Google Analytics illegale
Google Analytics illegale
L’Italia è diventata il terzo paese a vietare ufficialmente Google Analytics. La notizia è stata diffusa oggi dopo che un attento esame ha concluso che Google Analytics ha violato la legge GDPR. Potete trovare la dichiarazione qui .
SA italiana vieta l’uso di Google Analytics
Nessuna protezione adeguata per i trasferimenti di dati negli Stati Uniti
Un sito web che utilizza Google Analytics (GA) senza le garanzie stabilite nel GDPR dell’UE viola la legge sulla protezione dei dati perché trasferisce i dati degli utenti negli Stati Uniti, che sono un paese senza un livello adeguato di protezione dei dati.
La SA italiana è giunta a questa conclusione dopo un complesso esercizio di accertamento dei fatti avviato in stretto coordinamento con altre autorità dell’UE per la protezione dei dati in seguito ai reclami ricevuti. La SA italiana ha riscontrato che i gestori dei siti web che utilizzano GA hanno raccolto, tramite cookie, informazioni sulle interazioni degli utenti con i rispettivi siti web, pagine visitate e servizi offerti. Il variegato insieme di dati raccolti in questa connessione includeva l’indirizzo IP del dispositivo dell’utente insieme a informazioni su browser, sistema operativo, risoluzione dello schermo, lingua selezionata, data e ora di visualizzazione della pagina. È stato riscontrato che queste informazioni sono state trasferite negli Stati Uniti. Nel determinare l’illegittimità del trattamento,
Sulla base di quanto sopra esposto, la SA italiana ha adottato una decisione, a cui seguiranno ulteriori ulteriori, rimproverando Caffeina Media Srl – gestore di un sito web – e ordinandole di rendere il trattamento conforme al GDPR entro novanta giorni. Tale termine è stato ritenuto congruo al fine di consentire all’operatore di mettere in atto misure adeguate in relazione al trasferimento dei dati; in caso contrario sarà disposta la sospensione dei flussi di dati relativi a GA verso gli USA.
Google Analytics vietato
La SA italiana ha evidenziato, in particolare, che le agenzie governative e di intelligence con sede negli Stati Uniti possono accedere ai dati personali oggetto di trasferimento senza le necessarie tutele; ha evidenziato al riguardo che le misure adottate da Google a integrazione degli strumenti di trasferimento dei dati non hanno assicurato un livello adeguato di protezione dei dati personali degli utenti alla luce delle indicazioni fornite dall’EDPB attraverso le sue Raccomandazioni n. 1/2020 del 18 giugno 2021.
La SA italiana desidera richiamare l’attenzione di tutti gli operatori di siti web italiani, pubblici e privati, sull’illegittimità dei trasferimenti di dati verso gli USA risultanti dall’utilizzo di GA, anche a causa delle numerose segnalazioni e richieste sinora ricevute . La SA italiana invita tutti i titolari del trattamento a verificare che l’uso dei cookie e di altri strumenti di tracciamento sui propri siti Web sia conforme alla legge sulla protezione dei dati; questo vale in particolare per Google Analytics e servizi simili.
Decorso il termine di 90 giorni previsto nella sua decisione, la SA italiana verificherà che i trasferimenti di dati in questione siano conformi al GDPR dell’UE, anche mediante ispezioni ad hoc.
Roma, 23 giugno 2022
Questa notizia arriva solo una settimana dopo che la CNIL (Agenzia francese per la protezione dei dati personali) ha pubblicato le linee guida sulla questione Google Analytics. Queste linee guida sono il risultato delle dichiarazioni rese all’inizio di quest’anno in cui la CNIL ha vietato l’uso di Google Analytics .
Sembra che sempre più stati dell’UE giungano alla stessa conclusione: Google Analytics è illegale.
1. L’Italia vieta Google Analytics
L’Italia è il terzo paese a vietare Google Analytics. Lo ha concluso il Garante (Garante italiano per la protezione dei dati personali) al termine di una complessa istruttoria in coordinamento con altre autorità privacy europee.
È giunta alla stessa conclusione del DSB (Autorità austriaca per la protezione dei dati personali), che è stato il primo a dichiarare illegale l’uso di Google Analytics. Questo è stato il punto di partenza di una reazione a catena che ha portato a seguire i francesi e ora gli italiani, e ne vedremo di più nei prossimi mesi.
Il problema qui è il trasferimento di dati personali negli Stati Uniti. Google è una società statunitense qualificata come “fornitore di servizi di comunicazione elettronica”. Ciò significa che Google è obbligato per legge a divulgare i dati ai servizi di intelligence statunitensi, se richiesto.
Il motivo principale per l’introduzione della legge GDPR nel 2018 è salvaguardare la privacy dei cittadini dell’UE. Il fatto che Google trasferisca i dati negli Stati Uniti e sia obbligato a consegnarli su richiesta significa che l’UE non può più garantire la privacy dei suoi cittadini.
Nel dichiarare illecito il trattamento, Garante ha precisato che gli indirizzi IP erano trattati da Google e quindi consistevano in un trasferimento di dati personali. Anche se venisse troncato, non diventerebbe un dato anonimo, vista la capacità di Google di arricchirlo con altri dati in suo possesso.
Questa è una sfumatura molto importante. Significa che anche se anonimi gli indirizzi IP (come GA4 o Matomo), sono comunque considerati dati personali.
2. Linee guida CNIL per domande e risposte su Google Analytics
Nella sessione di domande e risposte della scorsa settimana, la CNIL ha affrontato tutte le domande sollevate dopo aver annunciato che Google Analytics era illegale nel febbraio di quest’anno. Da allora, Google ha suggerito diversi approcci per assicurarsi che Google Analytics possa essere utilizzato in sicurezza nell’ambito del diritto dell’UE. Tuttavia, la CNIL ha concluso che è tecnicamente impossibile utilizzare Google Analytics in modo conforme.
Google ha suggerito diverse soluzioni che sono state immediatamente chiuse dalla CNIL:
- Anonimizzare i dati non è una soluzione valida perché Google non ha potuto dimostrare che lo fa prima di trasferire i dati negli Stati Uniti
- La crittografia dei dati non è valida perché se Google detiene ancora le chiavi, hanno comunque accesso.
La CNIL ha anche affermato che un accordo legale tra l’UE e gli Stati Uniti è tutt’altro che stabilito.
3. Scudo per la privacy 2.0
Tutto questo è stato avviato da Schrems II , che ha invalidato lo scudo per la privacy. Lo scudo per la privacy significava che i trasferimenti di dati al di fuori dell’UE erano possibili solo se erano in atto garanzie adeguate.
Schrems II lo ha invalidato e ha chiarito dolorosamente che queste salvaguardie per il trasferimento dei dati negli Stati Uniti non erano in atto. Ci è voluto un po’ (1,5 anni) prima che i primi stati membri dell’UE si attivassero per proteggere la privacy dei propri cittadini. Prima l’austriaca DSB, poi la francese CNIL e ora l’italiana Garante.
Dopo che il DSB e la CNIL hanno dichiarato illegale l’uso di Google Analytics, l’UE e gli Stati Uniti hanno annunciato un accordo su un nuovo quadro per il flusso di dati transatlantico, noto come Privacy Shield 2.0. Tuttavia, è diventato subito evidente che questo accordo non aveva alcun merito legale. L’annuncio era inteso come un “accordo di principio”. Potrebbe volerci molto tempo prima che un documento legale venga firmato.
4. Cosa riserva il futuro?
Prima di concludere, potrebbe valere la pena riassumere quanto visto.
In breve:
- Dopo Austria e Francia, l’Italia è il terzo Paese a dichiarare illegale Google Analytics
- Non è tecnicamente possibile utilizzare Google Analytics in modo conforme
- Non ci sarà molto presto un quadro giuridico che dice il contrario
Non un punto esatto, ma degno di nota: i consumatori chiedono privacy .
L’ambiente aziendale sta cambiando e dovresti chiederti se vuoi muoverti con esso o attenerti a vecchie credenze e pratiche.
Google si sta persino allontanando da Google Analytics ritirando Universal Analytics a favore di GA4. In una dichiarazione, hanno annunciato che la privacy è uno dei principali driver per il passaggio. Sebbene GA4 non sia ancora rispettoso della privacy, almeno riconoscono che il mondo sta cambiando.