Google Analytics e GDPR, facciamo chiarezza

È di qualche settimana fa la notizia che il Garante della Privacy ha pubblicato il risultato di un’istruttoria partita da una segnalazione su un sito web, che dà all’azienda titolare del sito 90 giorni di tempo per sanare alcune violazioni. In particolare, il problema che è emerso riguarda il trasferimento negli USA dei dati personali degli utenti raccolti dal sito web per il tracciamento di Google Analytics.

Immediatamente si è generato il panico nel mondo dei siti web italiani, che utilizzano quasi tutti Google Analytics per l’analisi delle proprie metriche. La notizia è stata letta dalla stampa generalista come una vera e propria messa al bando di Google Analytics, pena le pesanti sanzioni legate al mancato rispetto della normativa europea in materia di protezione dei dati (GDPR). È certo che il 23 giugno – data della pubblicazione del documento del Garante – potrebbe segnare un bel punto di svolta per l’annosa questione del trattamento dei dati in Unione Europea e negli USA.

Facciamo un passo indietro e cerchiamo di capire perché non è necessario uno stop immediato del tracciamento con Google Analytics, come molti temono.

Che cosa è successo

Tutto è partito da una serie di reclami e segnalazioni sul sito web in questione, che hanno dato origine ad un’istruttoria del Garante per la Privacy da cui è emersa una criticità: i dati raccolti mediante cookie da parte del gestore del sito che utilizzava Google Analytics erano stati oggetto di trasferimento negli USA. Tra questi, in particolare, l’indirizzo IP è considerato un dato personale che, secondo la normativa oggi in vigore nell’unione europea non può essere trasferito in quanto nei due Paesi non esiste lo stesso livello di tutela per l’utente. Il garante ha quindi ammonito il gestore del sito web, ingiungendogli di adeguarsi entro 90 giorni.

Qual è il problema

Dall’istruttoria è emerso che un sito web che utilizza Google Analytics viola la legge sulla protezione dei dati perché trasferisce i dati degli utenti negli Stati Uniti, un paese senza un livello adeguato di protezione dei dati. Benché la sede di Google si trovi in Irlanda, infatti, Google è un’azienda americana e Google Analytics presuppone un trasferimento di dati personali – dati che possono identificare l’utente di un sito proprio come l’indirizzo IP- dall’Europa agli Stati Uniti qualora le agenzie d’intelligence lo richiedano.

In breve, Google Analytics raccoglie dati che possono condurre all’identità dell’utente e li trasferisce negli USA, ma il trasferimento di dati personali negli USA è vietato dalla legislazione europea sulla privacy. Questo problema riguarda potenzialmente tutti i siti europei che utilizzano Google Analytics.

condivisione_dati

Però...

La sentenza dei 90 giorni riguarda uno specifico sito, non il tuo o tutti gli altri siti web. Benché le condizioni che hanno originato la sentenza siano comuni a tutti i siti che usano GA, la sentenza si applica solo al sito che ha ricevuto l’ingiunzione del Garante. Al momento è l’unico ad avere 90 giorni di tempo per adeguarsi. Il Garante, infatti, agisce sulla base di segnalazioni, che si applicano quindi a casistiche specifiche. Non significa che non ci sia “un elefante nella stanza”: si dovrà trovare una soluzione, ma c’è ancora un po’ di tempo. Non c’è quindi un rischio immediato di incorrere in sanzioni per l’utilizzo di GA.

Qual è la soluzione definitiva?

Bella domanda, ma non ci sono risposte certe. Le soluzioni sono al vaglio degli esperti del mondo web. La speranza di tutti è che nei prossimi 90 giorni intervenga “un accordo giuridicamente vincolante” tra Europa e Stati Uniti “per uniformare l’allineamento americano a quello comunitario”, quindi una soluzione politica del problema che, come evidenzia Guido Scorza, Componente del Garante per la protezione dei dati personali, è l’unico modo per risolvere a monte la questione. Se ciò non avverrà, è abbastanza chiaro che provvedimenti di blocco analoghi a quello del 23 giugno si moltiplicheranno, con effetti di grande portata sul mondo del digital.

E ora la soluzione pratica…

Allo stato attuale esiste una modalità di utilizzo di Google Analytics su cui si possano applicare le garanzie legate al trattamento dei dati? Stando a quanto sancito dal Garante non per Google Analytics Universal. Tuttavia, Google ha introdotto un nuovo sistema di tracciamento dati chiamato Google Analytics 4, che andrà progressivamente a sostituire la precedente piattaforma. Dal 1° luglio 2023 Google Analytics Universal smetterà di raccogliere ed elaborare nuovi dati e a partire dal 1° gennaio 2024 non si potrà più accedere alla vecchia piattaforma. Attualmente il passaggio a Google Analytics 4 si configura come una possibile soluzione pratica al problema di un tracciamento che rispetti le linee guida europee, ma la questione è ancora aperta in quanto sarà necessario che il Garante effettui ulteriori verifiche atte a garantire la piena adeguatezza di questo nuovo sistema.

Seguici per ulteriori aggiornamenti sull’evolversi della questione!

Copywriter dal 2015 o forse da una vita precedente, divoratrice di libri e affascinata dalle parole, in qualunque lingua. Vive la vita un'ansia alla volta, con una penna in mano come amuleto contro la noia.