effettutato tramite il sito internet.

Il Garante ha però evidenziato che in relazione alla natura e alla gravità della violazione, le operazioni di trattamento oggetto di contestazione non hanno avuto ad oggetto categorie particolari di dati personali

Con riguardo all’elemento soggettivo del trasgressore, occorre considerare che la società ha erroneamente assunto come idonee, sulla base delle informazioni rese da Google, le misure supplementari adottate da quest’ultima senza esercitare alcun potere decisionale in merito alle stesse.

Alla luce di ciò, il Garante Privacy non ha emesso una sanzione pecuniaria ma ha richiesto al sito di eliminare Google Analytics dal proprio sito.
 

Alternative a Google Analytcs


Di seguito vediamo quali sono le alternative più comuni a Google Analytics.

ShinyStat

Cominciamo con una alternativa italiana a Google Analytics.

ShinyStat™ è un sistema di rilevazione browser-based, in grado di processare e aggregare i dati in tempo reale nel rispetto del GDPR.

La leadership nel panorama Internet italiano è confermata dagli oltre 200.000 account attivi che, nell’arco di oltre un decennio, hanno contribuito a rendere sempre più capillare la diffusione di ShinyStat™.

Pimik Pro


E' una soluzione "cookie based" con integrazioni simili a Google Analytics. 

La società ha sede in Polonia e i server sono allocati in Europa.

Possiede un'ottima interfaccia ma l'integrazione con tool terzi potrebbe risultare un pò "complessa" ai non addetti ai lavori.

Altro elemento negativo è rappresentato dal fatto che il tool possiede meno "opzioni" rispetto a Google Analytics.
 

AT Internet


Questo tool è di una azienda francese. Anche in questo caso i server sono in Europa.

Un elemento di favore è rappresentato da funzionalità specifiche per e-commerce. 

Anche in questo, però, le integrazioni con tool terzi può risultare non del tutto semplice.
 

Fathom


Questa soluzione cookie-free punta a risolvere la questione del consenso ai cookie di profilazione e al trattamento dei dati personali.

La società ha sede in Canada ma anche in questo caso i server sono in Europa (Germania).

Elemento "pro" è rappresentato dalle dimensioni dello script, che sono ridotte e che quindi non incidono sul carimento della pagina del sito web.
 

Plausible

​​​​​​
Altra soluzione "cookie-free". E' open-source.

La società ha sede in Estonia e i server sel servizio sono allocati in Europa (Germania).

Anche in questo caso le dimensioni ridotte dello script permettono un veloce caricamento della pagina.
 

Matomo

E' l'alternativa a Google Analytics forse più famosa sul web. Anche questo tool è open source.

Il vantaggio di questo tool riguarda il bilanciamento tra tutela della privacy e funzionalità.

Infatti, i dati personali degli utenti possono essere salvati  su server proprietari rendendo così possibile un controllo completo da parte del sito web o della web agency.

La UX può risultare all'inizio meno intuitiva rispetto a Google Analytics.

Le funzionalità sono però molto simili al tool di Google: si pensi che è possibile installare anche un tracking per le campagne online. 
 

Maggiori informazioni?
 

Contattaci per adeguare il tuo sito web alla decisione del Garante Privacy.

Scrivi a legalblink@legalblink.it.

Team LegalBlink