back to top

Google Analytics è "illegale" in Italia. Decisione shock del garante della Privacy!

Stop a Google Analytics. Secondo il Garante della Privacy il servizio di Google, utilizzato dalla stragrande maggioranza di siti web italiani per la misurazione dei dati di accesso, non sarebbe compatibile con l’attuale normativa sulla privacy. Questo è quello che sarebbe emerso da un provvedimento del Garante a fronte di un reclamo contro la società Caffeine Media SRL.

La notizia per certi versi è "sconvolgente" in quanto praticamente tutti i siti web utilizzano lo strumento (gratuito) fornito da Google per effettuare un’analisi sui dati di accesso al proprio sito web, per conoscere il numero di accessi, di pagine viste, le pagine di atterraggio, quelle di provenienza e molti altri dati interessanti per i gestori di siti web.

Google Analytics non sarebbe compatibile con il GDPR

La "stretta" del garante italiano, tuttavia, non sarebbe totalmente inaspettata. Anche le autorità di Francia ed Austria hanno recentemente sollevato perplessità circa la compatibilità dello strumento di Google con i dettami del GDPR. Secondo l’orientamento del Garante della Privacy italiano, in pratica, Google Analytics effettuerebbe un trasferimento di dati europei all’estero e ciò sarebbe esplicitamente vietato dalla normativa europea sulla protezione dei dati personali ( la Corte di Giustizia europea nel 2020 ha annullato gli accordi in base ai quali avvenivano i trasferimenti di dati da Europa a Usa in quanto ha giudicato inadeguate le garanzie fornite oltreoceano circa la protezione dei dati).

A tal proposito il Garante ha voluto ricordare che le leggi statunitensi in materia di protezione della privacy sono completamente diverse da quelle del Vecchio Continente e che i dati dei cittadini europei potrebbero essere utilizzati, inoltre, nel contesto di indagini condotte dalle autorità giudiziarie americane o dalle agenzie di intelligence USA.

Qual’è il problema di Google Analytics?

Il problema riguarderebbe il trasferimento dei dati al di fuori del territorio europeo. Fino al 2020 era in vigore un trattato tra Europa e Stati Uniti (denominato Privacy Shield) che stabiliva particolari procedure di garanzia nel trasferimento dei dati oltreoceano. Tuttavia, come già detto, nel 2020 la Commissione Europea è intervenuta giudicando inadeguate le misure messe in atto per garantire la privacy e la sicurezza dei dati europei in transito verso le società statunitensi abrogando, di fatto, ogni accordo in materia. A distanza di due anni, purtroppo, le diplomazie internazionali non sono ancora state in grado di formulare nuovi accordi a testimonianza di come la materia sia "spinosa" e fonte di problemi tutt’altro che semplici da risolvere.

Secondo alcuni osservatori si tratterebbe, in realtà, di un vero e proprio scontro geopolitico tra l’Europa e le Big Tech di oltreoceano con l’evidente intenzione della prima di rivendicare un ruolo non sussidiario nei confronti dei colossi statunitensi.

L’anonimizzazione degli Ip non è sufficiente a risolvere il problema

Secondo quanto è dato sapere la società Caffeine Media SRL non aveva implementato nei codici di tracciamento sui propri siti web la cosiddetta anonimizzazione degli Ip, una pratica facoltativa che consente di pseudonimizzare l’indirizzo Ip dell’utente prima che venga registrato sui server di Google. Secondo l’opinione del Garante, tuttavia, anche questa pratica non sarebbe stata sufficiente a soddisfare il GDPR: nonostante tale procedura, infatti, Google sarebbe ugualmente in grado di ricollegare i dati di navigazione a specifici utenti e, pertanto, il loro trasferimento nei datacenter di Mountain View contravverrebbe a quanto stabilito nel GDPR.

Allo stato attuale, quindi, non vi sarebbe un modo "legittimo" di utilizzare Google Analytics.

La posizione del garante Italiano per la protezione dei dati personali

Secondo quanto comunicato dallo stesso Garante all’interno di una nota sarebbe emerso che:

"i gestori dei siti web che utilizzano Google Analytics raccolgono, mediante cookie, informazioni sulle interazioni degli utenti con i predetti siti, le singole pagine visitate e i servizi proposti […] tra i molteplici dati raccolti, indirizzo Ip del dispositivo dell’utente e informazioni relative al browser, al sistema operativo, alla risoluzione dello schermo, alla lingua selezionata, nonché data e ora della visita al sito web".

Il garante ha altresì precisato che:

"Tali informazioni sono risultate oggetto di trasferimento verso gli Stati Uniti. Nel dichiarare l’illiceità del trattamento è stato ribadito che l’indirizzo Ip costituisce un dato personale e anche nel caso fosse troncato non diverrebbe un dato anonimo, considerata la capacità di Google di arricchirlo con altri dati di cui è in possesso".

In altre parole il processo di anonimizzazione degli indirizzi Ip non sarebbe sufficiente per soddisfare i requisiti imposti dalla normativa al fine di un lecito trattamento dei dati personali oltre i confini Europei. Il Garante, infatti, ha precisato che:

"le misure che integrano gli strumenti di trasferimento adottate da Google non garantiscono, allo stato, un livello adeguato di protezione dei dati personali degli utenti".

Tutti i siti web sono a rischio di sanzioni se continuano ad utilizzare Google Analytics

Alla luce di quanto sopra Garante ha diffidato la società Caffeine Media SRL di provvedere, entro 90 giorni, ad adeguare i propri siti web alla normativa eliminando, di fatto, Google Analytics dai propri siti web. Ovviamente, seppure la decisione riguardi uno specifico soggetto, la sua portata deve essere considerata universale.

Di fatto, pertanto, i siti web che utilizzano Google Analytics sono tutti diffidati dal farlo e, pertanto, rischiano di essere sanzionati dal Garante. Da questo punto di vista la decisione dell’autorità italiana è innovativa rispetto a quelle delle rispettive autorità di Francia ed Austria che si erano limitate ad esprimere perplessità sullo strumento stante una certa incertezza normativa.

In attesa di capire cosa faranno i migliaia di gestori di siti web italiani che utilizzano Google Analytics, i siti della Pubblica Amministrazione hanno già iniziato a dismettere lo strumento di Google e sarebbero alla ricerca di nuovi strumenti cui affidare, in modo conforme al GDPR, l’analisi del proprio traffico web.

Pubblicità
Massimiliano Bossi
Massimiliano Bossi
Stregato dalla rete sin dai tempi delle BBS e dei modem a 2.400 baud, ho avuto la fortuna di poter trasformare la mia passione in un lavoro (nonostante una Laurea in Giurisprudenza). Adoro scrivere codice e mi occupo quotidianamente di comunicazione, design e nuovi media digitali. Orgogliosamente "nerd" sono il fondatore di MRW.it (per il quale ho scritto centinaia di articoli) e di una nota Web-Agency (dove seguo in prima persona progetti digitali per numerosi clienti sia in Italia che all'estero).

Leggi anche...

Meta: abbonamenti a Facebook e Instagram in sconto

Meta ha reso noto che, a partire da novembre...

Telemarketing: nuove regole contro le chiamate indesiderate

Entrano in vigore nuove regole contro il telemarketing più...

Cookie: il 90% dei siti Web non sono conformi al GDPR

I ricercatori dell'Università di Amsterdam e del Politecnico di...

Facebook e Instagram a pagamento violano il GDPR?

Come è ormai noto a chiunque frequenti il social...

Libero Mail: profilazione o abbonamento dal 15 novembre

Come anticipato alcune settimane fa, i responsabili di Libero...

Facebook e Instagram a pagamento senza advertising

A conferma di alcune voci circolate all'inizio del mese...
Pubblicità