Google Analytics illegale in Europa? Facciamo chiarezza

Google Analytics illegale in Europa? Facciamo chiarezza

Diverse autorità europee per la privacy hanno riscontrato che l’utilizzo di Google Analytics 3 non rispetta il GDPR perché le informazioni raccolte dal servizio vengono inviate negli Stati Uniti. Ecco quello che c’è da sapere

Dopo gli ammonimenti del garante per la Privacy francese (CNIL), di quello austriaco (DSB) e di quello danese (Datatilsynet) anche il Garante per la protezione dei dati personali italiano ha comunicato che l’uso di Google Analytics 3 non rispetta il GDPR (regolamento generale sulla protezione dei dati) perché prevede il trasferimento dei dati degli utenti negli Stati Uniti, Paese privo di un adeguato livello di protezione.

Qualche giorno fa il Garante della Privacy italiano ha ammonito la società Caffeina Media srl, che usava Google Analytics 3 sul proprio sito web, chiedendole di rimuoverlo entro 90 giorni. In pratica, le modalità di trattamento dei dati di Google Analytics 3 non risultano conformi ai requisiti del GDPR perché lo strumento trasferisce i dati degli utenti negli Stati Uniti senza adeguate garanzie sulla loro tutela. Tra i dati trasferiti c’è anche l’indirizzo IP dei visitatori, considerato a tutti gli effetti un dato personale.

Il garante ha ammonito questa società ma l’invito ad abbandonare Google Analytics 3 riguarda informalmente tutti i siti web che utilizzano lo strumento di Google perché il problema è generalizzato.

Che fare allora? Vediamolo insieme

Cos’è Google Analytics e perché non si dovrebbe usare in Europa?

Google Analytics, un servizio di statistiche web gratuito fornito da Google. È uno strumento molto conosciuto che misura il traffico sui siti web e traccia il comportamento degli utenti.

L’illegittimità di Google Analytics (in particolar modo di Google Analytics 3 oggetto di analisi) deriverebbe dal fatto che lo strumento trasferisce i dati degli utenti negli Stati Uniti che, in tema di privacy, sono disciplinati da un regime giuridico diverso rispetto a quello Europeo (il Privacy Shield) che non garantisce un livello di protezione come quello che vige all’interno dell’Unione europea grazie al GDPR.

Leggi anche: “Privacy Policy e sito web. Buone pratiche e consigli utili per essere in regola col GDPR

Google Analytics non conforme al GDPR. Di chi è la responsabilità?

Allo stato attuale, secondo quanto stabilito dall’autorità, non è possibile utilizzare Google Analytics garantendo la conformità al GDPR e la responsabilità è di chi gestisce il sito web, non di Google.

L’intervento del Garante, infatti, è rivolto ai gestori dei siti: la responsabilità di affidarsi a strumenti ritenuti non conformi alle normative vigenti è loro e non il colosso di Mountain View.

Nel suo comunicato il Garante afferma infatti che: “Con l’occasione l’Autorità richiama all’attenzione di tutti i gestori italiani di siti web, pubblici e privati, l’illiceità dei trasferimenti effettuati verso gli Stati Uniti attraverso GA, anche in considerazione delle numerose segnalazioni e quesiti che stanno pervenendo all’Ufficio. E invita tutti i titolari del trattamento a verificare la conformità delle modalità di utilizzo di cookie e altri strumenti di tracciamento utilizzati sui propri siti web, con particolare attenzione a Google Analytics e ad altri servizi analoghi, con la normativa in materia di protezione dei dati personali.”

Google Analytics non conforme al GDPR. Che fare?

Non c’è ancora una risposta diretta a questa domanda visto che si tratta di un caso in via di sviluppo.

Visto che il problema principale in questione è il trasferimento di dati europei negli Stati Uniti e i potenziali rischi connessi, in generale potrebbe essere una buona idea:

  • Passare a una società di analisi con sede non negli Stati Uniti  
  • Continuare ad utilizzare Google Analytics, facendo l’upgrade a Google Analytic 4 ed implementare misure aggiuntive di sicurezza utilizzando le impostazioni disponibili.
  • Scegliere delle alternative a Google Analytics che non trasferiscono i dati oltreoceano.

Il passaggio a Google Analytics 4

Google ha recentemente rilasciato Google Analytics 4 nel tentativo di adottare modalità di raccolta e analisi più attente alle esigenze manifestate sul fronte privacy.

Google Analytics 4, infatti, consentirebbe di decidere dove archiviare i dati personali degli utenti offrendo anche controlli per la privacy da settare, come la misurazione senza cookie, e opzioni di personalizzazione per ridurre al minimo la raccolta di dati specifici dell’utente.

Quali sono i rischi se continuo ad utilizzate Google Analytics 3?

Finora nessuna sanzione economica è stata emessa dalle autorità europee per l’utilizzo di Google Analytics.

Sulla base delle decisioni emesse, si può ipotizzare che le possibili conseguenze legali siano le seguenti:

  • Ricevere un ordine per identificare ulteriori misure tecniche entro 90 giorni.
  • Ricevere un ordine per interrompere il servizio e sostituirlo con un altro.

Sul comunicato del Garante si legge che: “Allo scadere del termine di 90 giorni assegnato alla società destinataria del provvedimento, il Garante procederà, anche sulla base di specifiche attività ispettive, a verificare la conformità al Regolamento Ue dei trasferimenti di dati effettuati dai titolari”.

Il provvedimento del Garante pare quindi sottintendere che se si viene colti a usare Analytics, al massimo si riceverà un’ammonizione e tre mesi di tempo per rimediare, ma nulla impedisce al Garante di adottare in seguito una maggiore severità.

Condividi

Articoli correlati

Inizia a scrivere il termine ricerca qua sopra e premi invio per iniziare la ricerca. Premi ESC per annullare.

Torna in alto