Vi diciamo una cosa: no, Google Analytics non è illegale nel Regno Unito. I recenti problemi legali di Google Analytics derivano dal fatto che le autorità europee hanno stabilito che l'uso di Google Analytics costituisce una violazione delle norme GDPR sul trasferimento di dati extraeuropei. Questo non riguarda il Regno Unito, che non è più uno Stato membro dell'Unione europea o dello Spazio economico europeo.
Tuttavia, poiché diversi Stati membri dell'UE hanno ritenuto illegale l'uso di Google Analytics, vale la pena di scavare un po' più a fondo ed esplorare il panorama in evoluzione.
- Quali regole si applicano a Google Analytics nel Regno Unito?
- Posso trasferire dati personali dall'Europa al Regno Unito?
- Che cos'è tutto questo clamore intorno a Google Analytics?
- La legislazione sulla privacy nel Regno Unito, in generale
- Riflessioni finali
Immergiamoci!
Quali regole si applicano a Google Analytics nel Regno Unito?
Le regole sui cookie sono identiche a quelle dell'UE e piuttosto severe. Ai sensi del Regolamento sulla privacy e sulle comunicazioni elettroniche (PECR), i cookie richiedono sempre il consenso esplicito dell'utente, con eccezioni molto limitate che non riguardano i cookie di marketing e di analisi web. Quindi Google Analytics richiede sicuramente il consenso nel Regno Unito, proprio come nell'UE.
Posso trasferire dati personali dall'Europa al Regno Unito?
La Commissione europea ha adottato una decisione di adeguatezza per il Regno Unito nel 2021, dichiarando sostanzialmente il Paese una destinazione sicura per il trasferimento dei dati. Grazie a questa decisione, i trasferimenti di dati verso un'azienda del Regno Unito sono trattati allo stesso modo di quelli verso un'azienda slovena o olandese. In questo modo è possibile trasferire i dati senza gli oneri di conformità che di solito gravano sui trasferimenti di dati extra-UE.
Si noti che la Commissione rivede periodicamente le decisioni di adeguatezza. Se intendete fare affidamento su una decisione di adeguatezza, assicuratevi che sia ancora valida.
Che cos'è tutto questo clamore intorno a Google Analytics?
La recente tendenza a prendere decisioni contro Google Analytics fa parte di un più ampio puzzle legale sui trasferimenti di dati tra il SEE e gli Stati Uniti. Il problema non riguarda direttamente il Regno Unito, ma coinvolge i siti web del Regno Unito che utilizzano Google Analytics, a condizione che si rivolgano al mercato e al pubblico europeo. Ne abbiamo scritto diffusamente sul nostro blog, quindi ecco una versione breve.
La questione centrale è la sorveglianza dello Stato. Secondo il GDPR, i dati personali europei possono essere trasferiti in modo sicuro solo al di fuori del SEE. Questo è difficile per i trasferimenti di dati dagli Stati Uniti, perché il quadro giuridico statunitense consente una sorveglianza estesa e invasiva dei dati dei cittadini stranieri. Supponiamo che un'azienda del Regno Unito raccolga i dati personali degli utenti nell'UE con Google Analytics. In questo caso, i dati saranno trasferiti negli Stati Uniti per essere elaborati da Google, con il rischio che i dati siano soggetti alla sorveglianza delle agenzie statunitensi.
In passato, due diversi quadri di riferimento per il trasferimento dei dati (Safe Harbor e Privacy Shield) tra l'UE e gli Stati Uniti hanno reso possibili trasferimenti di dati conformi al GDPR, ma entrambi i quadri sono stati invalidati dalla Corte di giustizia dell'UE nelle cause Schrems I e II. Un terzo quadro è in arrivo, ma senza dubbio dovrà affrontare una sfida legale. Con la sentenza Schrems III già all'orizzonte, il futuro dei flussi di dati UE-USA rimane incerto.
Nel frattempo, le aziende devono ricorrere a diversi strumenti legali (in genere clausole contrattuali standard) per trasferire legalmente i dati negli Stati Uniti ai sensi del GDPR. Tuttavia, il problema di questi strumenti è che non offrono alcuna protezione contro la sorveglianza statale. Per questo motivo, nella causa Schrems II la Corte di giustizia ha chiarito che tali strumenti devono essere integrati da ulteriori misure di tutela della privacy ogni volta che i dati vengono inviati a Paesi "non sicuri". Ciò è difficile e del tutto impossibile per i trasferimenti richiesti da alcuni servizi basati su cloud come Google Analytics (ne abbiamo scritto qui).
Dopo la sentenza Schrems II del 2020, la maggior parte delle aziende ha continuato a lavorare come sempre con i fornitori di servizi con sede negli Stati Uniti. Nel frattempo, le autorità di protezione dei dati hanno coordinato il loro approccio ai trasferimenti di dati a livello europeo. Di conseguenza, le autorità di protezione dei dati austriache, francesi, italiane e ungheresi si sono pronunciate contro l'uso di Google Analytics in decisioni simili. Anche l'autorità di protezione dei dati danese ha assunto una posizione rigorosa in un comunicato stampa. Tutte le decisioni equivalgono praticamente a un divieto a livello statale, come abbiamo spiegato qui. È probabile che altre DPA seguano l'esempio e adottino una posizione più rigida nei confronti di Google Analytics.
La legislazione sulla privacy nel Regno Unito, in generale
Il Regno Unito non è più uno Stato membro dell'UE. Tuttavia, il GDPR britannico e il PECR (che implementa la direttiva ePrivacy) sono ancora in vigore. Di conseguenza, il quadro normativo britannico in materia di protezione dei dati è quasi identico a quello europeo.
L'Information Commissioner's Office (ICO) è l'autorità per la protezione dei dati nel Regno Unito ed esercita poteri simili a quelli delle sue controparti europee. L'attuale commissario è il neozelandese John Edwards.
(A proposito, il sito web dell'ICO è un'eccellente fonte di informazioni sulla legge sulla privacy, con molte spiegazioni accurate, dettagliate e accessibili, la maggior parte delle quali si applicano anche al GDPR e alla legge europea sulla protezione dei dati).
Riflessioni finali
Indipendentemente dal fatto che Google Analytics sia illegale o meno nel Regno Unito, sicuramente non è rispettoso della privacy dei visitatori del vostro sito web. In un mondo in cui la sorveglianza statale e la cattiva condotta monopolistica sono più evidenti che mai, ci battiamo per un Internet indipendente.
Con Simple Analytics, potete ancora raccogliere informazioni e scoprire opportunità dall'analisi del vostro sito web senza utilizzare i cookie o raccogliere dati personali. Volete vedere come si presenta? Date un'occhiata al nostro cruscotto in tempo reale .
Se tutto questo vi convince, provateci. È gratis.