Google Analytics è di gran lunga lo strumento di analisi più popolare sul mercato. Consente di analizzare il traffico di un sito Web raccogliendo dati preziosi sul comportamento degli utenti e soprattutto è gratuito. Siamo proprio sicuri che Google Analytics sia conforme al GDPR?
Google Analytics e la sua società madre, Google LLC, sono da tempo sul radar degli attivisti europei per la protezione dei dati personali. Negli ultimi anni, abbiamo sentito segnalazioni di pratiche sulla privacy discutibili da parte di Google, che hanno portato ad azioni legali basate sul GDPR. Ciò include le denunce presentate da organizzazioni di attivisti come la NYOB austriaca e la Fondazione Panoptykon in Polonia.
Google è stata anche colpita con multe multimilionarie da diverse autorità europee per la protezione dei dati, tra cui la francese CNIL , la svedese IMY e la belga APD .
Allo stesso tempo, l’ormai famosa sentenza Schrems II della Corte di giustizia dell’Unione europea (CGUE) e l’annullamento del Privacy Shield hanno attirato l’attenzione su piattaforme come Google Analytics che archiviano i dati dei residenti nell’UE su server cloud con sede negli Stati Uniti.
Finora, la risposta alla domanda “ Google Analytics è conforme al GDPR? ” è rimasta ambigua. Alcune organizzazioni con sede nell’UE sono state allarmate dalle controversie su Google Analytics e si sono rivolte a alternative più rispettose della privacy. Altri hanno continuato a utilizzare lo strumento.
La recente decisione dell’autorità austriaca per la protezione dei dati fornisce risposte più precise. Secondo il DSB, l’ uso di Google Analytics costituisce una violazione del GDPR . È possibile che presto altre autorità europee seguano l’esempio del DSB. Ciò potrebbe comportare il divieto totale di Google Analytics in Europa.
Di seguito quindi cercheremo di analizzare questa decisione del garante austriaco e le conseguenze che ci saranno per le aziende che gestiscono i dati dei residenti nell’UE. Presenteremo anche i passi intrapresi da Google Analytics verso la conformità al GDPR, nonché alcuni problemi irrisolti con la piattaforma.
Google Analytics e compliance vs il GDPR: 5 modifiche del prodotto
Innanzitutto, sintetizziamo le modifiche apportate da Google volte a soddisfare gli standard GDPR. L’elenco delle nuove funzionalità e modifiche include:
1) Meccanismo di cancellazione dei dati – In Google Analytics, puoi cancellare le informazioni sui visitatori se lo richiedono. Detto questo, questa funzionalità funziona solo per categorie complete di dati come titoli di tutte le pagine, etichette di eventi, categorie di eventi, azioni di eventi, dimensioni personalizzate o ID utente che hai raccolto in un determinato intervallo di tempo. Per eliminare i dati in base a un particolare cookie o ID utente è necessario utilizzare l’ API di eliminazione degli utenti di Google Analytics , che richiede alcune abilità di coding.
2) Impostazioni di conservazione dei dati : Google ha introdotto le impostazioni di conservazione dei dati. Ciò consente di controllare per quanto tempo i dati dei singoli utenti vengono archiviati prima di essere eliminati automaticamente. L’impostazione predefinita è 26 mesi.
3) Nuova privacy policy – Google ha inserito nel contratto standard anche i nuovi termini GDPR , dove si definisce “responsabile del trattamento” rispetto ad Analytics e Analytics 360.
4) Termini di elaborazione dei dati aggiornati : Google ha apportato modifiche significative ai termini di elaborazione dei dati. Questi termini fungono anche da accordo sul trattamento dei dati . Il nuovo documento elenca le tue responsabilità, come informare e ottenere un valido consenso dai residenti europei. Inoltre, Google si affida alle clausole contrattuali standard (SCC) per garantire la sicurezza dei suoi trasferimenti di dati transfrontalieri.
5) Strumenti esistenti che aiutano a conformarsi al GDPR : Google Analytics ricorda inoltre agli utenti tutte le impostazioni sulla privacy che sono già disponibili nei loro account. Queste impostazioni riguardano i cookie, la condivisione dei dati, i controlli sulla privacy, l’eliminazione dei dati alla chiusura dell’account e l’anonimizzazione dell’IP.
Queste modifiche, insieme a innumerevoli guide su come rendere Google Analytics conforme al GDPR, hanno creato l’impressione che sia possibile utilizzare la piattaforma senza violare il diritto dell’UE. Ma la realtà non è proprio così “trasparente” per i proprietari di siti Web che utilizzano Google Analytics.
Google Analytics e GDPR: come la piattaforma viola il diritto UE
Il principale problema di conformità con Google Analytics deriva dal fatto che archivia i dati degli utenti, comprese le informazioni sui residenti nell’UE, su server cloud con sede negli Stati Uniti. Inoltre, Google LLC è una società di proprietà degli Stati Uniti ed è quindi soggetta alle leggi sulla sorveglianza degli Stati Uniti, come il Cloud Act.
Perché questo è un problema?
Nel luglio 2020, la Corte di giustizia dell’Unione europea (CGUE) ha invalidato il quadro dello scudo per la privacy , che stabilisce le regole per il trasferimento di dati tra l’UE e gli Stati Uniti. Nella sentenza nota come Schrems II, la corte europea ha stabilito che l’invio di dati personali dall’UE agli Stati Uniti è illegale se le aziende non possono garantire che questi dati saranno al sicuro dall’intelligence statunitense.
In assenza di un accordo di adeguatezza, alcune società, tra cui Google, hanno fatto ricorso a clausole contrattuali standard (SCC) come mezzo per salvaguardare i dati inviati negli Stati Uniti.
Dopo il verdetto, l’organizzazione di sorveglianza della privacy NYOB ha presentato 101 reclami contro società che raccolgono dati sui visitatori con Google Analytics e Facebook Connect. L’elenco delle società denunciate comprende imprese di diversi settori, con una rappresentanza di spicco di editori e finanza.
Finora, le autorità per la protezione dei dati hanno valutato un solo reclamo. Il 12 gennaio 2022, il DSB austriaco ha emesso la sua sentenza nel caso di un editore web tedesco “anonimo”. L’autorità di regolamentazione ha dichiarato che l’utilizzo di Google Analytics per raccogliere i dati dei residenti nell’UE è illegale ai sensi del GDPR .
Secondo il DSB, è possibile collegare le informazioni raccolte con Google Analytics a una persona fisica. Allo stesso tempo, gli SCC introdotti da Google non possono proteggere i dati dei residenti nell’UE dalla sorveglianza del governo degli Stati Uniti. Per questo motivo, le organizzazioni che raccolgono dati analitici sui residenti nell’UE non dovrebbero utilizzare Google Analytics .
Non sappiamo ancora come reagiranno le altre autorità per la protezione dei dati agli altri 100 reclami. Ma almeno alcuni di loro potrebbero seguire le orme del DSB. Ecco perché:
- L’autorità olandese per la protezione dei dati, che aveva rilasciato una guida su come utilizzare Google Analytics in modo rispettoso della privacy, ha di recente dichiarato che l’utilizzo di Google Analytics “potrebbe non essere consentito”.
- L’autorità norvegese per la protezione dei dati , il GEPD, ha rilasciato un parere simile a quello emesso dal collega olandese.
Sebbene la decisione menzionasse solo Google Analytics, interesserà tutte le piattaforme che archiviano i dati su server di proprietà degli Stati Uniti. Ma è possibile che le aziende, affidandosi ad altri prodotti di analisi, siano in grado di mitigare i propri rischi. Una delle opzioni è introdurre misure di sicurezza che impediscano alle agenzie di intelligence statunitensi di accedere ai dati degli utenti ai sensi del Cloud Act.
Nella seconda parte dell’articolo andremo a scoprire le carte per sapere finalmente se Google Analytics è conforme al GDPR!