Google Analytics e GDPR: sono compatibili?
Con il provvedimento del 9 giugno 2022 emesso nei confronti di una società editrice italiana, il Garante Privacy italiano ha dichiarato illegittimo l’utilizzo di Google Analytics da parte dei siti web italiani.
Già nei mesi scorsi il Garante Austriaco e il Garante Francese si erano pronunciati sulla inadeguatezza delle misure di protezione dei dati personali attuate da Google. Con il comunicato stampa del 23 giugno scorso, è stato reso noto anche il provvedimento del Garante Privacy italiano.
Il provvedimento del Garante Privacy definisce illegittimo l’utilizzo degli analitici di Google perché comporta un trasferimento dei dati verso gli Stati Uniti, come paese “non adeguato” alle regole europee di protezione dei dati personali, senza l’attuazione di misure tecnico-giuridiche in grado di garantire la sicurezza dei dati esportati.
Questo provvedimento, vale la pena ricordarlo, riguarda un caso specifico, e dunque ha una valenza nei confronti della società ammonita. Tuttavia, possiamo trarre delle indicazioni valide per tutti i siti web italiani che utilizzano Google Analytics.
Ma quali sono i reali motivi che hanno condotto a questa dichiarazione di illegittimità?
Google Analytics è contrario al GDPR?
Google Analytics non può essere più utilizzato dai siti web?
Cosa devono fare i titolari dei siti web?
A tali domande cercherò di dare risposta con questo articolo.
| Google Analytics: cos’è e come funziona
Prima di entrare nel merito del provvedimento del Garante Privacy cerchiamo di fare chiarezza su alcuni temi che ci permettono di capirlo meglio.
Come funziona Google Analytics?
Google Analytics (GA) è uno strumento di web analytics fornito da Google ai gestori di siti web, che consente a questi di analizzare le statistiche di utilizzo del sito da parte degli utenti, col fine di ottimizzare i servizi resi e di monitorare le proprie campagne di advertising.
Google Analytics, infatti, raccoglie determinate informazioni degli utenti, come:
- quale browser, dispositivo o sistema operativo l’utente ha utilizzato;
- l’indirizzo, nome del sito web e altri dati di navigazione;
- l’indirizzo IP del dispositivo utilizzato;
- la lingua selezionata, l’ora e la data della visita.
Tali informazioni costituiscono dati personali, perché consentono di identificare il dispositivo dell’utente, attraverso ad esempio l’indirizzo IP, e quindi di rendere l’utente indirettamente identificabile.
A ciò si aggiunge che quando il visitatore di un sito web accede al proprio account di Google, questi dati possono essere incrociati con altri di cui Google è in possesso: pensiamo al numero di telefono, la data di nascita, l’immagine del profilo.
Quindi, l’utilizzo di Google Analytics comporta il trattamento di una serie di dati personali degli utenti italiani da parte di una società americana.
Ma perché questo, secondo il Garante, costituisce un problema?
| L’utilizzo di Google Analytics costituisce un trasferimento dei dati verso gli Stati Uniti: è possibile?
L’utilizzo di Google Analytics viola la privacy?
Usare gli analitici di Google comporta il trasferimento dei dati personali dei visitatori dei siti web italiani verso la società Google LLC con sede negli Stati Uniti, e costituisce quindi quindi un trasferimento dei dati degli utenti al di fuori dello Spazio economico europeo (SEE).
In questi casi, secondo il GDPR, il trasferimento è legittimo solo se riguarda paesi terzi riconosciuti come “adeguati” dalla Commissione Europea. Si tratta di quei paesi che hanno ottenuto una “decisione di adeguatezza” perché garantiscono un livello di protezione adeguato alle richieste della normativa privacy europea.
Gli Stati Uniti, invece, non sono considerati un paese adeguato.
Questo perché, nel 2020, la Corte Europea, con la pronuncia Shrems II, ha fatto cadere la decisione di adeguatezza degli Stati Uniti, per l’esistenza di alcune norme federali che permettono alle Autorità statunitensi di accedere ai dati personali degli utenti, in deroga al diritto alla riservatezza.
Il trasferimento di dati verso paesi non adeguati può avvenire solo in presenza di alcune circostanze, come l’adozione di clausole contrattuali standard oppure in presenza di altre garanzie adeguate per un elevato livello di protezione dei dati personali.
Quindi, per trasferire i dati negli Stati Uniti, come paese terzo non adeguato, è necessario che il trasferimento avvenga in presenza di circostanze in grado di garantire quell’elevato livello di protezione richiesto dal GDPR.
Da qui, parte la questione sulla legittimità o meno dell’utilizzo di Google Analytics da parte dei titolari dei siti web europei.
> Leggi anche: Sanzioni GDPR e violazione privacy: cosa richiano i siti web e ecommerce
| Perché Google Analytics è stato dichiarato illegittimo?
Come abbiamo appena detto, per trasferire in maniera lecita i dati personali verso gli Stati Uniti, il titolare può far ricorso ad alcuni strumenti definiti dagli artt. 44-50 del GDPR, tra cui:
- le clausole contrattuali standard;
- ulteriori misure supplementari di protezione.
Vediamo come.
> Google Analytics e GDPR: clausole contrattuali standard
Le clausole contrattuali standard sono clausole contrattuali definite direttamente dalla Commissione Europea contenenti misure atte a garantire che il trasferimento dei dati personali verso paesi terzi avvenga nel rispetto del livello di protezione richiesto dal GDPR.
Nel caso di specie, tra gli strumenti scelti dalla società italiana per legittimare il trasferimento vi era proprio l’utilizzo delle clausole contrattuali standard, rappresentate dai Terms of Use di Google Analytics.
Tuttavia, dice il Garante, il titolare deve verificare che questa sia la scelta più adeguata in ottica di protezione, assicurandosi che la legge del paese terzo in questione non sia tale da rendere inefficaci le garanzie contenute nelle clausole contrattuali standard.
In parole semplici: il titolare deve verificare che queste garanzie possano essere rispettate nella pratica e che non ci siano norme che invece le rendono praticamente inutili.
E questo è accaduto nel caso che stiamo analizzando, in quanto, afferma il Garante, il livello di protezione non può essere garantito dal diritto statunitense, per l’esistenza di norme federali che permettono alle Autorità statunitense di accedere comunque ai dati personali degli utenti.
> Google Analytics e GDPR: misure supplementari di protezione
A tali clausole, dunque, devono aggiungersi misure supplementari di natura tecnico-giuridica che garantiscono un livello di protezione equivalente a quello previsto dal GDPR.
Sul punto, il Garante ha ritenuto che le misure supplementari adottate non potevano considerarsi idonee per i seguenti motivi.
Il primo.
L’ “IP Anonymization“ offerto da Google e la generale cifratura dei dati, secondo il Garante, non possono considerarsi una misura adeguata in quanto:
- l’Ip Anonymization consiste in una troncatura solo di parte dell’indirizzo IP;
- Google può comunque identificare l’utente, detenendo la chiave di cifratura (cioè di lettura) dei dati.
Il secondo.
Google ha comunque l’obbligo di comunicare alle Autorità statunitensi anche tali chiavi di cifratura, affinché i dati richiesti possano essere intellegibili da queste.
> Google Analytics e GDPR: informativa privacy non idonea
Nel provvedimento che stiamo analizzando, il Garante Privacy italiano ha inoltre definito “inidonea” l’informativa privacy del sito web in questione, resa dal servizio di Iubenda, in quanto non conteneva le informazioni necessarie in caso di trasferimento dei dati.
Come avevo già detto in questo articolo sulle sanzioni GDPR per violazione della privacy, anche una informativa privacy non adeguata può dar vita a sanzioni e rimproveri da parte del Garante Privacy.
Attenzione alle informative privacy!
Non è detto che i modelli di privacy policy offerti dai generatori di documenti legali siano idonei al raggiungimento dello scopo. Le informative privacy devono essere personalizzate! Non devono andar bene per tutti!
Quindi: Occhio!
| Google Analytics illecito: la decisione del Garante Privacy italiano
Per tutti i motivi che abbiamo sopra analizzato, il Garante Privacy italiano ha:
- ritenuto illecito l’utilizzo di Google Analytics da parte della società italiana;
- ingiunto alla società di adottare ulteriori misure supplementari adeguate al livello di protezione richiesto dal GDPR, entro il termine di 90 giorni;
- ordinato la sospensione del trasferimento dei dati verso Google LLC, in caso di mancato adeguamento alle misure supplementari richieste.
| Google Analytics illegale: cosa fare ora?
La soluzione a questo problema sarebbe sicuramente ottenere un nuovo accordo tra Europa e Stati Uniti che permetta ai siti web di esportare i dati degli europei senza il rischio di una violazione del loro diritto alla riservatezza. Ma questo nuovo accordo sembra piuttosto lontano.
Nel frattempo, quindi, i siti web – italiani ed europei – dovrebbero:
- valutare l’utilizzo di strumenti europei alternativi a Google Analytics;
- oppure sviluppare quelle misure tecniche-organizzative che permettano di esportare un dato totalmente anonimizzato. Questa soluzione, però, sembra essere piuttosto difficile da raggiungere, secondo i tecnici.
| Conclusioni dell’Avvocato dell’Ecommerce
Con questo provvedimento abbiamo imparato quanto sia importante:
- Scegliere bene i fornitori dei servizi: bisogna preferire fornitori che abbiano sede nei paesi che rispettano la normativa privacy (paesi europei o paesi definiti “ADEGUATI”);
- Prestare attenzione agli adempimenti privacy: l’adeguamento al GDPR del sito web non è proprio una questione da prendere a cuor leggero. Meglio sempre affidarsi a professionisti, piuttosto che scegliere la soluzione più economica che, come dimostra questo provvedimento, non è sempre la più giusta.
E tu come stai affrontando l’adeguamento del sito web a questo cambiamento? Possiamo parlarne: contattami.
Floriana Capone
L’Avvocato dell’Ecommerce
