Google Analytics è illegale in Italia? Facciamo chiarezza
Un provvedimento del garante della privacy italiano ha in sostanza dichiarato Google Analytics non idoneo al tracciamento del traffico per i siti web italiani. Ma cosa è successo davvero?
Un provvedimento del garante della privacy italiano ha in sostanza dichiarato Google Analytics non idoneo al tracciamento del traffico per i siti web italiani. Ma cosa è successo davvero?
- Ricordiamo cos’è il GDPR
- Perché Google Analytics 3 viola il GDPR?
- Il garante ha condannato Google?
- Cosa fare come azienda o ente italiano?
- Come fare a capire quale versione di Analytics è attiva
- Come impostare Google Analytics 4
- Lo spinoso (ma neanche tanto) caso di Federico Leva
- Come proteggersi proteggendo i dati degli utenti
Ricordiamo cos’è il GDPR
Facciamo un passo indietro: il GDPR (General Data Protection Regulation) è il Regolamento europeo sulla protezione dei dati che assicura un controllo maggiore sulle informazioni personali che i cittadini dell’Unione condividono online.
L’articolo 4 del GDPR definisce piuttosto bene cosa sono i dati personali secondo l’Unione Europea:
[…] qualsiasi informazione relativa a una persona fisica identificata o identificabile; una persona fisica identificabile è una che può essere identificata, direttamente o indirettamente, in particolare facendo riferimento a un identificatore come un nome, un numero identificativo, dei dati di localizzazione, un identificatore online o uno o più fattori specifici all’identità fisica, fisiologica, genetica, mentale, economica, culturale o sociale di quella persona fisica.General Data Protection Regulation
In sostanza, pressoché tutti i dati condivisi dall’utente con una piattaforma sono da considerare in qualche modo personali.
Un aspetto fondamentale per capire cosa sta succedendo è ricordare la differenza nel GDPR fra Data Controller e Data Processor; i primi detengono i dati personali dei clienti, di cui hanno la responsabilità, mentre i secondi li registrano e li elaborano per conto dei primi.
In sostanza, i Data Controller sono le aziende e gli enti con un sito o un’app online, mentre i Data Processor sono tutti i servizi che sfruttano e gestiscono tali dati, come per esempio Google Analytics.
Se qualcosa va male nella gestione dei dati personali dei clienti, secondo il GDRP la responsabilità è sia dei Data Controller sia dei Data Processor; in base al Paese dell’Unione e alla sua legislazione, in caso di infrazione delle regole del GDPR questa responsabilità può essere pesata in modo diverso.
Il GDPR si attende che il Data Controller abbia designato un DPO (Data Protection Officer), una persona che in sostanza si assicura che le policy sulla gestione dei dati sensibili degli utenti siano rispettate internamente.
Perché Google Analytics 3 viola il GDPR?
Google Analytics non è illegale di per sé, ma come molti servizi che fanno capo a un’azienda con sede negli Stati Uniti, trasferisce parte dei dati collezionati in Europa dai propri server in Irlanda a quelli negli USA.
Da qua nasce il problema: con la sentenza Schrems II del 2020 della Corte di Giustizia dell’Unione Europea, qualsiasi trasferimento di dati tra Unione Europea e Stati Uniti è proibito, a meno che i partecipanti a questo trasferimento non implementino misure di sicurezza aggiuntive in linea con gli standard GDPR.
Google non assicurava con Google Universal Analytics (anche detto Google Analytics versione 3) l’aderenza a queste misure aggiuntive: l’indirizzo IP degli utenti, considerato dato personale, per quanto anonimizzato viene condiviso con gli Stati Uniti. Per inciso, le aziende americane sono obbligate su richiesta degli organi di polizia federali a rendere disponibile il contenuto dei propri server quando parte di un’indagine, senza essere fra l’altro tenuta a rendere gli utenti a conoscenza del controllo.
Il problema, nel contesto del quadro legislativo europeo, è chiaro anche senza dover aggiungere altro.
Il garante ha condannato Google?
No, la sentenza del Garante della Privacy verte su un caso specifico di un sito web italiano, che ha ritenuto non conforme al GDPR proprio per il trasferimento dei dati personali negli Stati Uniti.
Si può leggere nel provvedimento come si colleghi a quello che abbiamo scritto sopra:
[…] l’utilizzo di GA, da parte dei gestori dei siti web − quale Caffeina Media S.r.l.− comporta il trasferimento dei dati personali dei visitatori dei suddetti siti verso Google LLC con sede negli Stati Uniti. Tali trasferimenti, in quanto effettuati verso un paese terzo che non garantisce un livello di protezione adeguato ai sensi della normativa di protezione dei dati (ossia gli Stati Uniti), devono essere posti in essere in conformità al Capo V del Regolamento.
Nonostante il problema sia la gestione dei dati da parte di Google, il responsabile rimane il titolare del sito web, che è il Data Controller, e il DPO che ne fa le veci:
Spetta dunque proprio al titolare il compito di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali nel rispetto della normativa rilevante in materia. Il Regolamento, infatti, pone con forza l’accento sulla “responsabilizzazione” del titolare, ossia, sull’adozione di comportamenti proattivi tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione della disciplina di protezione dei dati personali (si veda, in particolare l’art. 24 del Regolamento).
In sostanza, il Data Processor è scelto dal Data Controller, e quindi ogni provvedimento ricade su quest’ultimo. A violare la normativa sulla protezione dei dati non è quindi Google.
Nonostante sia importante prendere le dovute precauzioni, ricordiamo che il provvedimento del Garante è specifico per questo caso e non ha valore legale generale; è importante prepararsi ma non c’è bisogno di farsi prendere dal panico!
Cosa fare come azienda o ente italiano?
Dipende da quale versione di Google Analytics utilizzate per tracciare il traffico sul sito web. Nel caso sia la versione Universal, la più diffusa, è il momento di passare a Google Analytics 4.0. A prescindere dalla questione del GDPR, il passaggio sarebbe consigliato egualmente, visto che la versione 3.0 non verrà più supportata dal 2023.
In base a quanto profondamente utilizzate Analytics e quanti servizi a essa sono collegati, il trasferimento alla nuova versione potrebbe richiedere pochissimi minuti o svariate ore; chiedete al team o al partner digitale che gestisce la vostra proprietà su Analytics un’idea dei tempi di migrazione. Una guida è comunque reperibile a questo link ufficiale.
Come fare a capire quale versione di Analytics è attiva
Esistono molti metodi; il più veloce è quello di entrare in Analytics e controllare il codice che accompagna ogni proprietà. Basta cliccare su “Tutti gli account” nell'angolo in alto a sinistra.
Le proprietà nella colonna di destra mostreranno un codice numerico in basso; se preceduti da un “UA-”, significa che è una vecchia proprietà di Universal Analytics. In caso contrario, il codice di tracciamento è di Google Analytics 4.
Un altro metodo è quello di controllare il codice sorgente e vedere se, cercando “Google”, trovate un “UA-” seguito dal codice oppure un “G-” seguito dal codice; nel secondo caso si tratti di Google Analytics 4.
Come impostare Google Analytics 4
Non basta cambiare codice; per quanto GA 4 sia bravo ad anonimizzare gli IP, vanno modificate le impostazioni di tracciamento in modo da non incorrere in eventuali problemi col garante della privacy.
Per questo motivo, è importante assicurarsi dalle impostazioni della proprietà che:
- Google Signals sia disattivato;
- i dati granulari in base alla posizione non siano tracciati;
- siano ristrette le funzioni pubblicitarie a meno che non siano cruciali per l’impresa.
Inoltre, per quanto ancora misura strettamente precautelare, potrebbe essere una buona idea informarsi sulla proxificazione nella raccolta dei dati per evitare il trasferimento illecito all’estero, come consiglia la CNIL in questo articolo in francese.
Nel caso questi concetti ti siano nuovi, contattaci e troviamo insieme una soluzione.
Lo spinoso (ma neanche tanto) caso di Federico Leva
Molte persone, compresi nostri clienti, hanno ricevuto un’email da Federico Leva, un attivista per il web libero e anonimo, in cui chiede ai Data Controller di rimuovere i suoi dati di tracciamento ove presenti.
Non è spam, e la richiesta va effettivamente esaudita entro i trenta giorni dalla ricezione dell’email, pur senza passare dal form che richiede di compilare.
Basta scrivere al signor Leva dall’email che vi ha fornito in fondo al testo della lettera, chiedendo di fornire l’ID cliente di Analytics, la data e l’orario di accesso al sito.
Questo vi permetterà da Analytics di eliminare l’utente passando da Pubblico > Esplorazione Utente; basterà inserire il codice che vi ha fornito nel campo di ricerca e cliccare sull’eventuale risultato.
Si aprirà il dettaglio dell’utente e la possibilità di eliminarlo con un clic nel bottone in basso a sinistra.
Contattate poi il signor Leva per notificargli l’avvenuta cancellazione dei suoi dati personali; qualsiasi richiesta di cancellare il tracciamento di Analytics per tutti gli utenti è, in sostanza, irricevibile da parte di un privato, a prescindere da quello che abbiamo detto in precedenza.
Questo caso, che ha creato giustamente il panico perché esteso a decine di migliaia di siti italiani, non dovrebbe essere considerato spinoso perché Federico Leva ha solo esercitato un diritto che esiste da anni; a prescindere dalla sentenza del Garante, se un utente di cui gestisci dati personali lo richiede, devi essere in grado di fornirgli la lista dei suoi dati personali entro 30 giorni dalla richiesta.
L’utente deve poter visualizzare, modificare e cancellare i propri dati. Tutti. Non è quindi una novità, ma il fatto che non sia successo prima, almeno non con questa estensione, ci ha permesso di dimenticare quanto sia cruciale gestire in maniera trasparente i dati sensibili degli utenti.
Probabilmente è il momento di prendere la questione nuovamente sul serio.
Come proteggersi proteggendo i dati degli utenti
Ogni caso è una storia a sé, e non sempre si è capaci di risolvere questioni così complesse (e in divenire) da soli.
Vi consiglio prima di tutto di contattare un legale che abbia esperienza pregressa in digital privacy; è un settore che si sta espandendo molto velocemente e trovare un avvocato che vi può consigliare è meno complesso di quanto sembri.
Scegliete poi un DPO e permettetegli di formarsi sull’argomento quanto basta per fare i vostri interessi (e i suoi, visto che è il responsabile!).
Infine, contattate il vostro partner digitale per mettervi in regola col tracciamento sul sito web, l’archivio di contatti (avrete probabilmente bisogno di una campagna di re-permissioning) e le campagne pubblicitarie online.
Nel caso siate interessati, Cantiere Creativo è qui per darvi supporto in questa delicata transizione. Buon lavoro!