Diversi Garanti europei hanno dichiarato Google Analytics non conforme alle norme di protezione dati in Europa. Cosa è utile fare?
I Garanti europei contro Google Analytics
Il Garante italiano è stato solo l’ultimo, in ordine di tempo, a riscontrare problemi con Google Analytics. Nel caso italiano il Garante ha ammonito una società di comunicazione online riguardo all’uso di Analytics: nessuna sanzione e nessun divieto generale quindi, ma il problema c’è. E in dettaglio non è Google Analytics ma il fatto che il suo utilizzo può risultare in un trasferimento dati verso gli Stati Uniti.
Nel Gennaio 2022 il Garante austriaco ha invece emesso sanzione verso la società che gestisce un sito web sul quale è attivo Google Analytics. Misure analoghe sono state prese dai Garanti francese e danese. Sottolineiamo un punto: ammonizioni e sanzioni riguardano Google Analytics 3, cioè la versione precedente di Analytics rispetto a quella attualmente rilasciata da Google.
Sullo sfondo c’è la dichiarazione di insufficienti misure protettive dei dati per come poste dal Privacy Shield, il vecchio accordo USA-UE per il trasferimento dati. Il Privacy Shield in effetti risale a tempi antecedenti all’entrata in vigore del GDPR e non prevede tutele equivalenti.
Google Analytics si può ancora usare in Europa?
Primo di chiarimento: per quanto riguarda l’Italia, la decisione del Garante non è universale, ma riguarda la sola società ammonita. I timori per il futuro uso di Google Analytics sono assolutamente legittimi, perché il problema è reale ma, al momento, gli altri gestori di pagine web non sono direttamente interessati dalla vicenda.
Per approfondire > Il Garante Privacy su Google Analytics: decisione definitiva?
Secondo chiarimento: le indagini su Google Analytics 3 sono ancora in corso. Il Garante italiano inoltre non ne ha vietato l’uso. Ha al contrario specificato che coloro che scelgono di utilizzare comunque Google Analytics devono fornire misure di sicurezza aggiuntive. Misure aggiuntive che, ad esempio, sono in parte già offerte nella versione GA4.
Terzo chiarimento: i Garanti europei non hanno vietato la profilazione degli utenti, ma il trasferimento di quei dati in stati che non offrono misure di protezione ai dati dei cittadini europei equivalenti a quanto preteso dal GDPR. Scegliere uno strumento di analytics con sede in Europa e che rispetti il GDPR è una scelta fattibile, legittima e legale.
Google Analytics 4 risolve il problema?
Questa è la domanda spinosa, perché il problema principale non è tecnico ma è legato ad un vuoto normativo che si è determinato al momento in cui il Privacy Shield è stato dichiarato illegittimo ma ancora non è stato siglato un nuovo accordo con misure equivalenti a quanto preteso dal GDPR.
Le indagini dei Garanti sono in corso sulla versione 3 di Google Analytics. Non sè dato sapere però se future indagini anche su GA4 potranno riscontrare o meno irregolarità.
La scelta di Google di lanciare la versione 4 rientra nei tentativi della società di risolvere, almeno parzialmente, alcune incongruità. Ad esempio GA4 utilizza gli indirizzi IP degli utenti per determinare dove conservare i dati personali degli utenti. Poi però cancella completamente gli indirizzi IP per cercare di mitigare al massimo il problema del trasferimento dei dati negli USA.
Google ha anche previsto opzioni di personalizzazione che permettono di minimizzare la raccolta dei dati, ma anche meccanismi di controllo a livello nazionale. Basterà? Non è detto.
Nuovo accordo USA-UE per il trasferimento dati: a che punto siamo?
L’unica soluzione, definitiva, al problema di Google Analytics in Europa sarebbe la firma di un “Privacy Shield 2.0” che renda obbligatori requisiti e protezioni previste dal GDPR anche per le terze parti statunitensi. Il nuovo accordo in realtà è stato già annunciato tempo fa, a Marzo.
L’annuncio è arrivato dal Presidente Biden in persona che, durante la conferenza stampa congiunta con Ursula Von Der Leyen, ha reso pubblico il nuovo accordo.
“Sono orgoglioso di annunciare che abbiamo compiuto anche un altro importante passo avanti sul flusso di dati. Abbiamo concordato una protezione senza precedenti per la privacy e la sicurezza dei dati per i nostri cittadini. Questa nuova disposizione migliorerà il quadro del Joe Biden, promuovendo la crescita e l’innovazione in Europa e negli Stati Uniti aiutando le piccole e grandi aziende a competere su scala globale. “
ha dichiarato Biden. Detto questo, tra il “siglare e il fare” ci sono di mezzo una miriade di passaggi che richiedono molto tempo. Ad ora non resta quindi che attendere.
Vuoi sapere se il tuo sito web è conforme al GDPR e alla direttiva ePrivacy per non incorrere in sanzioni? Chiedilo ai nostri esperti!