Scontro tra titani: il GDPR contro Google Analytics

Che cos’è successo tra il Garante delle Privacy e lo strumento di monitoraggio più usato dai digital marketer?

La vicenda ha origine da un reclamo promosso da un soggetto privato nei confronti della società Caffeina Media S.r.l. L’utente lamentava l’illegittimo trasferimento dei propri dati personali da parte del sito web, della predetta società, verso Google LLC (con sede negli Stati Uniti), tramite Google Analytics. In particolare, l’utente sosteneva nel proprio reclamo che Caffeina Media S.r.l., avvalendosi del servizio di Google Analytics, raccogliesse e trasmettesse negli USA, attraverso i cookies creati dal server e trasmessi al browser dell’utente, informazioni (tra cui l’indirizzo IP) in ordine alle modalità di interazione di quest’ ultimo con il sito web, nonché con le singole pagine e con i servizi proposti senza rispettare le garanzie sancite dal regolamento europeo.

Il Garante, chiamato a decidere sul reclamo, ha quindi esaminato le misure di natura tecnica (ovvero i meccanismi di cifratura), contrattuale e organizzativa, adottate dalla società per tutelare il trasferimento all’estero dei dati personali. Dopo aver riscontrato come l’insieme di queste misure non fosse sufficiente a ridurre o impedire le possibilità di accesso ai dati oggetto di trasferimento da parte delle Autorità statunitensi, ha dichiarato che il trattamento dei dati personali effettuato dalla società Caffeina Media S.r.l. tramite l’utilizzo di Google Analytics risulta illecito, cioè non conforme al Regolamento Europeo.

Il Garante poi, tenuto conto del vasto impiego di Google Analytics da parte dei siti web italiani, ha concluso il proprio comunicato stampa affermando che “l’Autorità richiama all’attenzione di tutti i gestori italiani di siti web, pubblici e privati, l’illiceità dei trasferimenti effettuati verso gli Stati Uniti attraverso GA, anche in considerazione delle numerose segnalazioni e quesiti che stanno pervenendo all’Ufficio. E invita tutti i titolari del trattamento a verificare la conformità delle modalità di utilizzo di cookie e altri strumenti di tracciamento utilizzati sui propri siti web, con particolare attenzione a Google Analytics e ad altri servizi analoghi, con la normativa in materia di protezione dei dati personali.

A cosa serve Google Analytics e quando non è conforme al GDPR?

Google Analytics è un servizio che Google mette a disposizione degli utenti per monitorare il proprio sito web e quindi mostra le statistiche e i dati relativi agli accessi degli utenti: indirizzo IP, informazioni relative al browser, al sistema operativo, alla risoluzione dello schermo, alla lingua selezionata, nonché data e ora della visita al sito web. In sintesi Google Analytics traccia e registra il traffico web fornendo statistiche complete su come i visitatori interagiscono con un sito web e questi dati permettono di avere una precisa profilazione del target audience.
Questo servizio, per quanto sopra detto, è illecito. Laddove il gestore del sito non adotti misure di sicurezza aggiuntive, che garantiscano la conformità del trattamento dei dati, rispetto agli standard di tutela garantiti dal Regolamento Europeo.

In altre parole il sito web che utilizza il servizio Google Analytics (GA), senza le garanzie previste dal Regolamento Ue, viola la normativa sulla protezione dei dati perché trasferisce negli Stati Uniti, paese privo di un adeguato livello di protezione, i dati degli utenti.
Questo significa che l’uso di Google Analytics non è vietato in via assoluta, ma coloro che scelgono di utilizzarlo sono obbligati a fornire misure di sicurezza aggiuntive (es. l’adesione a codici di condotta o a meccanismi di certificazione; la previsione di clausole contrattuali “ad hoc” tra il titolare del trattamento o il responsabile del trattamento e il titolare del trattamento, il responsabile del trattamento o il destinatario dei dati personali nel paese terzo o nell’organizzazione internazionale): in caso contrario l’utilizzo è illecito.

Se non posso usare Analytics, qual è la soluzione migliore per il mio sito web?

Ciò in cui speriamo (noi di Cucinotta Designer e tutti coloro che lavorano nel digital marketing e che usano GA come strumento di monitoraggio) è che Stati Uniti ed Europa riescano a trovare un accordo che permetta un trasferimento sicuro di dati, nel rispetto della tutela della privacy degli utenti. A tal proposito, il 25 Marzo di quest’anno si è iniziato a parlare del The Trans-Atlantic Data Privacy Framework, un’intesa tra il Presidente Americano Joe Biden e il Presidente della Commissione Europea Ursula Von Der Leyen, ma si attende il testo definitivo che, ovviamente, non si sa quando sarà pubblicato.
Guido Scorza, componente dell’Autorità Garante per la protezione dei dati personali, il 24 giugno 2022 ha dichiarato: “Il vero nodo non si può sciogliere a valle, ma a monte. Significa passare dall’impegno politico che a marzo Joe Biden e Ursula von der Leyen hanno preso per uniformare l’allineamento americano a quello comunitario, rendendo semplice e legittimo il trasferimento dei dati agli Stati Uniti. Quello che manca a quell’accordo politico è un accordo giuridicamente vincolante.

Al momento, l’unica certezza è che non esiste una configurazione di Google Universal Analytics conforme con il GDPR. Trovare un metodo alternativo è possibile, tuttavia anch’esso potrà essere soggetto a valutazione dell’Autorità garante. Quattro le diverse soluzioni da attuare nell’immediato:

    • Continuare a utilizzare GA 3 (azione che sconsigliamo). In questo caso si corre il rischio di ricevere l’ordine di individuare, entro 90 giorni, ulteriori misure tecniche che garantiscano la conformità del trattamento, oppure ricevere un ordine che intimi la interruzione del servizio, e, come accaduto in altri paesi europei, la condanna al pagamento di una sanzione pecuniaria.
    • Eliminare il tool del tracciamento. Si elimina il problema alla radice, in questo modo non viene esaminato nessun dato (da prendere in considerazione qualora non vengano usati gli annunci di Google Ads o il remarketing e il sito è puramente istituzionale).
    • Passare a Google Analytics 4 (scelta da noi attualmente consigliata e che abbiamo attuato per tutti i nostri clienti) Poiché il provvedimento del Garante a cui abbiamo fatto riferimento al primo paragrafo riguarda l’utilizzo di Google Analytics 3, si può ipotizzare il passaggio a Google Analytics 4. Questa scelta, ad oggi e in assenza di una pronuncia da parte dell’Autorità, NON rappresenta una scelta dall’esito certo ma, tenuto conto delle profonde differenze rispetto alla precedente versione, si auspica possa ottenere il benestare dell’Autorità. Infatti la versione GA4 non registra né archivia i singoli indirizzi IP, elabora i dati in server all’interno dell’Unione Europea e offre la possibilità di disattivare la raccolta di dati granulari su località e dispositivi in base all’area geografica.
    • Usare altri strumenti di tracciamento. Esistono diversi software con server ubicati in Europa, tra cui Matomo, Piwik Pro, Eulerian, per citarne alcuni. La problematica di usare tool diversi da Google Analytics è quella di non poter sfruttare tutte le attività correlare: le campagne pubblicitarie con Google Ads, il tracciamento delle transazioni e-commerce o, come detto prima, il remarketing dinamico di Analytics (soluzione da valutare, soprattutto per gli elevati costi di attivazione).

Attualmente il mondo del digital marketing sta attraversando un momento di grande incertezza, tanto tecnica quanto normativa, nel corso del quale sta cercando, visto il silenzio dell’Autorità, di adottare le soluzioni apparentemente più congrue per assicurare il rispetto della normativa italiana ed europea. Noi di Cucinotta Designer siamo a disposizione per offrire altre informazioni in merito e per una consulenza personalizzata, analizzando nel caso specifico la migliore soluzione per le vostre esigenze.

Questo elemento è stato inserito in Blog. Aggiungilo ai segnalibri.

Vuoi realizzare anche tu un progetto vincente?

Contattaci per una consulenza o per avere maggiori informazioni.
La tua richiesta sarà gestita entro le 24/48 ore. Tutti i campi contrassegnati con * sono obbligatori.