Google Analytics è sotto processo. Posso usarlo? Devo cercare un’alternativa? Facciamo il punto della situazione in modo semplice.
Con Provvedimento del 9 giugno 2022 il Garante Privacy ha per la prima volta ‘’ammonito’’ la società Caffeina Media S.r.l. rea di aver trasferito a Google LLC, con sede negli Stati Uniti, i dati personali di un utente trattati per il tramite del sito web www.caffeinamagazine.it, in totale assenza delle garanzie previste dal capo V del Regolamento.
Semplificando, il Garante ammonisce la società per l’utilizzo del servizio Google UA che, seppur gestito da Google Ireland Limited, potrebbe aver trasferito dati verso gli Stati Uniti, con Google LLC.
Da questo ‘’provvedimento’’ il Garante Privacy di fatto non definisce l’utilizzo di Google UA ‘’illegale’’ o ”illegittimo” ma invita a modificarne la gestione per poter assolvere alle richieste.
Di fatto il problema non è risolvibile e per sequenziale ragionamento, qualsiasi evidenza al Garante Privacy di utilizzo del tracciante di Google UA costituisce una violazione del GDPR.
Google rilascia nel 2019 la versione beta del nuovo tracciante ”GA4”, reso ufficiale nell’ottobre 2020, che sembra risolvere il problema. Ma anche questo sistema seppur migliorando di molto l’anonimizzazione dei dati non è conforme.
GA4 scarta utomaticamente gli indirizzi IP degli utenti dopo aver ricavato i metadati per risalire alla localizzazione. I dati vengono quindi raccolti dal proxy di Google situato in Ue e vengono successivamente elaborati su altri server appositi di cui Google non rivela l’ubicazione.
Siamo ad un punto motro, come risolvere?
Ci sono diverse soluzioni, la prima è ad esempio utilizzare Google Tag Manager server side attraverso una configurazione manuale, non di semplice configurazione.
La seconda, utilizzare un sistema di analisi di terze parti pronto che sia conforme al GDPR come ad esempio Matomo.
Il problema di questo secondo sistema è l’interfacciamento con traccianti di terze parti, pixel di facebook, dati aggregati di Google ADS, ecc.
Ognuna di queste due soluzioni richiede una implementazione personalizzata.
DEVO RIMUOVERE ANALYTICS?
La risposta è SI, a meno che non si decida di implementare la soluzione Google Tag Manager server side o passare ad un servizio di terze parti.
E’ stata la sentenza di Schrems II, emessa dalla Corte di Giustizia dell’Unione europea nel luglio del 2020 a determinare l’invalidità della ‘’Privacy Shield’’ che permetteva e legittimava il trasferimento dei dati tra USA e Unione Europea. L’ivalidamento del framework ha determinato che qualsiasi trasferimento di dati tra UE e USA sia proibito.
Le Autorità per la protezione dei dati hanno scoperto che i trasferimenti di dati verso gli Stati Uniti non hanno lo stesso livello di protezione dell’UE.
Questa situazione deriva da una serie di leggi statunitensi che permettono alle organizzazioni governative di richiedere accesso ai dati personali di servizi con sede negli Stati Uniti, a prescindere da dove si trovino i centri dati o i server.
Alla luce di ciò, NOYB ha presentato 101 reclami alle ADP europee, per dimostrare l’illegalità del trasferimento dei dati di utenti europei negli Stati Uniti. Le decisioni, che hanno verificato l’illegittimità dei trasferimenti, si concentrano sull’analisi di misure tecniche, contrattuali e organizzative aggiuntive.
La Commissione Europea e il governo degli Sati uniti hanno avviato negoziati su un accordo successivo allo scudo UE-USA per la privacy per ottemperare alla sentenza della corte.
Il 7 ottobre il presidente Biden ha firmato un ordine esecutivo sul “miglioramento delle salvaguardie per le attività di intelligence sui segnali degli Stati Uniti” . Insieme ai regolamenti emanati dall’Attorney General, l’Executive Order recepisce nell’ordinamento statunitense l’accordo di principio annunciato a marzo. Su tale base, la Commissione europea preparerà ora un progetto di decisione di adeguatezza e quindi avvierà la procedura di adozione.
Nonostante queste importanti novità, la questione non sarà risolta in tempi brevi e il passaggio a piattaforme alternative è oggi quasi un obbligo per evitare di dover essere sottoposti a controlli del Garante Privacy.
Sulla base delle decisioni emanate finora, possiamo dedurre che le possibili conseguenza legali siano le seguenti:
- L’ordine di identificare delle misure tecniche aggiuntive entro 60 giorni (CNIL) o 90 giorni (Garante).
- L’ordine di smettere di utilizzare il servizio e sostituirlo con un’alternativa.
