Il problema non è Google Analytics, ma come lo utilizzi

29 giugno 2022Ultimo aggiornamento 29 febbraio 2024
Tempo di lettura stimato: 3'
I Titolari che sul proprio sito web utilizzano il servizio Google Analytics (GA), senza le garanzie previste dal Regolamento UE, violano la normativa sulla protezione dei dati in riferimento al trasferimento negli Stati Uniti, paese privo di un adeguato livello di protezione, dei dati degli utenti. È questo quanto affermato dal Garante per la privacy nel provvedimento che ha destato scalpore in questi ultimi giorni. 

Perché questo provvedimento non ci dice nulla di nuovo?

Come già sappiamo, a seguito dell’invalidità del Privacy Shield, il trasferimento dei dati negli Stati Uniti è possibile solo se sono assicurate misure adeguate alla protezione dei dati o se è stato dato previo consenso da parte dell’interessato, così come stabilito dalle linee guida del Garante (EDPB). 

Nel caso riguardante Caffeina Media srl l’autorità ha stabilito che il trasferimento extra UE violava i principi del GDPR, addossando al titolare la colpa di non essersi assicurato che il responsabile esterno adottasse tutte le misure idonee ad assicurare la sicurezza dei dati trasferiti. Va precisato che non è Google Analytics in generale l'oggetto dell'indagine ma la possibilità da parte della versione utilizzata in quel momento di raccogliere e trasferire dati personali, come l'IP, verso gli Stati Uniti, anche nel momento in cui si attivi la funzione IP-Anonymization.

Chiaramente, l’obbligo di vigilare sulla sicurezza del trasferimento grava su coloro ai quali è riconosciuta la titolarità dei dati raccolti, ovvero nei confronti di coloro che hanno la disponibilità dei dati non anonimizzati e che definiscono le finalità del trattamento. Per tutti i casi in cui, invece, Google opera in veste di Terza parte su un sito, sul Titolare ricade esclusivamente l’obbligo di dichiararlo all’interno della propria informativa estesa. 

Purtroppo nei Termini di utilizzo del servizio Analytics di Google la stessa si dichiara Responsabile al trattamento, va da sé quindi che l’obbligo di vigilare ricada in capo al titolare.

Pseudo-anonimizzazione dei dati di Google Analytics

Google Analytics, nelle sue versioni meno recenti, aveva introdotto lo strumento chiamato impropriamente “IP-Anonymization” per ovviare alle problematiche derivanti dal GDPR. Tuttavia, seppur oscurando l’ottetto meno significativo dell’indirizzo IP dell’utente, rendendolo virtualmente anonimo, lo strumento non risultava essere ancora sufficiente per raggiungere il suo scopo. Il Garante ha infatti detto che, anche se l’azienda ammonita avesse attivato questa opzione, cosa che non ha fatto, questo comportamento non sarebbe stato sufficiente per garantire l’anonimizzazione dei dati raccolti. 

Il problema sostanziale è che questa funzione non consente un’effettiva anonimizzazione delle informazioni, ma una sua mera pseudo-anonimizzazione. Il troncamento dell’ultimo ottetto, infatti, non impedisce a Google LLC di re-identificare l’utente medesimo, tenuto conto delle informazioni complessivamente detenute dalla stessa relative agli utenti del web.

Questa precisazione di fatto smentisce in parte ed ingarbuglia le indicazioni date dall’Autorità stessa su come poter anonimizzare gli indirizzi IP indicate nelle linee guida pubblicate il 9 Luglio 2021.

Il problema non è Google Analytics, ma come usarlo a norma

Sulla base di quanto premesso, i principi stabiliti dalla normativa vigente in materia di protezione dei dati personali e dalle linee guida del garante in termini di trasferimento dei dati rimangono pienamente validi: qualora lo strumento di Analitycs, ad esempio l’ultima versione GA4,  fosse in grado di rendere possibile la completa anonimizzazione dei dati e la loro visualizzazione in forma aggregata, che impedisca anche al fornitore stesso del servizio di ricollegarli all’utente, il problema verrebbe meno.

In più, a tutela del Titolare del trattamento, gli strumenti utilizzati per la gestione dei cookies sul proprio sito web dovrebbero permettere all’utente di gestire i consensi in modo separato, dandogli la possibilità di esplicitare il consenso specifico al trasferimento dei propri dati al di fuori dell’UE, come fa ad esempio Elmo, il nuovo tool di PrivacyLab

Partendo da questi presupposti, il trasferimento non è sempre vietato. Resta la possibilità, da parte dei Titolari, di trasferire i dati raccolti in paesi Extra Ue, anche per finalità di marketing e profilazione, qualora il trattamento sia supportato da idonee garanzie o da un consenso specifico dell’interessato.

Tirando le fila del discorso si potrebbe dire quindi che le mancanze dell’azienda ammonita sono state sicuramente molteplici e di diversa natura, come la dichiarazione di titolarità e la scelta di utilizzare una versione gratuita e non aggiornata di Google Analytics, mancanze che hanno portato le autorità ad intervenire. Allo stesso modo, però, si potrebbe affermare che la posizione assunta dal Garante privacy italiano non intende attaccare in modo assoluto l’utilizzo dello strumento di analytics, ma ne richiede un utilizzo conforme al GDPR.
RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.

Biografia dell'autore

Andrea Chiozzi è nato a Reggio Emilia il 4 Agosto del 1969, reggiano “testaquadra” DOC come il lambrusco, ed è sposato con Luisa che lo sopporta da più di vent’anni.
Imprenditore e consulente, da più di 12 anni è l’Evangelist del GDPR.

Attività professionali:
Andrea Chiozzi è il fondatore di PRIVACYLAB, per la gestione avanzata delle attività legate alla compliance per il Regolamento Europeo 679/2016.
Esperto di GDPR e protezione dei dati personali (soprattutto nelle aree più problematiche quali il marketing digitale e i social network, il digital advertising, l’Internet of Things, i Big Data, il cloud computing),
Andrea presta consulenza per la media e la grande industria italiana e si occupa di organizzare e condurre i consulenti aziendali ad un approccio ottimizzato alla gestione della Compliance GDPR.
È ideatore del sistema Privacylab e della metodologia applicata ai consulenti certificati GDPR. 
Nel 2003 dà vita alla figura di “Privacy Evangelist” e comincia a girare l’Italia come relatore in vari convegni e corsi in tema di protezione dei dati personali arrivando a evangelizzare più di 10.000 persone.

È commissario d’esame per:

UNICERT per lo schema DSC_12/30 per Consulenti Certificati GDPR
TÜV dello schema CDP_ 201 Privacy Officer, Bureau Veritas
CEPAS Bureau Veritas DATA PROTECTION OFFICER per lo schema SCH73 norma Uni 11697:2017 (Accredia) 
ACS ITALIA DATA PROTECTION OFFICER per lo schema SCH01 norma Uni 11697:2017 (Accredia)
UNIVERSAL Gmbh DAKKS per lo schema ISO/IEC 17024:2012 "DATA PROTECTION OFFICER"

E' certificato con:
Unicert come "Consulente Certificato GDPR" n. 18203RE22
TÜV come “Privacy Officer e Consulente Privacy” n. CDP_196.
Cepas Bureau Veritas "Data protection Officer" n. DPO0206
UNICERT DAKKS " Data Protection Officer" n. DPO 0818 010012

Fa parte del Comitato Scientifico Privacy di Torino Wireless, GDPR Academy e di Agile DPO .

Le categorie

Gli argomenti dei nostri articoli

La guida di PrivacyLab

Per orientarti tra i nostri articoli

Resta informato su quello che succede.

Lasciaci la tua email e riceverai le nostre comunicazioni informative e commerciali

informativa sulla privacy