L'Italia è diventata il terzo Paese a pronunciarsi ufficialmente contro l'uso di Google Analytics. La notizia è stata diffusa oggi dopo che un attento esame ha concluso che Google Analytics violava la legge GDPR. La dichiarazione è disponibile qui.
Vedi l'articolo completo qui
<blockquote><h2>La SA italiana vieta l'uso di Google Analytics</h2><h3>Nessuna garanzia adeguata per i trasferimenti di dati verso gli USA</h3>
Un sito web che utilizza Google Analytics (GA) senza le garanzie previste dal GDPR dell'UE viola la legge sulla protezione dei dati perché trasferisce i dati degli utenti negli Stati Uniti, un paese che non dispone di un livello adeguato di protezione dei dati.
L'Autorità di vigilanza italiana è giunta a questa conclusione al termine di una complessa indagine avviata in stretto coordinamento con le altre autorità di protezione dei dati dell'UE in seguito alle denunce ricevute. Il Garante italiano ha scoperto che gli operatori dei siti web che utilizzano GA raccoglievano, tramite i cookie, informazioni sulle interazioni degli utenti con i rispettivi siti web, sulle pagine visitate e sui servizi offerti. La molteplicità dei dati raccolti comprendeva l'indirizzo IP del dispositivo dell'utente e informazioni su browser, sistema operativo, risoluzione dello schermo, lingua selezionata, data e ora di visualizzazione della pagina. Queste informazioni sono state trasferite negli Stati Uniti. Nel determinare l'illegittimità del trattamento, la Corte di giustizia italiana ha ribadito che l'indirizzo IP è un dato personale e non verrebbe anonimizzato nemmeno se venisse troncato, data la capacità di Google di arricchire tali dati con informazioni aggiuntive in suo possesso.
Sulla base di queste constatazioni, il Garante italiano ha adottato una decisione, cui ne seguiranno altre, con la quale ha condannato Caffeina Media S.r.l. - gestore del sito web - e le ha ordinato di rendere il trattamento conforme al GDPR entro novanta giorni. Tale termine è stato ritenuto congruo per consentire all'operatore di attuare misure adeguate in relazione al trasferimento dei dati; in caso contrario, sarà disposta la sospensione dei flussi di dati relativi al GA verso gli USA.
Il SA italiano ha evidenziato, in particolare, che le agenzie governative e di intelligence con sede negli Stati Uniti possono accedere ai dati personali trasferiti senza le garanzie richieste; ha sottolineato, a questo proposito, che le misure adottate da Google per integrare gli strumenti di trasferimento dei dati non garantiscono un livello adeguato di protezione dei dati personali degli utenti alla luce delle indicazioni fornite dall'EDPB attraverso le Raccomandazioni n. 1/2020 del 18 giugno 2021.
Il Garante italiano desidera richiamare l'attenzione di tutti i gestori di siti web italiani, sia pubblici che privati, sull'illegittimità dei trasferimenti di dati verso gli Stati Uniti derivanti dall'utilizzo di GA, anche in ragione delle numerose segnalazioni e quesiti finora pervenuti. Il Garante italiano invita tutti i responsabili del trattamento a verificare che l'uso dei cookie e di altri strumenti di tracciamento sui loro siti web sia conforme alla legge sulla protezione dei dati; ciò vale in particolare per Google Analytics e servizi analoghi.
Alla scadenza del termine di 90 giorni stabilito nella sua decisione, il Garante italiano verificherà che i trasferimenti di dati in questione siano conformi al GDPR dell'UE, anche attraverso ispezioni ad hoc.
Roma, 23 giugno 2022
</blockquote>Questa notizia arriva solo una settimana dopo che la CNIL (Agenzia francese per la protezione dei dati) ha pubblicato delle linee guida sulla questione di Google Analytics. Queste linee guida sono il risultato delle dichiarazioni rilasciate all'inizio di quest'anno in cui la CNIL ha vietato l'uso di Google Analytics.
Sempre più autorità si pronunciano contro Google Analytics. Ciò non sorprende: Le autorità europee per la protezione dei dati hanno coordinato il loro approccio ai casi di trasferimento dei dati di Google Analytics. Con il coordinamento a livello europeo e con le influenti autorità di protezione dei dati francesi e italiane a fare da apripista, ci aspettiamo che altre autorità seguano l'esempio.
- Google Analytics è davvero illegale in Italia?
- Cosa ha detto esattamente il GPDP?
- Il problema dei trasferimenti di dati
- Le linee guida Q&A della CNIL francese su Google Analytics
- Quali sono i rischi di continuare a utilizzare Google Analytics in Italia?
- Esistono diversi fornitori europei di servizi di analisi?
- Come si può essere sicuri che altri fornitori di analisi siano conformi al GDPR?
- Aggiornamenti
- Riflessioni finali
Immergiamoci!
Google Analytics è davvero illegale in Italia?
In teoria, no. In pratica, sì.
Il GPDP non dice esattamente che non si può usare Google Analytics. Vieta solo a un sito web specifico di farlo.
Allora, perché tanto clamore? La decisione del GPDP ha evidenziato una mancanza di garanzie nel trasferimento dei dati necessari per l'utilizzo di Google Analytics. In teoria, un altro sito web potrebbe implementare migliori garanzie e utilizzare Google Analytics in modo conforme al GDPR. In pratica, però, nessun sito web è in grado di farlo (come abbiamo spiegato qui).
Quindi, anche se la sentenza non vieta tecnicamente Google Analytics, crea un precedente che equivale praticamente a un divieto a livello statale. Lo stesso vale per tutte le decisioni prese finora. In pratica, Google Analytics è vietato in Austria, Francia e Italia (e ora anche in Ungheria).
I professionisti della privacy e gli esperti di marketing sanno bene che le recenti decisioni contro Google Analytics equivalgono praticamente a dichiararlo illegale. Per questo motivo le sentenze hanno attirato l'attenzione dei media.
Il prossimo domino sta cadendo, l'Italia vieta Google Analytics
Cosa ha detto esattamente il GPDP?
Un organo di informazione italiano (caffeinamagazine) ha utilizzato Google Analytics. Quando Google Analytics elabora i dati, le informazioni vengono inviate da Google Irlanda alla società madre Google negli Stati Uniti. Questo trasferimento di dati è lecito ai sensi del GPDR solo se i diritti di protezione dei dati dell'utente possono essere adeguatamente tutelati. Secondo la sentenza Schrems II, il responsabile del trattamento dei dati deve implementare garanzie efficaci per mantenere la riservatezza dei dati contro la sorveglianza degli Stati Uniti.
Il GPDP ha esaminato tutte le salvaguardie in atto per il trasferimento dei dati e le ha ritenute insufficienti. La crittografia (non end-to-end) è insufficiente perché Google detiene la chiave e può essere obbligato a consegnarla alle agenzie statali. Le garanzie contrattuali in vigore tra Google Ireland e Google sono insufficienti senza alcuna misura tecnica. Il GPDP ha anche chiarito che l'indirizzo IP dell'utente è un dato personale anche quando viene anonimizzato da Google, perché quest'ultimo utilizza un'anonimizzazione molto debole.
Nulla di tutto ciò è nuovo. In realtà, il GPDP non fa che ripetere quanto già chiarito dalle autorità di protezione dei dati austriache e francesi, e tutte le autorità si limitano ad applicare i criteri stabiliti dalla sentenza Schrems II.
Il problema dei trasferimenti di dati
Ma cosa rende così problematici i trasferimenti di dati verso gli Stati Uniti? Perché abbiamo bisogno di tutele? Aziende come Google, Facebook e AWS possono essere obbligate a consegnare dati personali di stranieri alle agenzie statunitensi in base alla legge americana (sezione 702 del FISA).
I problemi di privacy di Google non sono una novità. Nel 2013, i file di Snowden hanno rivelato che i dati personali di cittadini stranieri potevano essere soggetti a una sorveglianza statale invasiva quando venivano trasferiti negli Stati Uniti. Le rivelazioni di Snowden hanno portato alla luce due ampi programmi di raccolta di informazioni (Upstream e PRISM) autorizzati dalla FISA. Le preoccupazioni per l'ampia portata del FISA e la mancanza di rimedi efficaci contro la sorveglianza degli Stati Uniti hanno portato la Corte di giustizia dell'UE a invalidare due quadri di trasferimento dei dati tra l'UE e gli Stati Uniti nelle storiche decisioni Schrems I e II.
La sentenza Schrems II del 2020 ha implicazioni di vasta portata per le aziende europee. In linea di principio, i dati possono ancora essere trasferiti negli Stati Uniti senza alcun quadro di riferimento per il trasferimento dei dati. Tuttavia, la CGUE ha chiarito che le aziende europee devono garantire la riservatezza dei trasferimenti di dati implementando adeguate garanzie contro la sorveglianza statale. In termini pratici, questo è difficile da fare e del tutto impossibile per alcuni servizi basati sul cloud ( ne abbiamo scritto qui).
All'indomani di Schrems II, la ONG per la privacy noyb ha presentato 101 reclami identici contro i trasferimenti di dati incentrati sull'uso di Google Analytics e Facebook Connect. Le denunce coinvolgono tutte le autorità di protezione dei dati dell'UE e costituiscono uno sforzo strategico per spingere l'Europa a un'applicazione più rigorosa delle norme chiarite da Schrems II.
Come abbiamo detto, le DPA hanno coordinato il loro approccio a queste denunce a livello europeo. Di conseguenza, tre DPA europee (il DSB austriaco, il CNIL francese e ora il GPDP italiano) (aggiornamento: e il NAIH ungherese) si sono pronunciate contro l'uso di Google Analytics. In linea con la sentenza Schrems II, le DPA hanno ritenuto illegittimi i trasferimenti di dati da Google Ireland a Google LLC, in quanto privi di garanzie efficaci contro la sorveglianza statunitense.
Le linee guida Q&A della CNIL francese su Google Analytics
Nelle sue domande e risposte della scorsa settimana, la CNIL ha affrontato tutte le questioni sollevate dopo l'annuncio dell'illegalità di Google Analytics nel febbraio di quest'anno. Da allora, Google ha suggerito diversi approcci per garantire che Google Analytics possa essere utilizzato in modo sicuro nell'ambito della legislazione dell'Unione Europea. Tuttavia, la CNIL ha concluso che è tecnicamente impossibile utilizzare Google Analytics in modo conforme.
Google ha proposto diverse soluzioni che sono state respinte dalla CNIL:
- L'anonimizzazione dell'IP non è una soluzione valida perché Google non ha potuto dimostrare che l'anonimizzazione avviene prima del trasferimento dei dati negli Stati Uniti.
- La crittografia dei dati è una salvaguardia inefficace perché Google detiene le chiavi e può essere obbligato a consegnarle alle agenzie statali.
L'unica soluzione a cui la CNIL potrebbe essere aperta è l'anonimizzazione totale di tutti i dati personali attraverso un server proxy. Questa soluzione è costosa e onerosa per la maggior parte delle aziende. Inoltre, rende impossibile l'uso dei cookie, il che limita fortemente le capacità analitiche di Google Analytics.
Quali sono i rischi di continuare a utilizzare Google Analytics in Italia?
Se utilizzate Google Analytics in Italia, non siete conformi al GDPR. Se qualcuno presenta un reclamo o il DPA indaga sui vostri trasferimenti, potreste essere nei guai.
Va notato che il DPA italiano ha annunciato ulteriori indagini (traduzione in inglese qui sotto) sull'uso di Google Analytics da parte di aziende e istituzioni, quindi l'autorità sta adottando un approccio proattivo alla questione. Possiamo aspettarci altri casi relativi a Google Analytics, comprese le indagini di propria competenza.
Esistono diversi fornitori europei di servizi di analisi?
Sì, ci sono. Abbiamo creato Simple Analytics per fornirvi uno strumento di analisi web rispettoso della privacy e conforme al GDPR. Esistono anche altre alternative, come ad esempio alternativeto.net.
Come si può essere sicuri che altri fornitori di analisi siano conformi al GDPR?
Il fatto che non si utilizzi Google Analytics non significa che si sia conformi. E solo perché un fornitore è europeo non significa che non si affidi a processori con sede negli Stati Uniti. È necessario leggere attentamente tutti i termini e la documentazione di ciascun fornitore e valutare le sue politiche.
La scelta di un fornitore conforme è solo una parte del quadro: anche voi siete responsabili della conformità e dovete fare la vostra parte.
Dovete rispettare la scelta dell'utente e impostare il vostro strumento di analisi in modo che non vengano scritti cookie analitici o pubblicitari senza o prima di aver raccolto il consenso. Molti siti web non riescono a farlo, e la colpa è solo loro: il loro software non c'entra nulla! Dovete inoltre fornire informazioni sufficienti e accurate al vostro pubblico e assicurarvi di raccogliere il consenso attraverso un cookie banner conforme al GDPR, sia implementandolo voi stessi da zero, sia scegliendo impostazioni conformi per la vostra piattaforma di gestione del consenso.
(Abbiamo trattato i cookie banner in un altro blog, non esitate a consultarlo se siete curiosi).
Aggiornamenti
Nei mesi successivi alla decisione del GPDP sono successe molte cose, quindi ecco alcuni aggiornamenti:
- Il GPDP ha deciso su altri due reclami, pronunciandosi nuovamente contro l'uso di Google Analytics. Questo conferma ciò che era già ovvio: il primo caso ha creato un precedente cruciale, e tutti gli altri casi saranno decisi di conseguenza. La seconda e la terza decisione sono state letteralmente copiate dalla prima.
- la DPA danese ha sostanzialmente abbracciato lo stesso approccio in un comunicato stampa sull'uso di Google Analytics.
- L'Ombudsman finlandese si è unito a DSB, CNIL e GPDP nel pronunciarsi contro Google Analytics.
- In un caso ancora pendente, il Datatilsynet norvegese ha raggiunto una conclusione preliminare secondo cui l'uso di Google Analytics è illegale.
- È in arrivo un nuovo quadro normativo per i trasferimenti di dati tra UE e USA. Il nuovo quadro normativo è ancora problematico sotto alcuni aspetti e sarà sicuramente oggetto di una sfida in tribunale. Ci troviamo di fronte all'ennesima sentenza Schrems, ed è difficile dire come andrà a finire.
- Abbiamo scritto due blog sui trasferimenti di dati in generale e sui problemi di Google Analytics con i trasferimenti di dati. Questi contengono informazioni più approfondite su questi argomenti.
Riflessioni finali
Prima di concludere, potrebbe essere utile riassumere ciò che abbiamo visto:
- Finora diverse autorità di protezione dei dati si sono pronunciate contro Google Analytics.
- Le autorità di protezione dei dati seguono un approccio coordinato e due autorità di protezione dei dati influenti sono all'avanguardia. È probabile che altre autorità le seguano (aggiornamento: la DPA ungherese l'ha fatto).
- Le decisioni sono quasi identiche e praticamente equivalgono a un divieto a livello statale.
Vale la pena di menzionare anche questo: I consumatori chiedono privacy.
L'ambiente commerciale sta cambiando e dovreste chiedervi se volete seguirlo o rimanere fedeli alle vecchie credenze e pratiche.
Google si sta persino allontanando dalla versione attuale di Google Analytics, abbandonando Universal Analytics a favore di GA4. In una dichiarazione, ha annunciato che la privacy è uno dei principali fattori che hanno portato al cambiamento. Sebbene GA4 non sia ancora adatto alla privacy, almeno riconosce che il mondo sta cambiando.
Esistono alternative a Google Analytics che hanno a cuore la privacy degli utenti. Simple Analytics è una di queste, ma prima di dirvi che siamo i migliori, abbiamo creato un confronto approfondito con altre alternative rispettose della privacy, per permettervi di prendere la vostra decisione.
Crediamo che non si tratti solo di rispettare la legge. Certo, anche questo è importante. Ma va oltre. Crediamo che sia possibile prendere decisioni basate sui dati del sito web senza dover raccogliere dati personali o tracciare individui.
Ecco perché abbiamo creato Simple Analytics. Per fornirvi le informazioni di cui avete bisogno, proteggendo la privacy dei vostri utenti e rispettando al 100% il GDPR. Se tutto questo è di vostro gradimento, non esitate a provarci.