Google Analytics e privacy: tutto quello che c’è da sapere

In questo articolo faremo chiarezza su una delle questioni più controverse di quest’ultimo periodo, dando una risposta alla domanda più gettonata degli ultimi tempi: Google Analytics rispetta la privacy? Il suo utilizzo è pericoloso o illegale?

Prima di rispondere è doveroso fare un passo indietro. Il tema della protezione dei dati e del loro trasferimento è sempre stato di grande discussione nei tribunali europei. Google, così come tantissime altre multinazionali, è finita spesso nell’occhio del ciclone per l’immensa quantità di dati personali che gestisce e trasferisce e per le modalità di protezione di quest’ultimi che, a detta di tanti, non sono sufficienti a garantire la giusta sicurezza.

È bene ricordare che Google è una società statunitense, la quale è regolata dalle leggi americane pur operando in territori stranieri. Negli Stati Uniti è consentito infatti, all’Agenzia di Sicurezza Nazionale (NSA) di accedere a dati di cittadini non statunitensi, archiviati sui server di aziende americane senza preventiva autorizzazione di un giudice, necessaria invece in UE.

Per questo motivo negli anni il tema è stato molto dibattuto nei principali tribunali, con lo scopo di cercare di regolare al meglio e nel modo più sicuro possibile, il trasferimento dei dati dall’UE agli States.

Ma cosa si intende per trasferimento dei dati personali?

Non esiste una definizione standard fornita dal GDPR, ma possiamo comunque definire il trasferimento come uno “spostamento” di informazioni (quindi dati personali) da un titolare o un responsabile del trattamento che si trova all’interno dell’UE a un titolare o responsabile fuori UE. Grazie anche all’avvento di internet e alla connessione globale, il trasferimento dei dati non è più considerato solo fisico, ma anche e principalmente digitale.

Il GDPR al Capo V, artt. 44 e ss. regola i trasferimenti e detta i principi generali stabilendo che: “Qualunque trasferimento di dati personali oggetto di un trattamento o destinati a essere oggetto di un trattamento dopo il trasferimento verso un paese terzo o un’organizzazione internazionale, compresi trasferimenti successivi di dati personali da un paese terzo o un’organizzazione internazionale verso un altro paese terzo o un’altra organizzazione internazionale, ha luogo soltanto se il titolare del trattamento e il responsabile del trattamento rispettano le condizioni di cui al presente capo, fatte salve le altre disposizioni del presente regolamento. Tutte le disposizioni del presente capo sono applicate al fine di assicurare che il livello di protezione delle persone fisiche garantito dal presente regolamento non sia pregiudicato.”

Negli anni sono stati elaborati diversi trattati allo scopo di regolare e rendere lecito il trasferimento dei dati verso gli Stati Uniti, come il Safe Harbor o il più recente Privacy Shield, entrambi sono stati però dichiarati non adeguati e quindi invalidi.

Il Garante austriaco e le nuove regole sul trasferimento dei dati

Con l’assenza di un trattato regolamentare, il tema del trasferimento dei dati personali è stato nuovamente ripreso quest’anno a causa della decisione del Garante austriaco per la protezione dei dati (DPA). Il DPA, accogliendo un reclamo contro un sito web tedesco, aveva dichiarato che il tracciamento operato dal sito con l’utilizzo di Google Analytics (anche detto GA) violava il regolamento europeo del GDPR.

La causa era sempre da ricercare nel trasferimento dei dati personali, che secondo l’autorità era illegale e non garantiva la protezione degli utenti.

L’assenza di regole per il regolamento dei trasferimenti ha aumentato notevolmente i disagi che la decisione del DPA aveva provocato. Google non è la sola società americana ad operare e trasferire i dati degli utenti europei, si sarebbe quindi assistito a un lavoro di adeguamento davvero complicato e oneroso sia per le società che per gli Stati.

Solo negli ultimi mesi la situazione sembra abbia trovato una risoluzione. La presidente della Commissione Europea, Ursula von der Leyen, ha recentemente annunciato il raggiungimento di un nuovo accordo sulla gestione dei flussi di dati e sulla sicurezza della privacy. Con questo nuovo accordo è dunque garantita la possibilità di continuare ad effettuare il trasferimento dei dati degli utenti europei presso i server statunitensi. Tale trasferimento sarà regolamentato da nuove e più sicure regole per la protezione dei dati personali.

La questione Google Analytics e il Garante italiano

Nonostante l’annuncio sulla regolamentazione, non avendo ancora formalizzato un accordo, Google Analytics ha continuato ad essere nell’occhio del ciclone.

Anche il Garante italiano ha recentemente emanato un provvedimento nei confronti di un sito web sospendendo l’utilizzo di GA e dando 90 giorni di tempo al titolare del sito per trovare meccanismi ulteriori (rispetto a quelli già preposti) atti a proteggere i dati personali degli utenti.

È necessario però specificare che il provvedimento del Garante era riferito a un reclamo del 2020, la versione di GA, dunque, era antecedente e così anche le analisi effettuate.

Google come società ha comunque fornito riscontro al reclamo, sottolineando di trasferito i dati nei server americani ma di aver sottoposto tali dati a procedure di anonimizzazione dell’indirizzo IP e cifratura dei dati, facendo quindi tutto il possibile per consentirne la sicurezza. Procedure che secondo il Garante non sono però sufficienti poiché possono essere sottoposte a procedimenti inversi, permettendo così a Google di risalire ai dati personali degli utenti.

Il Garante ha inoltre rilevato che è compito del titolare del trattamento, seguendo il principio dell’accountability, verificare se tali procedure effettuate da Google siano sufficienti o se sia necessario adottare ulteriori meccanismi di protezione. Per questo motivo il trasferimento è stato sospeso e non vietato, consentendo al titolare di trovare sistemi aggiuntivi per la tutela degli interessati.

Le soluzioni per proteggere i dati personali

Posto che l’utilizzo di Google Analytics è legale sono diverse le soluzioni che possono essere attuate per la protezione dei dati personali.

Dal punto di vista normativo il titolo V del GDPR regola il trasferimento dei dati personali, offrendo diverse soluzioni nel caso in cui il trasferimento fuori dall’UE venga attuato senza l’autorizzazione del Garante e in assenza di decisione di adeguatezza. È possibile ricorrere a:

• norme vincolanti di impresa;
• adesione a codici di condotta;
• uso di meccanismi di certificazione;
• clausole contrattuali standard.

È comunque richiesto un eventuale sforzo da parte del titolare del trattamento, il quale deve verificare l’efficacia dello strumento e valutare eventuali altre opzioni. Come ultima possibilità, il Garante prevede l’utilizzo di alcune deroghe come il consenso dell’interessato, l’esecuzione di un contratto o il legittimo interesse del titolare del trattamento.

Dal punto di vista tecnico invece, le soluzioni sono certamente più facili ed istantanee. Utilizzare strumenti analitici europei, quindi “di casa” possono essere una buona sostituzione all’utilizzo di Google Analytics.

È opportuno però sottolineare che nel frattempo Google ha deciso di eliminare la vecchia versione di Google Analytics, che dal 2023 sarà sostituito con GA4. GA4 presenta delle novità importanti che permettono di proteggere la privacy degli utenti in modo molto più preciso rispetto alla vecchia versione.

Tra le numerose nuove funzionalità vi è l’utilizzo di un server intermediario localizzato in Europa nei quali confluiscono i dati degli utenti europei. Una soluzione efficace che rispetterebbe le disposizioni europee in materia di privacy, evitando quindi che i dati personali degli utenti arrivino direttamente sui server di Google prima in EU e poi nei server situati negli USA. Oltre a ciò, tramite configurazioni da impostare nel programma, è possibile anonimizzare parzialmente o completamente gli indirizzi IP degli utenti, rendendoli irriconoscibili e non tracciabili.

In attesa, dunque, di un trattato ufficiale che regoli il trasferimento dei dati rispettando la privacy e allo stesso tempo il settore digitale, esistono delle soluzioni efficaci che il singolo può, più o meno facilmente, attuare per proteggere i dati dei propri utenti.