È una di quelle notizie che ha lasciato attonito tutto l’articolato universo di quanti si occupano di business in ambito digitale: il Garante della Privacy italiano, sulla scia di quanto fatto dall’omologo francese e austriaco, ha vietato l’utilizzo di Google Analytics.
L’autority italiana ha provveduto giovedì all’ammonimento della società Caffeina Media srl, che sfruttava proprio GA3, intimandone lo stop all’uso entro 90 giorni. In realtà si tratta di un’indicazione che vale per tutte le società che ricorrono a questo software.
La ragione del divieto? Semplice, come appurato dal Garante, Analytics esegue un trasferimento dei dati europei all’estero. Un processo considerato illecito, sulla scorta di quanto rilevato dalla normativa attualmente in corso.
Per essere precisi, la nota ufficiale rilasciata dall’autorità amministrativa specifica che dall’indagine è “emerso che i gestori dei siti web che utilizzano Google Analytics raccolgono, mediante cookie, informazioni sulle interazioni degli utenti con i predetti siti, le singole pagine visitate e i servizi proposti”.
La questione dell’anonimizzazione IP e il principio di accountability
I dati raccolti sono risultati “oggetto di trasferimento verso gli Stati Uniti. Nel dichiarare l’illiceità del trattamento è stato ribadito che l’indirizzo Ip costituisce un dato personale e anche nel caso fosse troncato non diverrebbe un dato anonimo, considerata la capacità di Google di arricchirlo con altri dati di cui è in possesso”.
Quindi anche in caso di IP anonimizzato resta pertinente il problema? In sintesi, sì. L’anonimizzazione (nota anche come mascheramento) degli indirizzi IP corrisponde a una pseudonimizzazione dell’informazione pertinente il dato che riguarda l’indirizzo di rete dell’utente. Poiché Big G può comunque ricostruire l’identità dell’utente ricorrendo ad altre informazioni in suo possesso.
Nonostante venga scelto quindi di attivare l’IP address anonymization, l’utente, grazie agli altri dati, può essere re-identificato. Va però considerata la rilevanza della nozione di accountability che ritroviamo all’interno del GDPR.
Questo criterio prevede infatti che, nell’eventualità di trasferimento dati nei confronti di paesi terzi, sia del titolare l’onere di appurare che la legge o la prassi del paese terzo coinvolto possa compromettere l’efficacia delle garanzie degli strumenti di trasferimento (a cui fa riferimento l’articolo 46 del Regolamento).
Spetta all’esportatore (ovvero il titolare) eventualmente porre in essere “misure supplementari che consentano all’importatore di rispettare gli obblighi previsti dallo strumento adottato a sensi dell’art. 46 del Regolamento; tutto ciò al fine di assicurare che il livello di protezione delle persone fisiche garantito dal Regolamento non sia pregiudicato”, così si legge all’interno del Provvedimento del 9 giugno 2022 emanato dal Garante per la Protezione dei Dati Personali.
Qual è il criterio normativo che ha portato al divieto?
Il riferimento rilevante è l’intervento, relativo al 2020, della Corte di Giustizia europea. Questa ha disposto l’annullamento delle risorse giuridiche che permettevano il trasferimento dati dal Vecchio Continente agli Stati Uniti.
La normativa d’oltreoceano non fornisce adeguate garanzie sulle informazioni scambiate. Non viene fornito difatti un sufficiente livello di protezione dei dati degli utenti. Stiamo quindi aspettando una nuova intesa tra Stati Uniti ed Ue.
Da parte del Garante c’è la volontà di comunicare una chiara indicazione: “Con l’occasione l’Autorità richiama all’attenzione di tutti i gestori italiani di siti web, pubblici e privati, l’illiceità dei trasferimenti effettuati verso gli Stati Uniti attraverso Google Analytics, anche in considerazione delle numerose segnalazioni e quesiti che stanno pervenendo all’Ufficio”.
È inoltre invitato ogni titolare del trattamento ad appurare “la conformità delle modalità di utilizzo di cookie e altri strumenti di tracciamento utilizzati sui propri siti web, con particolare attenzione a Google Analytics e ad altri servizi analoghi, con la normativa in materia di protezione dei dati personali”. Chi non si adegua alle disposizioni, a differenza di quanto accade in Francia e in Austria, è a rischio sanzione.
Fine di GA3 in Europa. E adesso? L’immediato passaggio a GA4
È davvero un bel problema quello sollevato dal Garante della Privacy per chi ha un progetto digitale, e in particolare per il mondo e-commerce. Cosa fare allora? La soluzione è rappresentata dall’immediata adozione di Google Analytics 4.
Il nuovo software consente di tornare alla tanto sospirata normalità. Perché? GA4, a dispetto del suo predecessore, non salva l’IP e non prevede lo stoccaggio nei server Google.
Vuoi lasciarti alle spalle ogni problema e tornare a utilizzare ogni informazione utile per la costruzione di una performante strategia data driven? Compila adesso il form e lasciati guidare a GA4 grazie al supporto del team Analytics di Fattoretto Agency!
