Google Analytics: l’opinione preliminare del Garante norvegese parla chiaro, l’uso di Google Analytics non è compatibile con le previsioni del GDPR. Si va verso il divieto.
Contributo originale di GDPRlab.it
Il Garante norvegese va verso il divieto
Il 1° marzo l’autorità per la protezione dei dati norvegese, Datatilsynet, ha pubblicato un’opinione preliminare riguardo l’uso di Google Analytics. Il contenuto è piuttosto chiaro: l’uso di GA sotto il GDPR è illegale. L’opinione fa seguito, in realtà, ad un comunicato stampa che l’autorità garante aveva già pubblicato nel 2022. In questo comunicato il Garante si mostrava più possibilista, limitandosi a suggerire che l’uso di Google Analytics potesse non soddisfare i requisiti e gli standard previsti dal regolamento.
Nulla di nuovo, va detto. La dichiarazione del Garante norvegese segue quello austriaco, francese, ungherese, danese e, come già abbiamo visto, quello italiano. Tutte pronunce che individuano un problema principale: GA invia i dati dei cittadini europei negli USA, paese che non garantisce sufficienti livelli di protezione. In particolare, gli USA non garantiscono sufficiente protezione dall’accesso da parte delle agenzie di intelligence statunitensi. Al momento la situazione è ancora quella dell’assenza di un quadro normativo che regoli il flusso dei dati tra Stati Uniti ed Unione Europea e finché questo problema non sarà sanato, l’uso di GA difficilmente potrà essere considerato legittimo.
Per approfondire > Il Garante Privacy vieta (per ora) l’uso di Google Analytics
Per approfondire > Garante austriaco: i siti web che usano Google Analytics violano la privacy
Il contesto: c’è di nuovo lo zampino di NOYB
C’è un motivo preciso per il quale l’autorità norvegese di protezione dei dati ha deciso di attivarsi sul tema. Il motivo si chiama NOYB. La pronuncia del Garante origina infatti dai 101 reclami che la nota associazione di tutela della privacy online ha presentato contro i siti web che utilizzano GA. In dettaglio, per quanto riguarda la Norvegia, NOYB ha presentato reclamo contro il sito telenor.com, di proprietà dell’azienda statale di telecomunicazioni Telenor.
Nel reclamo, NOYB sostiene che senza un quadro giuridico specifico che regoli il trasferimento dati USA – UE, i dati dei cittadini europei potrebbero potenzialmente essere soggetti alla sorveglianza delle autorità USA. E questo non è conforme alle previsioni del GDPR.
Il Garante norvegese ha quindi optato per affrontare il tema, anche in coordinamento con l’EDPB, che ha perfino istituito una task force di esperti per gestire i 101 reclami di NOYB.
Google Analytics: quale futuro?
Il Garante norvegese conclude la nota invitando “caldamente” aziende ed enti norvegesi a sostituire Google Analytics. Appello che, va detto, è stato accolto da più parti d’Europa, con molte aziende che hanno optato per l’uso di Google Analytics 4. Big G infatti ha fatto intendere di aver risolto, in parte, alcune delle problematiche sollevate dai vari Garanti europei contro l’uso di GA proprio rilasciando la versione 4 del proprio Analytics.
Sembra però che la pronuncia dell’autorità di Norvegia non faccia distinzione tra l’uso di versioni diverse di GA. Un passaggio esplicita il punto:
” abbiamo ricevuto molte domande rispetto alla possibilità che, ipoteticamente parlando, la nostra decisione possa essere differente con Google Analytics 4. L’autorità di protezione dati norvegese non ha preso una posizione sul caso specifico ma, per quanto possiamo vedere, GA4 non risolverà necessariamente quei problemi che abbiamo fino ad ora identificato. In questo contesto, può essere un utile riferimento la guida dell’Autorità danese per la protezione dei dati personali, che afferma proprio questo”.
Così il Garante norvegese ha annunciato che renderà pubbliche, il mese prossimo, delle linee guida ufficiali per i siti web del paese. Nel frattempo resta poco chiaro il futuro di GA in Europa. Sono ancora molti, infatti, i 101 reclami di NOYB che non hanno ancora ricevuto una risposta. Anche se, va detto, che questo coordinamento tra le autorità nazionali e l’EDPB per la gestione dei 101 reclami è molto probabile che induca decisioni in armonia e continuità rispetto alle precedenti pronunce di altre autorità europee.
Sottolineiamo comunque un passaggio molto importante. Tutte le pronunce che, per adesso, i Garanti europei hanno prodotto riguardo a Google Analytics riguardano GA nelle sue impostazioni di default. Il Garante francese ha prodotto una guida che elenca le contromisure e le impostazioni utili per rendere legittimo l’uso di GA su un sito web.
Il nuovo Privacy Shield risolverà il problema di Google Analytics?
Così veniamo all’insistente domanda che si agita nelle nostre teste: questa situazione di incertezza sarà risolta dal nuovo Privacy Shield? Perché si, come sappiamo, Stati Uniti ed UE sono al lavoro per cercare un accordo che legittimi di nuovo il trasferimento dei dati negli Stati Uniti. Solo un nuovo accordo quindi potrebbe rendere nuovamente legittimo l’uso di GA.
Il percorso però si presenta tutto in salita e, come recentemente abbiamo visto, ha già subito un intralcio (anche se il parere non è vincolante). La Commissione per le Libertà civili, la Giustizia e gli Affari Interni del Parlamento Europeo ha espresso parere negativo alla bozza di decisione di adeguatezza pubblicata lo scorso 13 Dicembre. Bozza di adeguatezza che è il prerequisito principale sul quale costruire un nuovo accordo di trasferimento.
Per approfondire > Trasferimento dati UE-USA: parere negativo al Parlamento europeo
Se l’UE non dovesse riconoscere gli USA come “adeguati a ricevere i dati dei cittadini europei”, intendendo con questo che siano in grado di garantire un livello di protezione e garanzie almeno di pari livello a quelle garantite dal GDPR, non ci sarà alcuna possibilità di accordo.
Non resta che attendere l’evolvere della situazione.