A seguito del divieto di utilizzo di Google Analytics 3 e conseguente migrazione di massa su Google Analytics 4 (GA4) , l’autorità di controllo danese ha fatto una analisi dettagliata anche su questo strumento, mirata a fornire una risposta esauriente e condivisa in merito al suo utilizzo. Purtroppo l’Autorità danese è giunta alla conclusione che GA 4, nonostante le impostazioni aggiuntive messe a disposizione da Google per garantire una maggior tutela nel trattamento dei dati, resta ancora uno strumento che non può essere utilizzato legalmente senza dover ricorrere a misure aggiuntive.
Su quali punti si basa questa conclusione?
1- Al momento non è stata prevista una conservazione dei dati raccolti da Analytics che non sia in America.
2- Analytics funziona assegnando un identificatore univoco al visitatore del sito e raccoglie metadati abbinati a quell’utente. La condivisione di questi dati con Google avviene avviene tramite gli strumenti di Data Sharing e Google Signals che possono essere disattivati nella versione 4. Tuttavia l’identificatore coi suoi metadati continuano ad essere raccolti e rendono quindi possibile identificare l’individuo presente all’interno di un gruppo
3- Analytics, configurato senza l’uso di dati personali, è lecito , ma va attentamente documentato e supportato da evidenze che dimostrino che effettivamente nessun dato personale viene raccolto (cosa che sembra piuttosto ardua)
4- La c.d. “anonimizzazione” (in realtà, pseudonimizzazione) dell’IP dichiarata da Google sui dati utente, non è affatto chiaro se avvenga prima o dopo il trasferimento negli USA. Secondo l’autorità danese, è possibile che avvenga dopo il trasferimento, configurando la violazione. Circa GA4, l’autorità aggiunge che sebbene Google dichiari di usare l’IP solo per determinare la posizione approssimativa dell’utente e poi scartarlo, tecnicamente ciò comporta comunque una “chiamata” ai server USA per accertare tale posizione e una conseguente raccolta di dati cui l’autorità americana potrebbe avere accesso.
5- Anche se Google adottasse dei protocolli di cifratura, le chiavi di crittografia sarebbero comunque in suo possesso , vanificando di fatto questa misura in quanto le autorità potrebbero pretendere l’accesso ai dati e alle chiavi di cifratura
6- Il solo fatto che vi sia la possibilità che le autorità americane possano avere accesso ai dati raccolti da Google Analytics è ragione sufficiente a considerare illegale il trasferimento, che è indipendente da una valutazione del rischio a questo collegato
7- Non è possibile ricorrere al consenso dell’interessato per il trasferimento dei dati perchè , oltre a dover essere supportato da dettagliata informativa, questo criterio è ammissibile solo per trattamenti occasionali.
8- Google non è stata in grado di fornire chiare e inconfutabili evidenze in merito alla sua affermazione di non aver mai ricevuto alcuna richiesta di accesso ai dati di Analytics da parte dell’autorità americana nei 15 anni di esistenza di Analytics
Cosa fare quindi?
Al momento non è possibile escludere che i Garanti Nazionali, a fronte di queste indicazioni , procedano con l’applicazione di sanzioni anche nei confronti di chi utilizza Google Anlytics 4. La speranza è che USA e UE trovino presto un accordo che possa far tornare lecito il trasferimento dei dati tra UE e USA. Ma le tempistiche sembrano lunghe. Pertanto, se si vuole stare davvero tranquilli, è opportuno iniziare a guardarsi in giro per uno strumento Europeo.
Lascia un commento