Google Analytics è davvero illegale?

Google Analytics, come metterlo a norma? Perché se ne parla ora? Te lo spiega il nostro DPO, l'Avv. Manuela Soccol!

Benvenuto e benvenuta al nostro appuntamento settimanale con una nuova puntata di Evolve dedicata al tema più spinoso del momento: Google Analytics!

Di cosa parleremo oggi?

Scopriamo insieme al nostro DPO, Avv. Manuela Soccol, come avvicinare il tuo Google Analytics alle indicazioni del GDPR.

 

Partiamo dalle basi.

Che cosa sono i cookie?

Non si tratta di un software, ma di una stringa di testo.

I cookie sono un file di testo che si va a posizionare e archiviare all’interno del browser che hai utilizzato per la navigazione (Chrome, Explorer, Safari, ecc…), che sia a partire da uno smartphone, da un tablet o da un PC.

A cosa servono i dati di navigazione?

I tuoi dati servono a fare in modo che ogni volta che ritorni su quel sito ci sia memoria della tua attività online per poter riconoscere il tuo dispositivo e inviargli informazioni personalizzate, comunicabili ad altri siti.

Quali sono i diversi tipi di cookie?

In base al loro scopo possiamo identificarne varie tipologie:

• I cookie tecnici -> servono per alcune funzionalità del sito (ad esempio la visualizzazione della pagina)
• I cookie di profilazione -> tengono traccia della nostra attività online
• I cookie analitici -> danno informazioni e analizzano che cosa fa l’utente

La normativa sui dati personali

Per quanto riguarda la normativa inerente alle informazioni di navigazione è necessario fare riferimento all’art. 122 del Codice Privacy, rubricato “informazioni raccolte nei riguardi del contraente dell’utente”.

L’articolo recita “L’archiviazione delle informazioni nell’apparecchio terminale di un contraente o di un utente o l’accesso a informazioni già archiviate sono consentiti unicamente a condizione che il contraente o l’utente abbia espresso il proprio consenso dopo essere stato informato con modalità semplificate (…).”

In altre parole, l’articolo vieta di utilizzare i cookie di profilazione senza lo specifico consenso dell’utente che naviga online.

Nel 2017 la Corte di Giustizia tedesca ha chiarito che il consenso deve essere attivo da parte degli utenti, quindi non può essere utilizzata una spunta preselezionata, perché l’utente deve essere libero di scegliere di evitare ingerenze nella propria vita privata.

Le linee guida del Garante italiano

Sul concetto di libero consenso sono state emanate le linee guida cookie il 10 giugno 2021 dal nostro Garante italiano per la protezione dei dati personali.

Le linee guida prevedono l’installazione di un banner:

• di adeguate dimensioni
• che compaia immediatamente nel momento di accesso al sito
• che informi l’utente e raccolga l’eventuale consenso
• che indichi che il sito utilizza cookie tecnici e previo consenso dell’utente, cookie di profilazione o analitici, indicando anche le relative finalità
• che contenga il link alla privacy policy con l’informativa completa e un’avvertenza sul fatto che la chiusura del banner comporta il permanere delle impostazioni che sono state create di default

Decisioni dei garanti su Analytics

Il primo garante a porsi il tema della legittimità nell’utilizzo del servizio di web analytics fornito da Google è stato quello austriaco a gennaio e a maggio 2022, seguito da quello francese a febbraio 2022 e infine dal Garante italiano a giugno 2022.

Con il comunicato stampa del 23 giugno il Gdpr italiano ha dato un termine di 90 giorni ai titolari di siti Internet per verificare la conformità delle modalità di utilizzo dei cookie e di altri strumenti di tracciamento, con particolare attenzione a Google Analytics.

Il problema di Google Analytics

Il problema di questo servizio è il trasferimento di dati personali che Google fa su server che sono collocati al di fuori dell’Unione europea.

Perché non va bene?

Perché la Corte di giustizia europea ha dichiarato invalido l’accordo esistente tra Unione europea e Stati Uniti per il trasferimento di dati personali dall’Unione europea verso gli Stati Uniti.

Questo è dovuto ad una normativa statunitense che si chiama Cloud Act, che consente alle autorità governative statunitensi, in presenza di determinate condizioni (per esempio evitare attacchi terroristici), di poter accedere ai dati personali, anche di cittadini europei, salvati all’interno di server di provider statunitensi.

La problematica sussiste anche nel caso di scelta di server di provider statunitensi che sono all’interno dell’Unione europea, perché il Cloud Act stabilisce che se i provider sono statunitensi, seppur collocati al di fuori degli USA, l’autorità statunitense si riserva il diritto di verificarne i dati.

Ciò significa che, anche se in teoria il servizio di analisi web gratuito targato Google non tratta dati personali, perché anonimizza gli indirizzi IP (stringa alfanumerica che va ad identificare in modo univoco Il dispositivo che naviga online), il motore di ricerca può comunque identificare il soggetto che naviga, soprattutto se lo fa da un account loggato.

Soluzioni per adeguare Google Analytics del tuo sito al GDPR

Abbiamo visto diverse problematiche, ma siamo qui per darti una soluzione…

Anzi, più di una!

• Se possiedi un sito “vetrina” su cui non fai attività di marketing o di posizionamento SEO, (ecc…) Google Analytics non ti serve
• Prendi in considerazione degli strumenti alternativi dei Cookie analitici offerti da altri soggetti

Che cosa puoi fare concretamente:

• • imposta l’anonimizzazione degli IP e restringi, per quanto possibile, le politiche di condivisione dei dati da parte di Google
  • considera il cookie di Google Analytics come attivabile solo con il consenso del tuo utente
  • Utilizza tecniche di reverse proxy

Google Analytics 4

Google, in tutto questo, non è rimasta a guardare ed ha proposto una nuova versione di Google Analytics come risposta alle sfide che l’Europa continua a porre sul tema privacy: GA4.

Il colosso web statunitense dichiara di non archiviare gli indirizzi IP e di trattare i dati degli utenti europei solo all’interno dell’Unione europea.

Ad oggi, tuttavia, nessuna autorità garante si è espressa ancora sull’utilizzo del nuovo strumento di analisi, ma il problema spiegato all’inizio (riguardante il Cloud Act) rimane.

Cosa fare se sei titolare di un sito web

Quello che il Garante italiano ad oggi si aspetta dai titolari di siti web è che si siano attivati per cercare possibili soluzioni e rimedi.

L’importante è non stare a guardare e attivarsi per capire che cosa fare, perché il periodo di 90 giorni sta decorrendo.

Il nostro consiglio è, quindi, quello di configurare correttamente il banner cookie (vedi indicazioni sopra)

e migrare entro Luglio 2023 a GA4.

Intanto noi restiamo a disposizione e ti aspettiamo Giovedì… alla prossima puntata di #Evolve!