Google Analytics è illegale in Europa?

Image of Iron Brands

Pubblicato il 14 ott 2022 e modificato il 19 dic 2023 da Iron Brands

Ultimamente Google Analytics è stato in prima pagina nelle notizie sulla privacy. Austria, Francia, Italia, Danimarca e Finlandia hanno preso posizione contro Google Analytics e anche l'autorità norvegese per la protezione dei dati si è pronunciata provvisoriamente contro Google Analytics in un caso ancora in corso. Le sentenze fanno parte di uno sforzo coordinato a livello europeo e sono in cantiere da molto tempo.

GA è lo strumento di analisi predefinito ed è utilizzato dal 55% di tutti i siti web. È stato a lungo un monopolista del mercato delle analisi web e i suoi problemi legali stanno facendo ondeggiare il panorama del marketing in Europa. In questo clima di panico generale, può essere difficile capire cosa le autorità europee stiano decidendo esattamente. Google Analytics è davvero illegale in Europa?

  1. I retroscena di Google Analytics e del GDPR
  2. Cosa hanno detto effettivamente le autorità?
  3. Dove è illegale Google Analytics?
  4. In quali altri casi Google Analytics sarà illegale?
  5. E il nuovo quadro normativo sul trasferimento dei dati?
  6. Aggiornamenti
  7. Considerazioni finali
Logo of MichelinMichelin chose Simple AnalyticsJoin them

Tuffiamoci nel vivo dell'argomento!

I retroscena di Google Analytics e del GDPR

Google Analytics è stato messo sotto accusa perché richiede il trasferimento dei dati personali negli Stati Uniti per la loro elaborazione. Il trasferimento dei dati negli Stati Uniti è un rompicapo giuridico. La storia è lunga e potete leggerla qui. In breve:

  • La sentenza Schrems II della Corte di Giustizia richiede alle aziende di implementare adeguate garanzie (comunemente chiamate misure supplementari) quando trasferiscono i dati negli Stati Uniti per proteggerli dalla sorveglianza dello Stato.
  • L'ONG noyb ha presentato 101 reclami contro Google Analytics e Facebook Connect per spingere le autorità europee a un'applicazione più rigorosa della sentenza Schrems II.
  • Il consiglio delle autorità di vigilanza europee (EDPB) ha coordinato la risposta ai reclami a livello europeo.
  • Diverse autorità europee per la protezione dei dati (DPA) hanno "bandito" GA dai rispettivi Paesi1.

Cosa hanno detto effettivamente le autorità?

I reclami e le decisioni su Google Analytics sono molto simili. Ecco come si sono svolti finora:

  • Una persona interessata, rappresentata da noyb, ha affermato che un sito web che utilizza GA ha trasferito i suoi dati personali negli Stati Uniti senza garanzie efficaci.
  • Il proprietario del sito web ha protestato che le garanzie implementate nei Termini di servizio di GA erano sufficienti.
  • La DPA ha esaminato le salvaguardie e ha concluso che erano inefficaci contro la sorveglianza dello Stato.
  • La DPA ha ordinato al sito web di smettere di usare GA (o di implementare salvaguardie più forti, il che è impossibile).

Secondo la causa Schrems II, le misure supplementari per i trasferimenti di dati devono essere valutate caso per caso. Pertanto, un'autorità di protezione dei dati non può dichiarare Google Analytics illegale di per sé perché, in teoria, un altro sito web potrebbe implementare misure di salvaguardia più rigorose e utilizzare GA in modo legittimo.

Teoria" è la parola chiave. In pratica, le misure supplementari sono scelte da Google e accettate da qualsiasi azienda che accetti i Termini di servizio standard di GA. Poiché ogni azienda accetta gli stessi Termini di servizio, le misure supplementari sono sempre le stesse. Se una DPA ritiene che le misure siano inadeguate in un caso specifico, farà lo stesso nei casi futuri, perché tutti i casi sono copie carbone l'uno dell'altro.

Ma un sito web non può implementare misure supplementari proprie oltre a quelle di Google? Purtroppo no. Esistono pochissime garanzie efficaci contro la sorveglianza da parte dello Stato e nessuna di queste può essere utilizzata per Google Analytics (ne abbiamo parlato nel nostro blog sui trasferimenti di dati). Un server proxy potrebbe essere una soluzione efficace, ma limita fortemente le capacità analitiche di GA ed è oneroso da implementare.

In conclusione: le decisioni riguardano siti web specifici, ma poiché tutti i siti web utilizzano le stesse protezioni, ogni decisione stabilisce un precedente generale che equivale praticamente a un divieto a livello statale.

Is google analytics illegal in Europe

Dove è illegale Google Analytics?

Finora, tre DPA si sono pronunciate contro GA: il DSB austriaco, il CNIL francese e il GPDP italiano. Ciò significa che Google Analytics è praticamente vietato in Austria, Francia e Italia. Va notato che il CNIL e il GPDP sono piuttosto influenti a livello europeo: se adotteranno l'approccio coordinato dalla task force EDPB, è probabile che altre DPA seguiranno il loro esempio.

La situazione italiana è particolare. In un comunicato stampa successivo alla sua prima decisione contro il GA, l'autorità di protezione dei dati italiana ha avvertito che avrebbe indagato ulteriormente sull'uso degli strumenti di analisi (in particolare il GA) per i responsabili del trattamento dei dati italiani, comprese le amministrazioni pubbliche. Inoltre, il gruppo di hacktivisti MonitoraPA (che si traduce in monitoraggio della pubblica amministrazione) ha inviato un'e-mail a migliaia di aziende pubbliche e private chiedendo loro di smettere di utilizzare Google Analytics e Google Fonts, minacciando azioni legali presso il DPA. L'iniziativa di MonitoraPA è alquanto controversa e ampiamente discussa nella comunità italiana della privacy e tra i professionisti del marketing.

In termini pratici, GA è vietato anche in Danimarca. La DPA danese non è stata coinvolta nei 101 reclami e non ha risolto alcun caso di GA. Ha invece esaminato i GA per conto proprio, dopo che altre DPA si sono pronunciate contro i GA, e ha dichiarato in un recente comunicato stampa che non possono essere utilizzati legittimamente a meno che non vengano attuate misure supplementari efficaci. L'unico esempio fornito è un riferimento al suggerimento della CNIL e dell'EDPB di creare un server proxy per rendere anonimi tutti i dati personali. Si tratta di un'operazione molto complessa e proibitiva per la maggior parte delle aziende.

Si sta discutendo se le dichiarazioni si applichino a tutte le versioni di Google Analytics o solo alla versione attuale (universal analytics). La risposta breve è che si applica a ogni configurazione o versione di Google Analytics. Ne abbiamo parlato più diffusamente in questo blog.

In quali altri casi Google Analytics sarà illegale?

Le denunce di Noyb sono state presentate a tutte le DPA europee. Al momento non si conoscono i dettagli delle denunce, ma come abbiamo spiegato, alcune DPA probabilmente seguiranno l'esempio di Austria, Francia e Italia.

In particolare, in un comunicato stampa di gennaio, la DPA olandese ha annunciato che sta indagando su due controllori per l'utilizzo di GA e che potrebbe pronunciarsi contro GA nel 2023. Al momento non sono disponibili altri dettagli sui casi.

Vale la pena ricordare che la DPA irlandese ha elaborato una decisione per bloccare i trasferimenti di dati di Meta Platform Ireland a Meta negli Stati Uniti. La bozza è stata presentata all'EDPB, quindi l'esito del caso è ancora incerto. Il caso non coinvolge Google, ma le questioni fondamentali relative ai trasferimenti di dati di Meta sono quelle analizzate dalle DPA nei reclami di noyb, per cui potrebbe costituire un importante precedente per altre aziende, tra cui Google. Un precedente irlandese sarebbe importante perché molte multinazionali tecnologiche statunitensi hanno filiali europee in Irlanda.

E il nuovo quadro normativo sul trasferimento dei dati?

Recentemente il Presidente degli Stati Uniti Joe Biden ha pubblicato un ordine esecutivo sui programmi di sorveglianza degli Stati Uniti. L'obiettivo è ridurre le pratiche di sorveglianza degli Stati Uniti e creare un nuovo quadro per il trasferimento dei dati.

Questo non è il primo quadro per il trasferimento dei dati tra gli Stati Uniti e l'UE. Esistevano due quadri precedenti (Safety Harbor e Privacy Shield), e la CGUE li ha invalidati entrambi nelle sentenze Schrems I e II per problemi di sorveglianza. Il nuovo quadro sarà certamente contestato in tribunale, probabilmente dallo stesso Schrems e da noyb. Questo è il motivo per cui il nuovo ordine esecutivo riguarda le pratiche di sorveglianza: il Presidente sta cercando di risolvere i problemi evidenziati nella sentenza Schrems II in modo che il nuovo quadro possa sopravvivere a Schrems III.

I responsabili del trattamento dei dati non potranno fare affidamento sul nuovo quadro normativo in materia di trasferimento dei dati finché la Commissione europea non adotterà una decisione di adeguatezza. Questo avverrà quasi certamente, ma non è chiaro quando, probabilmente ci vorranno diversi mesi. E soprattutto, la decisione di adeguatezza dovrà sopravvivere a una successiva decisione di Schrems III, cosa di cui dubitiamo.

Aggiornamenti

Il nuovo quadro normativo sul trasferimento dei dati è in arrivo. Nel dicembre 2022 la Commissione europea ha pubblicato una bozza di decisione di adeguatezza. La bozza deve ancora essere votata dagli Stati membri. Una volta approvata, gli Stati Uniti saranno "illuminati" come destinazione sicura per il trasferimento dei dati. L'approvazione è praticamente certa, ma lo è anche il ricorso alla Corte di giustizia, come abbiamo detto.

Nel frattempo, anche l'autorità finlandese per la protezione dei dati si è ** pronunciata contro Google Analytics* in un caso non correlato alle denunce di noyb. Questo dimostra che la procedura di approvazione della decisione di adeguatezza non ha fermato l'applicazione rigorosa delle norme sul trasferimento dei dati da parte delle autorità europee.*

Infine, una parola su Meta. La bozza di decisione del DPC di bloccare il trasferimento di dati è stata accolta con critiche da altre autorità europee e l'EDPB risolverà la questione con una decisione vincolante. La decisione avrà sicuramente un ampio impatto e potrà darci qualche indicazione in più sulla posizione delle singole DPA in merito al trasferimento dei dati.

Considerazioni finali

È difficile dire ora come si svolgerà Schrems III. Il nuovo ordine esecutivo e il possibile esito di Schrems III saranno un tema caldo nella comunità della privacy per i mesi a venire.

Che la decisione sull'adeguatezza sopravviva o meno a Schrems III, Google Analytics è uno strumento che invade la privacy. Da un punto di vista etico, riteniamo che Google non stia contribuendo a creare un web indipendente e favorevole ai visitatori dei siti web. E perché dovrebbe? Con Google Analytics sta guadagnando miliardi.

Questo è il motivo per cui abbiamo creato Simple Analytics. Uno strumento di analisi web che vi fornisce le informazioni di cui avete bisogno senza alcun tracciamento o raccolta di dati personali.

Non esitate a provarci se volete sostenere un'azienda indipendente che cerca di creare un web amichevole per i visitatori.

#1 Il gpdrhub contiene le sintesi delle decisioni austriache, francesi e italiane.

GA4 è complesso. Prova Simple Analytics

GA4 è come sedersi in cabina di un aereo senza licenza di pilota

Inizia prova di 14 giorni