Consulenza legale per ecommerce con un Team di avvocati esperti in privacy e diritto digitale, dal 2011.
0

Riepilogo carrello

Il tuo carrello è vuoto

Prodotti nel carrello: 0
Totale prodotti: € 0,00

Prosegui al carrello

Google Analytics è illegale?

10/06/2022

Google Analytics è illegale?


Se hai un sito web/ecommerce o gestisci una web agency in questi mesi avrai sicuramente pensato: Google Analytics è illegale? Rispetta il GDPR? Come usare Google Analytcs a norma di legge?

Queste domande ti saranno venute in mente in quanto avrai letto articoli di commento ad alcune decisioni di Garanti privacy europei che hanno sostanzialmente stabilito che un sito web che utilizza Google Analytics viola il GDPR.

Cosa ha determinato queste decisioni? E' possibile utilizzare Google Analytics senza violare la legge? In questo articolo cerchiamo di dare una risposta a queste e a molte altre domande.
 

Cos'è Google Analytics


Poche parole per descrivere uno dei servizi più noti del web.

Google Analytics è un servizio gratuito offerto da Google.

Questo servizio permette di monitorare le visite degli utenti al proprio sito web o ecommerce.

Google Analytics è strutturato in semplici sezioni e i dati sono organizzati con grafici e tabelle davvero molto chiare e utili. 
 

Google Analytics e dati personali


Come funziona Google Analytics dal punto di vista del trattamento dei dati personali? Quali sono le implicazioni per il rispetto del GDPR?

Il servizio funziona in modo che quando l'utente naviga sul sito web un cookie di Google Analytics viene posizionato sul dispositivo dell'utente.

Il cookie è necessario per permettere a Google Analytics di tracciare l'attività dell'utente nel corso della sua navigazione online.

I dati personali raccolti tramite Google Analytics possono essere utilizzati, per esempio, per monitorare:
  • le pagine visualizzate
  • il tempo di navigazione
  • le informazioni presenti sul dispositivo dello stesso utente.
Inoltre, tramite questo servizio Google è in grado di assegnare un numero di identificazione che può essere collegato ad altri dati dell'utente medesimo.

In questo modo, è quindi possibile per Google identificare un utente in modo ancora più preciso.

Dal punto di vista del titolare del sito web o sito ecommerce, questi dati personali possono essere usati per scoprire gli interessi degli utenti e dei clienti.

Una informazione molto importante è questa: i dati comportamentali degli utenti europei vengono conservati inizialmente sui server di Google per poi essere trasferiti negli Stati Uniti, sempre sui server di Google.
 

Il problema legale di trasferire i dati personali degli utenti in USA usando Google Analytcs


Come abbiamo visto, i dati comportamentali degli utenti che accedono al sito web che utilizza Google Analytics vengono trasferiti da Google sui propri server allocati in USA.

Con riferimento al trasferimento dei dati personali in USA, con la nota sentenza Schrems del 2020, la Corte di Giustizia ha stabilito che è illegittimo trasferire i dati personali degli utenti dei servizi internet in paesi terzi, dove non vengano garantiti livelli di protezione adeguati a quelli offerti dal GDPR.

Tra le nazioni che non offrono standard di sicurezza adeguati ci sono proprio gli Stati Uniti.
 

Come hanno cercato di adeguarsi le multinazionali alla sentenza Schrems

 

Multinazionali come Facebook, Amazon, Microsoft e la stessa Google hanno inserito il trasferimento dei dati personali degli utenti all'interno delle condizioni di servizio; condizioni che gli utenti non possono rifiutare, pena l'impossibilità di usufruire del servizio stesso.

Questa pratica non sembra però in linea con il GDPR e, quindi, il problema del trasferimento dei dati personali in USA rimane.
 

Google Analytcs è stato dichiarato "illegale" in Austria

 

Successivamente alla pubblicazione della sentenza Schrems del 2020, è stata pubblicata una importante decisione a livello europeo.

Infatti, il 22 dicembre 2021, il Garante Privacy austriaco ha stabilito che Google Analytics è illegale in quanto viola il GDPR.

Secondo il Garante austriaco, i dati personali che Google trasmette in USA non sono stati adeguatamente protetti contro un potenziale accesso da parte di agenzie di intelligence statunitensi.

I dati personali trasferiti in USA sono gli indirizzi IP degli utenti e i loro identificatori univoci che vengono memorizzati nei cookie utilizzati da Google Analytics.

Questi dati personali, secondo la normativa degli USA, possono essere forniti alle autorità americane stante i programmi di sorveglianza governativa dei servizi di intelligence (come il FISA 702) e, per queste ragioni, si configurerebbe la violazione del GDPR in tema di trasferimento dei dati personali fuori dall'UE.

 

La difesa di Google Analytcs


Tramite un post pubblicato il 19 gennaio 2022, Google si è difesa affermando che le misure tecniche da essa messe in atto proteggono adeguatamente i dati personali delle persone fisiche europee.

Inoltre, secondo il colosso americano, la decisione del Garante austriaco potrebbe impattare su come i dati personali vengono trasmessi attraverso "l'intero ecosistema commerciale europeo e americano".

Una difesa, però, che non ha convito i Garanti privacy europei sulla legittimità di Google Analytics.
 

Google Analytcs dichiarato illegale anche in Francia


Prova che la difesa di Google sulla illecità di Google Analytics è stato il fatto che la decisione del Garante austriaco non ha rappresentato un caso isolato. 

Infatti, in termini simili a quelli del Garante austriaco si è espresso anche il CNIL, il Garante privacy francese.

Con una decisione pubblicata il 10 febbraio 2022 anche il CNIL ha preso atto che tramite Google Analytics a ogni visitatore del sito web o sito di commercio elettronico viene assegnato un identificativo unico.

Questo "identificativo unico" (che costituisce un dato personale) e i dati associati vengono trasferiti da Google negli Stati Uniti, in violazione del GDPR.

Google Analytcs illegale anche in Olanda e Danimarca

Per considerazioni simili, Google Analytcs è stato considerato illegale anche in Olanda e Danimarca.
 

Google Analytics e anonimizzazione


Google Analytics offre la possiblità di anonimizzare gli indirizzi IP degli utenti.

Tramite questa funzione, il titolare del sito web riceve informazioni sul traffico del sito, senza però avere informazioni specifiche con riguardo all'indirizzo IP del singolo utente.

L'anonimizzazione di Google Analytics lo rende a norma?

I Garanti privacy austriaci e francese hanno dato risposta negativa a questa domanda.

Infatti, anche se Google Analytics viene anonimizzato gli identificativi utilizzati per prestare il servizio, unitamente alle ulteriori informazioni sull'utente di cui dispone Google, renderebbero in ogni caso identificabile l'utente stesso.

Ciò, anche negli USA.

Inoltre, quello che Google definisce come "anonimizzazione" dell'indirizzo IP, di fatto non lo è, per i Garanti austriaco e francese.

Infatti, una volta trasferito il dato "anonimizzato" in USA, sarebbe sempre possibile per Google (o per il governo americano), ricomporre il dato e identificare l'indirizzo IP dell'utente.

In buona sostanza, anche l'anonimizzazione di Google Analytics non lo renderebbe un servizio conforme al GDPR.
 

Alcuni possibili scenari


Uno dei possibili scenari futuri è l'adeguamento della normativa USA ai principi del GDPR.

Questo scenario è abbastanza remoto, almeno nel breve termine, vista la difficoltà a modificare in modo massimo principi normativi statunitensi di primaria importanza (come i poteri di indagine delle Autorità federali).

Più probabile è vedere i colossi americani (tra cui appunto Google) spostare i server in Europa.

In questo modo, almeno in astratto, non vi sarebbero dati personali trasferiti in USA e il GDPR verrebbe rispettato.
 

Come adeguare il sito web se usi Google Analytics


Anche se dichiarato illegale in diversi Paesi europei hai deciso di utilizzare in ogni caso Google Analytics.

Potresti infatti essere una web agency incaricata dal cliente di procedere in tal senso. Oppure se sei titolare di un sito ecommerce o sito web potresti non aver trovato una valida alternativa (v. sotto le alternative a Google Analytics).

In questo caso, ti segnaliamo alcune accortezze per utilizzare il più possibile Google Analytics a norma di legge e cercare di rispettare la privacy dei tuoi utenti.

IP anonimizzato?

Google Analytics offre la possibilità di rendere anonimi gli indirizzi IP.

Su questo punto, vale la pena ribadire che per i Garanti privacy francesi e austriaci Google Analytics non è a norma anche se permette l'anonimizzazione degli indirizzi IP.

Infatti, una volta trasferito in USA, Google (e le agenzie governative) hanno tutti gli strumenti per identificare in ogni caso l'utente. 

Ad ogni modo, l'anonimizzazione dell'indirizzo IP potrebbe rappresentare, agli occhi del Garante Privacy, la prova che il sito web o ecommerce ha messo in pratica quanto poteva per tutelare i diritti degli utenti.
 

Altri controlli privacy tramite Google Analytics

 

Google permette una serie di controlli privacy avanzati, come:
 

  • disattivare le funzionalità pubblicitarie
  • disattivare completamente la raccolta dati.

 

Alternative a Google Analytcs


Di seguito vediamo quali sono le alternative più comuni a Google Analytics.


Pimik Pro


E' una soluzione "cookie based" con integrazioni simili a Google Analytics. 

La società ha sede in Polonia e i server sono allocati in Europa.

Possiede un'ottima interfaccia ma l'integrazione con tool terzi potrebbe risultare un pò "complessa" ai non addetti ai lavori.

Altro elemento negativo è rappresentato dal fatto che il tool possiede meno "opzioni" rispetto a Google Analytics.
 

AT Internet


Questo tool è di una azienda francese. Anche in questo caso i server sono in Europa.

Un elemento di favore è rappresentato da funzionalità specifiche per e-commerce. 

Anche in questo, però, le integrazioni con tool terzi può risultare non del tutto semplice.
 

Fathom


Questa soluzione cookie-free punta a risolvere la questione del consenso ai cookie di profilazione e al trattamento dei dati personali.

La società ha sede in Canada ma anche in questo caso i server sono in Europa (Germania).

Elemento "pro" è rappresentato dalle dimensioni dello script, che sono ridotte e che quindi non incidono sul carimento della pagina del sito web.
 

Plausible

​​​​​​
Altra soluzione "cookie-free". E' open-source.

La società ha sede in Estonia e i server sel servizio sono allocati in Europa (Germania).

Anche in questo caso le dimensioni ridotte dello script permettono un veloce caricamento della pagina.
 

Matomo

E' l'alternativa a Google Analytics forse più famosa sul web. Anche questo tool è open source.

Il vantaggio di questo tool riguarda il bilanciamento tra tutela della privacy e funzionalità.

Infatti, i dati personali degli utenti possono essere salvati  su server proprietari rendendo così possibile un controllo completo da parte del sito web o della web agency.

La UX può risultare all'inizio meno intuitiva rispetto a Google Analytics.

Le funzionalità sono però molto simili al tool di Google: si pensi che è possibile installare anche un tracking per le campagne online. 
 

Conclusioni: come adeguare il sito web se Google Analytics non è norma?

 

Alla data di redazione della presente guida, il Garante Privacy non si è ancora espresso formalmente sulla leicità o meno di Google Analytics.

Questo è molto importante.

Infatti, fino a quando il Garante Privacy italiano non si esprimerà in modo formale, l'uso di Google Analytics è ammesso per i siti web o ecommerce italiani.

Da alcuni dichiarazioni "non ufficiali" pubblicate online, sembra molto probabile una decisione in linea con quella dei Garanti francesi e austriaci: Google Analytcs non è a norma e non rispetta il GDPR.

Sarà però interessante vedere se il Garante Privacy, come molte è accaduto in tema privacy e cookie (es.: le Linee Guida sull'uso dei cookie), dovesse decidere di pubblicare Linee guida sull'uso di Google Analytics.

In questo scenario, sarebbe possibile utilizzare Google Analytics a norma di legge.
 

Come usare a norma Google Analytics in attesa della pronuncia del Garante Privacy?

Al momento, è molto difficile (se non impossibile) fornire una risposta totalmente in linea con quanto prescritto dal GDPR in materia di trasferimento di dati personali in USA.

Una plausibile risposta la si può ritrovare nel principio di "accountability" previsto dal GDPR. 

Questo principio prevede che sia il titolare del trattamento (il sito web) a decidere le misure di sicurezza e le corrette modalità di trattamento dei dati personali degli interessati (gli utenti). 

Alla luce di questo principio, e prima della pronuncia del Garante Privacy, potrebbero quindi attuarsi le seguenti misure:

a. utilizzare l'opzione di anonimizzazione degli indirizzi IP prevista da Google Analytics

b. dimostrare di aver visionato le altre alternative a Google Analytcs e di non averle trovate adeguatamente "performanti"

c. utilizzare qualsiasi altro strumento privacy messo a disposizione da Google per la tutela della privacy degli utenti.

Ovviamente, ciò nell'eventualità che non si sia deciso di utilizzare una delle alternative a Google Analytics (vedi il paragrafo precedente).

 

Maggiori informazioni su come gestire Google Analytics a norma?


Vuoi ricevere assistenza su come adeguare il tuo sito web o ecommerce all'uso di Google Analytics?

Il Team di LegalBlink è composto da avvocati ed esperti informatici in grado di configurare Google Analytics in modo da ridurre al minimo il rischio di sanzioni o reclami degli utenti.

Scrivi a legalblink@legalblink.it per una consulenza!

Team LegalBlink