Riepilogo carrello
Il tuo carrello è vuoto
Prodotti nel carrello: 0
Totale prodotti: € 0,00
10/06/2022
Successivamente alla pubblicazione della sentenza Schrems del 2020, è stata pubblicata una importante decisione a livello europeo.
Infatti, il 22 dicembre 2021, il Garante Privacy austriaco ha stabilito che Google Analytics è illegale in quanto viola il GDPR.
Secondo il Garante austriaco, i dati personali che Google trasmette in USA non sono stati adeguatamente protetti contro un potenziale accesso da parte di agenzie di intelligence statunitensi.
I dati personali trasferiti in USA sono gli indirizzi IP degli utenti e i loro identificatori univoci che vengono memorizzati nei cookie utilizzati da Google Analytics.
Questi dati personali, secondo la normativa degli USA, possono essere forniti alle autorità americane stante i programmi di sorveglianza governativa dei servizi di intelligence (come il FISA 702) e, per queste ragioni, si configurerebbe la violazione del GDPR in tema di trasferimento dei dati personali fuori dall'UE.
Tramite un post pubblicato il 19 gennaio 2022, Google si è difesa affermando che le misure tecniche da essa messe in atto proteggono adeguatamente i dati personali delle persone fisiche europee.
Inoltre, secondo il colosso americano, la decisione del Garante austriaco potrebbe impattare su come i dati personali vengono trasmessi attraverso "l'intero ecosistema commerciale europeo e americano".
Una difesa, però, che non ha convito i Garanti privacy europei sulla legittimità di Google Analytics.
Prova che la difesa di Google sulla illecità di Google Analytics è stato il fatto che la decisione del Garante austriaco non ha rappresentato un caso isolato.
Infatti, in termini simili a quelli del Garante austriaco si è espresso anche il CNIL, il Garante privacy francese.
Con una decisione pubblicata il 10 febbraio 2022 anche il CNIL ha preso atto che tramite Google Analytics a ogni visitatore del sito web o sito di commercio elettronico viene assegnato un identificativo unico.
Questo "identificativo unico" (che costituisce un dato personale) e i dati associati vengono trasferiti da Google negli Stati Uniti, in violazione del GDPR.
Google Analytcs illegale anche in Olanda e Danimarca
Per considerazioni simili, Google Analytcs è stato considerato illegale anche in Olanda e Danimarca.
Google Analytics offre la possiblità di anonimizzare gli indirizzi IP degli utenti.
Tramite questa funzione, il titolare del sito web riceve informazioni sul traffico del sito, senza però avere informazioni specifiche con riguardo all'indirizzo IP del singolo utente.
L'anonimizzazione di Google Analytics lo rende a norma?
I Garanti privacy austriaci e francese hanno dato risposta negativa a questa domanda.
Infatti, anche se Google Analytics viene anonimizzato gli identificativi utilizzati per prestare il servizio, unitamente alle ulteriori informazioni sull'utente di cui dispone Google, renderebbero in ogni caso identificabile l'utente stesso.
Ciò, anche negli USA.
Inoltre, quello che Google definisce come "anonimizzazione" dell'indirizzo IP, di fatto non lo è, per i Garanti austriaco e francese.
Infatti, una volta trasferito il dato "anonimizzato" in USA, sarebbe sempre possibile per Google (o per il governo americano), ricomporre il dato e identificare l'indirizzo IP dell'utente.
In buona sostanza, anche l'anonimizzazione di Google Analytics non lo renderebbe un servizio conforme al GDPR.
Uno dei possibili scenari futuri è l'adeguamento della normativa USA ai principi del GDPR.
Questo scenario è abbastanza remoto, almeno nel breve termine, vista la difficoltà a modificare in modo massimo principi normativi statunitensi di primaria importanza (come i poteri di indagine delle Autorità federali).
Più probabile è vedere i colossi americani (tra cui appunto Google) spostare i server in Europa.
In questo modo, almeno in astratto, non vi sarebbero dati personali trasferiti in USA e il GDPR verrebbe rispettato.
Anche se dichiarato illegale in diversi Paesi europei hai deciso di utilizzare in ogni caso Google Analytics.
Potresti infatti essere una web agency incaricata dal cliente di procedere in tal senso. Oppure se sei titolare di un sito ecommerce o sito web potresti non aver trovato una valida alternativa (v. sotto le alternative a Google Analytics).
In questo caso, ti segnaliamo alcune accortezze per utilizzare il più possibile Google Analytics a norma di legge e cercare di rispettare la privacy dei tuoi utenti.
IP anonimizzato?
Google Analytics offre la possibilità di rendere anonimi gli indirizzi IP.
Su questo punto, vale la pena ribadire che per i Garanti privacy francesi e austriaci Google Analytics non è a norma anche se permette l'anonimizzazione degli indirizzi IP.
Infatti, una volta trasferito in USA, Google (e le agenzie governative) hanno tutti gli strumenti per identificare in ogni caso l'utente.
Ad ogni modo, l'anonimizzazione dell'indirizzo IP potrebbe rappresentare, agli occhi del Garante Privacy, la prova che il sito web o ecommerce ha messo in pratica quanto poteva per tutelare i diritti degli utenti.
Google permette una serie di controlli privacy avanzati, come:
Di seguito vediamo quali sono le alternative più comuni a Google Analytics.
E' una soluzione "cookie based" con integrazioni simili a Google Analytics.
La società ha sede in Polonia e i server sono allocati in Europa.
Possiede un'ottima interfaccia ma l'integrazione con tool terzi potrebbe risultare un pò "complessa" ai non addetti ai lavori.
Altro elemento negativo è rappresentato dal fatto che il tool possiede meno "opzioni" rispetto a Google Analytics.
Questo tool è di una azienda francese. Anche in questo caso i server sono in Europa.
Un elemento di favore è rappresentato da funzionalità specifiche per e-commerce.
Anche in questo, però, le integrazioni con tool terzi può risultare non del tutto semplice.
Questa soluzione cookie-free punta a risolvere la questione del consenso ai cookie di profilazione e al trattamento dei dati personali.
La società ha sede in Canada ma anche in questo caso i server sono in Europa (Germania).
Elemento "pro" è rappresentato dalle dimensioni dello script, che sono ridotte e che quindi non incidono sul carimento della pagina del sito web.
Altra soluzione "cookie-free". E' open-source.
La società ha sede in Estonia e i server sel servizio sono allocati in Europa (Germania).
Anche in questo caso le dimensioni ridotte dello script permettono un veloce caricamento della pagina.
E' l'alternativa a Google Analytics forse più famosa sul web. Anche questo tool è open source.
Il vantaggio di questo tool riguarda il bilanciamento tra tutela della privacy e funzionalità.
Infatti, i dati personali degli utenti possono essere salvati su server proprietari rendendo così possibile un controllo completo da parte del sito web o della web agency.
La UX può risultare all'inizio meno intuitiva rispetto a Google Analytics.
Le funzionalità sono però molto simili al tool di Google: si pensi che è possibile installare anche un tracking per le campagne online.
Alla data di redazione della presente guida, il Garante Privacy non si è ancora espresso formalmente sulla leicità o meno di Google Analytics.
Questo è molto importante.
Infatti, fino a quando il Garante Privacy italiano non si esprimerà in modo formale, l'uso di Google Analytics è ammesso per i siti web o ecommerce italiani.
Da alcuni dichiarazioni "non ufficiali" pubblicate online, sembra molto probabile una decisione in linea con quella dei Garanti francesi e austriaci: Google Analytcs non è a norma e non rispetta il GDPR.
Sarà però interessante vedere se il Garante Privacy, come molte è accaduto in tema privacy e cookie (es.: le Linee Guida sull'uso dei cookie), dovesse decidere di pubblicare Linee guida sull'uso di Google Analytics.
In questo scenario, sarebbe possibile utilizzare Google Analytics a norma di legge.
Come usare a norma Google Analytics in attesa della pronuncia del Garante Privacy?
Al momento, è molto difficile (se non impossibile) fornire una risposta totalmente in linea con quanto prescritto dal GDPR in materia di trasferimento di dati personali in USA.
Una plausibile risposta la si può ritrovare nel principio di "accountability" previsto dal GDPR.
Questo principio prevede che sia il titolare del trattamento (il sito web) a decidere le misure di sicurezza e le corrette modalità di trattamento dei dati personali degli interessati (gli utenti).
Alla luce di questo principio, e prima della pronuncia del Garante Privacy, potrebbero quindi attuarsi le seguenti misure:
a. utilizzare l'opzione di anonimizzazione degli indirizzi IP prevista da Google Analytics
b. dimostrare di aver visionato le altre alternative a Google Analytcs e di non averle trovate adeguatamente "performanti"
c. utilizzare qualsiasi altro strumento privacy messo a disposizione da Google per la tutela della privacy degli utenti.
Ovviamente, ciò nell'eventualità che non si sia deciso di utilizzare una delle alternative a Google Analytics (vedi il paragrafo precedente).