Il Garante Privacy dice stop a Google Analytics
I Garanti privacy austriaci e francesi, hanno pronunciato insieme al Garante Privacy italiano in materia sull'uso di Google Analytcs.
Le Autorità si sono espresse nel senso di vietare l'uso di Google Analytics sui siti web.
Per quale motivo Google Analytics è stata dichiarato "illegale"?
Indice
- Tutto parte da un reclamo di un utente
- La difesa del gestore del sito web
- Google Analytics Trasferisce dati personali verso gli Stati Uniti
- Google Analytics e l'opzione di anonimizzazione
- Trasferimento di dati personali in USA non lecito
- Misure supplementari se sufficienti
- Google Analytics recita nella sezione Privacy
- Cosa significa questo in termini pratici e qual è la normativa applicabile?
- Le conclusioni del Garante Privacy sull'uso di Google Analytics
- Google GA4 una soluzione futura
Trasferimento di dati personali verso Google LLC che non rispecchiano le garanzie previste dal GDPR.
Tutto parte da un reclamo di un utente.
Il 17 agosto 2020 un utente che utilizzava il sito www.caffeinamagazine.it gestito dalla società Caffeina Media srl emette un reclamo segnalandolo al Garante delle Privacy in cui scopre che il sito avrebbe trasferito a Google LLC, con sede negli Stati Uniti, i dati personali che lo riguardano.
Tale trasferimento sarebbe avvenuto in assenza delle garanzie previste dal GDPR.
La difesa del gestore del sito web
l sito magazine avrebbe presentato le seguenti argomentazioni a difesa del reclamo:
- la società “non ha né visibilità del dettaglio dei dati raccolti, né può precisamente descriverne le tipologie” e ha scelto di avvalersi di Google Analytics anche perché Google afferma di trattare soltanto dati pseudonimi e su base cookie;
- il trattamento dei dati personali degli utenti del sito è posto in essere dalla società per il tramite di Google Analytics nella sua “versione gratuita”;
- la società srl è vincolata al testo contrattuale di Google Analytics approvato nella stessa piattaforma e come si evince dalla documentazione Google agisce in qualità di responsabile del trattamento dei dati raccolti tramite Google Analytics;
- il trasferimento dei dati verso Google LLC è posto in essere tramite delle Clausole contrattuali standard che corrispondono allo schema adottato il 5 febbraio 2010 dalla Commissione europea con decisione n. 2010/87/UE;
- tali clausole sono state integrate dalle misure supplementari adottate da Google, rispetto alle quali la Società non ha “alcuna possibilità di verificare l’implementazione a livello tecnico (..), ovvero di impartire specifiche istruzioni sull'effettiva implementazione delle stesse;
- nell'ambito dei servizi offerti tramite Google Analytics, la società non ha aderito all'opzione di condivisione dei dati, con opzione "data sharing option";
- in ordine al contestato trasferimento verso Google LLC dei dati relativi al reclamante, la società “non ha particolare autonomia nell'utilizzo dello strumento Google Analytics, ivi inclusa la possibilità di sapere se i dati del reclamante sono stati effettivamente trasferiti verso paesi terzi”;
- la società si avvale del servizio automatico della società Iubenda s.r.l. per la gestione dell’informativa privacy e dell’informativa cookie”.
Sicuramente molte delle argomentazioni difensive poste in essere dalla società gestore del sito, rappresentano probabilmente argomentazioni che avrebbe indicato qualsiasi altra azienda.
II Garante Privacy ha detto no all'uso di Google Analytics.
Google Analytics Trasferisce dati personali verso gli Stati Uniti.
Google Analytics è uno strumento di web analytics fornito da Google LLC in modo gratuito a siti web, ecommerce e APP, che consente a questi ultimi di analizzare in modo dettagliato statistiche sugli utenti con l'intento di fornire informazioni utili per la gestione del marketing sui diversi canali di acquisizione.
Anche il sito sopra citato, come molti altri, ha utilizzato Google Analytics nella sua versione gratuita per finalità statistiche.
Il Garante Privacy dopo un indagine ha rilevato che il sito ha raccolto, mediante cookies salvati sul browser degli utenti, informazioni in ordine alle modalità di interazione di questi ultimi con il sito web, nonché con le singole pagine e con i servizi proposti.
Nel provvedimento il Garante Privacy ricorda che l'indirizzo IP costituisce un dato personale se consente di identificare un dispositivo di comunicazione elettronica, rendendo pertanto indirettamente identificabile l’interessato in qualità di utente.
Tutto ciò soprattutto ove l'indirizzo IP sia associato ad altre informazioni relative all'utilizzo del browser utilizzato, con riferimento alla data e all'ora della navigazione.
Google Analytics e l'opzione di anonimizzazione
La piattaforma di Google Analytics mette a disposizione dei gestori dei siti web l’opzione all'interno del sistema di configurazione del tag html, la possibilità di “IP-Anonymization” che comporta l’invio a Google Analytics dell’indirizzo IP dell’utente con oscuramento dell’ottetto meno significativo.
La società ha dichiarato che la suddetta opzione, alla data della presentazione del reclamo, non era stata attivata indicando di aver aderito alla stessa solo successivamente.
Alla luce di quanto complessivamente rilevato, il Garante Privacy ha evidenziato che l’utilizzo di Google Analytics da parte dei siti web implica il trasferimento dei dati personali dei visitatori dei suddetti siti verso Google LLC con sede negli Stati Uniti.
Tali trasferimenti, in quanto effettuati verso un paese terzo che non garantisce un livello di protezione adeguato ai sensi della normativa di protezione dei dati (ossia gli Stati Uniti), devono essere posti in essere in conformità al Capo V del GDPR.
Trasferimenti di dati personali in USA non lecito
Il Garante ricorda che la Corte di Giustizia dell’Unione Europea, con la pronuncia del 16 luglio 2020 (c.d. Schrems II) ha:
- dichiarato invalida la decisione della Commissione UE n. 2016/1250 del 12 luglio 2016, sull'adeguatezza della protezione offerta dal regime dello scudo UE-USA per la privacy (c.d. Privacy Shield);
- ribadito la validità della decisione n. 2010/87/CE della Commissione del 5 febbraio 2010 concernente le clausole contrattuali tipo per il trasferimento di dati personali a responsabili stabiliti in paesi terzi – clausole adottate da Caffeina Media srl nel caso di specie (v. supra, par. 1);
- ha constatato che il diritto interno degli Stati Uniti comporta deroghe alla normativa in materia di protezione di dati che eccedono le restrizioni ritenute necessarie in una società democratica;
- puntualizzato che, in base al principio di accountability, i titolari del trattamento, in qualità di esportatori, sono comunque tenuti a verificare, caso per caso e, ove necessario, in collaborazione con l’importatore nel paese terzo, se la legge o la prassi di quest’ultimo incidano sull'efficacia delle garanzie adeguate contenute nelle predette clausole; ciò al fine di determinare se le garanzie previste dalle clausole contrattuali tipo possano essere rispettate nella pratica.
A seguito di un iter molto specifico e puntuale sulla normativa USA in materia di protezione dei dati personali degli utenti, il Garante Privacy ha riscontrato che negli USA non sussiste un livello di protezione dei dati adeguato in base agli standard europei imposti dal GDPR.
Misure supplementari se sufficienti
Nemmeno l'azione di misure supplementari ha impedito di sancire illiceità di Google Analytics.
In questo caso nemmeno la cifratura dei dati personali, sono sufficienti ad evitare i rischi di un accesso, ai fini di sicurezza nazionale, ai dati trasferiti dall'Unione europea da parte delle Autorità pubbliche degli Stati Uniti.
Le tecniche di cifratura adottate prevedono che la chiave di cifratura sia comunque in capo a Google LLC che la detiene, in qualità di importatore.
Google Analytics recita nella sezione Privacy
"L’Utente dovrà adottare e rispettare le norme sulla privacy corrispondenti e ottemperare a tutte le leggi, norme e regolamenti applicabili in materia di raccolta di informazioni dai Visitatori. L’Utente dovrà pubblicare norme sulla privacy che avvisino dell’utilizzo di cookie al fine di raccogliere dati. L’Utente deve rendere noto l’utilizzo di Google Analytics e le modalità con cui vengono raccolti ed elaborati i dati. . . . L’Utente metterà in atto misure commercialmente ragionevoli affinché ciascun Visitatore riceva informazioni chiare e complete in merito all’archiviazione e all'accesso dei cookie o altre informazioni sul dispositivo del Visitatore e fornisca il relativo consenso, laddove tale attività avvenga in relazione al Servizio e laddove la fornitura di tali informazioni e la raccolta del relativo consenso siano richiesti dalla legge."
Cosa significa questo in termini pratici e qual è la normativa applicabile?
Ecco cosa va fatto per rispettare che un sito web, un ecommerce o un APP che utilizza Google Analytics rispetti i termini di Google (e la legge):
- Crea una privacy policy giuridicamente conforme
- Assicurati che la privacy policy includa una clausola specifica per le attività di trattamento gestite tramite Google Analytics.
- Includi un’informativa sui cookie. Dai termini sopra esposti noterai che oltre al requisito generale dell’informativa sulla privacy, Google richiede che tu includa anche la notifica dell’uso dei cookie.
- Gestisci i cookie e il loro consenso in conformità con la legge. In genere questo significa informare gli utenti sull'uso dei cookie, ottenere il consenso e conservarne la prova. Una caratteristica di Analytics che può essere d’aiuto per ottenere il consenso è la funzione di anonimizzazione dell’IP (ma dovrai comunque informare in modo dettagliato gli utenti). Tieni presente che secondo il GDPR l’uso dei cookie può essere considerato un “controllo del comportamento”, anche quando si tratta di cookie statistici anonimi. Per impostazione predefinita si raccomanda quindi di bloccare i cookie prima di ottenere il consenso esplicito.
Testo preso da Iubenda
In generale, si applicano le leggi nazionali/locali della sede della tua azienda, così come le leggi che regolano i paesi in cui hanno sede i tuoi utenti. Questo può essere piuttosto complicato online, in quanto, a meno che non blocchi alcuni paesi, ti potresti trovare a dover soddisfare requisiti al di là dei confini geografici e delle giurisdizioni legali. Ecco perché è sempre consigliabile avvicinarsi a questo tema tenendo sempre a mente le più severe normative applicabili, come le europee GDPR e Cookie Law.
Le conclusioni del Garante Privacy sull'uso di Google Analytics
In conclusione, il Garante Privacy ha statuito l'illiceità dell'uso di Google Analytics tramite il sito internet.
Il Garante ha evidenziato che in relazione alla natura e alla gravità della violazione, le operazioni di trattamento oggetto di contestazione non hanno avuto ad oggetto categorie particolari di dati personali.
Con riguardo all'elemento soggettivo del trasgressore, occorre considerare che la società ha erroneamente assunto come idonee, sulla base delle informazioni rese da Google, le misure supplementari adottate da quest’ultima senza esercitare alcun potere decisionale in merito alle stesse.
Alla luce di ciò, il Garante Privacy non ha emesso una sanzione pecuniaria ma ha richiesto al sito di eliminare Google Analytics dal proprio sito.
Testo preso da Legalblink
Google GA4 una soluzione futura
Soluzione tecnologica. Quello che è emerso, e di cui si sta discutendo, è che anche a livello tecnico ci sono strumenti che possono essere utilizzati per impedire ai dati di uscire dall'Europa. Google in sostanza con il rilascio di GA4 si è mosso in questa direzione.
Secondo alcuni esperti nell'ultima versione di Google Analytics esistono parametri che permettono di gestire i dati personali degli utenti e di gestire gli stessi con server di Google situati in Europa.
Quindi esisterebbe una serie di configurazioni che è possibile gestire, attivare ed implementare per permettere di rispettare le indicazioni della GDPR.
Il nodo giuridico. In un articolo su Agenda Digitale Guido Scorza del consiglio del Garante della Privacy ha dichiarato che la soluzione non può essere né tecnica e neppure politica.
“Serve un accordo capace di sanare la situazione venutasi a creare in seguito alla sentenza Schrems II, che ha annullato il Privacy Shield”. Accordo che attualmente non c’è.
Testo preso da ilsole24ore
Hai necessità rendere a norma il tuo ecommerce secondo le nuove normative di Policy Privacy e Cookie Law contattaci ti forniremo la miglior proposta in linea con le tue aspettative.
Lascia tu il primo commento al nostro articolo