
Google Analytics: i provvedimenti del Garante Privacy
3 Ottobre 2022
Le violazioni sollevate dall’Autorità
Google Analytics è uno strumento di web analytics, fornito da Google, ai gestori di siti internet che consente di analizzare dettagliate statistiche sugli utenti, nell’ottica di ottimizzare i servizi resi e di monitorare le proprie campagne di marketing.
Nel bimestre giugno-luglio 2022, diversi siti web – Caffeina Media S.r.l, IlMeteo S.r.l e Fastweb S.P.A – sono stati ammoniti dal Garante, per aver illecitamente trasferito dati personali di alcuni utenti verso gli Stati Uniti, in assenza delle garanzie previste dal Capo V, del GDPR.
Le presunte violazioni del Regolamento Europeo 679/2016, accertate poi nel corso dell’istruttoria riguardano: l’art. 5, par. 1, lett. a)[1]e par. 2[2], l’art. 13, l’art. 24 nonché, come poc’anzi accennato, gli artt. 44 e 46, par. 2, lett. c)..
Nei casi in esame, le società agiscono in qualità di titolare del trattamento e designano Google responsabile, ai sensi dell’art. 28 del GDPR, sulla base dei “Google Analytics Terms of Service” e dei “Google Ads Data Processing Terms”.
Nei casi di Caffeina e IlMeteo, la versione utilizzata di Google Analytics era quella “free” che, secondo le memorie difensive presentate dalle stesse, non permetterebbe la visibilità del dettaglio dei dati raccolti, né può precisamente descriverne le tipologie. Le società hanno scelto di avvalersene poiché Google afferma di trattare soltanto dati pseudonimi: dati relativi al dispositivo/browser, indirizzo IP e attività svolta sul sito.
Fastweb S.p.A, invece, si è avvalsa di Google Analytics 360, versione a pagamento, che permette attraverso i cookie trasmessi al browser dell’utente, di raccogliere informazioni su come gli utenti del sito interagiscono con le singole pagine e con i servizi proposti, oltre ad informazioni di tipo personalizzato (custom).
Con riferimento all’indirizzo IP, le società hanno utilizzato la funzione denominata, IP-Anonymization, per permettere la soppressione dell’ultimo byte dell’indirizzo IPV4 – e/o degli ultimi 80 bit dell’indirizzo IPv6 – dell’utente.
Nel provvedimento n. 254 del 21 luglio 2022, si legge “l’indirizzo IP del client viene trasmesso sempre e integralmente a Google non oscurato direttamente dal browser dell’utente”, di conseguenza, “l’informazione diviene oggetto di pseudonimizzazione non appena è tecnicamente possibile, nel caso in cui il gestore abbia impostato tale funzionalità”. Inoltre, non è possibile escludere che i dati pseudonimizzati possano essere associati ad ulteriori dati in possesso di Google LLC in modo da procedere alla successiva identificazione degli interessati.
Ad oggi, il trasferimento di dati personali verso Google LLC è realizzato per il tramite delle Clausole contrattuali standard (decisione n. 2010/87/CE) ma, ciò non esula le società dal verificare, caso per caso (in collaborazione con l’importatore), se la legge del paese terzo possa incidere sull’efficacia delle garanzie adeguate contenute nelle SCCs. Inoltre, la valutazione deve essere basata su fattori oggettivi, indipendentemente dalla probabilità di accesso ai dati personali.
L’ambiguità delle Autorità statunitensi
Un ulteriore questione riguarda l’accesso ai dati personali per motivi di sicurezza nazionale, da parte dello Stato americano, ai sensi dell’art. 702 della FISA e dell’Executive Order (EO) 12333, bypassando il diritto alla riservatezza dei dati. A seguito di accertamenti, si è rilevato come la legislazione e le prassi del paese terzo non forniscano garanzie equivalenti a quelle previste dal Reg Ue 679/2016. Motivo per cui gli esportatori debbano adottare misure supplementari ritenute, però, nel caso di specie, insufficienti a garantire il livello di riservatezza del dato. In particolare, i meccanismi di cifratura dei dati sono stati ritenuti insufficienti ad evitare rischi di accesso ai dati trasferiti poiché la chiave di cifratura si trova nelle mani di Google LLC e, quest’ultima può decidere di rendere accessibile alle Autorità di difesa e di intelligence statunitensi, i dati personali importati nonché le eventuali chiavi crittografiche necessarie per renderli intelligibili.
La decisione del Garante
A conclusione delle tre istruttorie, il Garante:
- Dichiara l’illiceità del trattamento dei dati personali degli utenti del sito per il tramite di Google Analytics, per violazione degli artt. 44 e 46 Reg Ue 679/2016.
- Prescrive al Titolare di conformare il trattamento al Capo V del GDPR entro 90 giorni dalla notifica del provvedimento e chiede di adottare misure supplementari adeguate;
- Ordina la sospensione dei flussi verso Google LLC US
Le prospettive prossime e future: “guardarsi attorno”
È di luglio u.s. la dichiarazione rilasciata da Guido Scorza ove comunica alle aziende di esplorare nuovi orizzonti. Attività ardua per le piccole e medie aziende italiane che, in una situazione geopolitica estremamente difficoltosa, dovrebbero adottare soluzioni, in assenza di un provvedimento che ponga chiarezza ed uniformità.
Noi di Mondo Privacy abbiamo analizzato il neonato GA4 che presenta luci ed ombre, soprattutto a seguito della dichiarazione rilasciata dall’Autorità danese secondo cui sembrerebbe esserci una “chiamata” ai server statunitensi.
Inoltre, la CNIL (Autorità garante francese) fornisce il seguente elenco di software alternativi:
- Analytics Suite Delta di AT;
- SmartProfile di Net Solution Partner;
- Wysistat Business di Wysistat;
- Abla Analytics di Astra Porta;
- Beyable Analytics di Beyable;
- Etracker Analytics (Basic, Pro, Enterprise) di etracker;
- Web Audience di Retency;
- Nonli;
- CS Digital di Contentsquare;
- Wizaly di Wizaly SAS;
- Compass di Marfeel Solutions;
- Statshop di Web2Roi;
- Eulerian di Eulerian Technologies;
- Thank-You Marketing Analytics di Thank-You;
- eStat Streaming di Médiamétrie;
- TrustCommander di Commanders Act.3
(fonte: https://www.cnil.fr/fr/cookies-et-autres-traceurs/regles/cookies-solutions-pour-les-outils-de-mesure-daudience)
E in Italia?
In Italia, si sente molto parlare del passaggio a Matomo che può essere configurato, a pagamento, in modalità cloud (i server sono collocati in Germania) oppure, gratuitamente, on premise.
A differenza di GA4, Matomo non effettua analisi a campione, permettendo alle aziende quali titolari del trattamento di avere il pieno possesso del ciclo di vita dei dati personali trattati in quanto non vi è cessione di dati a Paesi terzi e le configurazioni sono gestite autonomamente.
Infine, negli ultimi giorni, si mormora sempre più che la Casa Bianca stia per adottare un ordine esecutivo sui trasferimenti di dati transatlantici…
[1] I dati personali sono: a) trattati in modo lecito, corretto e trasparente nei confronti dell’interessato («liceità, correttezza e trasparenza»);
[2] Il titolare del trattamento è competente per il rispetto del paragrafo 1 e in grado di comprovarlo («responsabilizzazione»).