Con provvedimento del 9 giugno il Garante privacy italiano si allinea ad altri stati Europei nell’ affermare che chi utilizza il servizio di Google Analytics senza adottare le misure di sicurezza previste dal GDPR per il trasferimento dei Dati all’estero , viola la normativa sulla protezione dei dati personali.
Il caso specifico
E’ importante chiarire innanzitutto che il caso da cui è scaturito questo provvedimento presentava una serie di incongruità rispetto a quanto prescritto dal GDPR:
- Non era stata attivata la richiesta di consenso all’installazione dei cookie identificativi
- I cookie di analytics non prevedevano l’anonimizzazione dell’IP
- La policy del sito non indicava che i dati venivano trasferiti all’estero
Nel formulare il provvedimento il Garante ha però ampliato la disamina sui cookie di Google ,anche quelli cosiddetti anonimizzati, e ne emerge che anche in questo secondo caso non ci sono i presupposti per utilizzare analytics se non ricorrendo ad altri strumenti previsti dal GDPR (consenso dell’interessato, clausole contrattuali, ecc) in quanto l’utilizzo di analytics di per sè si configura come trasferimento di dati all’estero.
Perchè GA è considerato non conforme?
La considerazione di partenza risiede nel fatto che i cookie di Google Analytics vengono raccolti e gestiti su piattaforme americane, trasferimento per il quale è ora necessario il consenso esplicito e consapevole dell’interessato o altri accorgimenti previsti dal GDPR. Sotto queste categorie di cookie rientrano:
- identificatori, che permettono di risalire
- al browser
- al device utilizzato dal visitatore
- al gestore del sito
- indirizzo del sito
- nome del sito
- dati di navigazione
- indirizzo IP dell’utente
- informazioni su sistema operativo, browser, risoluzione schermo, lingua scelta
- data e ora della visita al sito.
Ad aggravare il problema si aggiunga che , se l’utente è loggato col suo account Google, gli potranno essere associate anche le seguenti informazioni:
- l’indirizzo e-mail
- il numero di telefono
- dati anagrafici come la data di nascita
- la propria immagine del profilo
E se ho attivato l’anonimizzazione degli indirizzi IP?
Il Garante precisa che l’“IP-Anonymization” di fatto permette comunque a Google di identificare l’utente, in quanto il troncamento dell’ultimo ottetto di cifre che costituiscono l’IP non impedisce a Google LLC , attraverso la combinazione di tutte le altre informazioni di cui dispone, di re-identificare l’utente medesimo.
In realtà quindi questo accorgimento prevede una Pseudonomizzazione e non un una Anonimizzazione vera e propria dell’utente e pertanto non è di per sè sufficiente a tutelare l’interessato.
Cosa fare ora
La situazione resta profondamente confusa. La strada tutt’altro che banale proposta dal Garante è di utilizzare strumenti analitici che non prevedano il trasferimento dei dati all’estero, quindi piattaforme europee.
Nel frattempo Google ha reso noto che sta per lanciare il Google Analytics 4 che risolverà a monte tutti i problemi, nella speranza che questa affermazione non venga poi smentita da qualche Garante Europeo.
Nel frattempo le aziende è opportuno che:
- allertino prontamente il loro gestore web al fine di installare quanto prima la nuova versione di Analytics o si facciano suggerire strumenti alternativi utili allo stesso scopo
- verifichino la coerenza della cookie policy con i cookie effettivamente installati e richiedano tutti gli opportuni consensi ( a questo punto anche per gli analytics “anonimizzati”)
- Allineino la policy privacy specificando che, ove fosse prestato il consenso all’installazione dei cookie analitici, questi verranno trattati all’estero.
Lascia un commento