Stop a Google Analytics: secondo il Garante viola la normativa dei dati personali
Google Analytics è un servizio gratuito fornito da Google che consente di analizzare delle dettagliate statistiche sui visitatori di un sito web. Nello specifico, è il servizio di statistiche più usato da coloro i quali hanno la necessità (e/o la curiosità) di monitorare l’andamento di un sito Internet, sia da computer che da dispositivi mobili.
Lo strumento in discussione viene utilizzato principalmente per osservare delle statistiche quali la durata della sessione, la provenienza della visita, il numero di pagine visitate, le pagine più viste, la posizione geografica e tutte le altre possibili “web analytics”; tuttavia, a causa della sua ubiquità, Google Analytics solleva alcuni problemi in tema di privacy.
In particolare, ciò che viene criticato è che ogni qualvolta qualcuno visita un sito web che utilizza questo servizio, Google tiene traccia di quella visita tramite l’indirizzo IP degli utenti, al fine di determinare la posizione geografica approssimativa del visitatore: dunque, entrerebbero in gioco una molteplicità di dati personali sensibili.
Ai sensi del nostro ordinamento, i dati sensibili sono dati personali la cui raccolta e trattamento sono soggetti sia al consenso dell’interessato sia all’autorizzazione preventiva del Garante per la protezione dei dati personali, ossia quell’autorità amministrativa indipendente istituita al fine di assicurare la tutela dei diritti e delle libertà fondamentali, nonché il rispetto della dignità nel trattamento dei dati stessi.
Da un’indagine recentemente condotta dal Garante, è emerso che – conformemente a quanto affermato in molte occasioni dalla Corte di Giustizia dell’Unione Europea e da altri Garanti di paesi UE – l’uso di Google Analytics violerebbe la normativa europea sulla privacy e, nello specifico, il GDPR, ossia il Regolamento Generale sulla protezione dei dati, in quanto le informazioni raccolte dal servizio, tramite cookie, vengono inviate negli Stati Uniti, un paese privo di un sufficiente livello di protezione.
In particolare, l’Autorità ha sottolineato la possibilità, da parte dell’intelligence statunitense, di accedere ai dati degli utenti trasferiti negli USA, rilevando che non ci sarebbe un adeguato livello di protezione, potendo queste accedere ai suddetti dati senza alcun tipo di garanzia per i singoli.
La posta in gioco è molto alta: infatti, il bene fondamentale a rischio è il diritto alla privacy, ossia alla riservatezza delle proprie informazioni personali.
Inizialmente concepito come un mero “diritto ad esser lasciato solo”, oggi questo concetto si è evoluto, in quanto si parla di privacy non solo nel senso di protezione dei dati personali e come diritto di impedire la rilevazione di informazioni sul nostro conto, ma con un’accezione più ampia. Infatti, in questa nozione viene altresì ricompreso il diritto a esprimere liberamente le proprie aspirazioni, quindi l’autodeterminazione e la sovranità su se stessi, il riconoscersi parte attiva nel rapporto con le istituzioni e nel rispetto reciproco delle libertà.
I primi riferimenti alla privacy si possono trovare nella Convenzione europea dei diritti dell’uomo del 1950, la quale stabilisce che non può esservi ingerenza di una autorità pubblica nell’esercizio del diritto alla propria libertà individuale, con l’eccezione di ingerenze previste dalla legge, si pensi alle misure necessarie per la sicurezza nazionale, per la pubblica sicurezza, per il benessere economico del paese, per la difesa dell’ordine e per la prevenzione dei reati, per la protezione della salute o della morale, o per la protezione dei diritti e delle libertà altrui.
Pertanto, appare lapalissiano che consentire la conoscenza di questi dati a coloro i quali hanno una mera “curiosità” di monitorare l’andamento del loro sito internet, ed in particolare il flusso di visita alle pagine web, non può qualificarsi come una misura necessaria ai fini su menzionati.
Inoltre, al fine di uniformare le varie normative nazionali in tema di privacy e migliorare la protezione dei dati personali dei cittadini europei dentro e fuori l’Unione, il 4 maggio 2016 viene pubblicato in Gazzetta Ufficiale il già menzionato Regolamento UE 2016/679, cosiddetto GDPR, recante le istruzioni ai fini di un corretto trattamento dei dati.
Proprio sulla base del “General Data Protection Regulation”, poco tempo fa è iniziata la stretta del Garante Privacy italiano su Google Analytics, il quale, lo scorso 9 giugno, ha ammonito la società Caffeina Media S.r.l., che usava questi strumenti sul proprio sito, chiedendole di toglierli entro 90 giorni. Infatti, la violazione della normativa in discussione non verrà punita con una sanzione, ma con la richiesta di un adeguamento entro 90 giorni al Regolamento generale sulla protezione dei dati, termine ritenuto congruo per consentire al gestore di adottare misure adeguate per il trasferimento, pena la sospensione dei flussi di dati effettuati, per il tramite di GA, verso gli Stati Uniti.
Allo scadere del termine assegnato alla società destinataria del provvedimento, il Garante procederà, anche sulla base di specifiche attività ispettive, a verificare la conformità al Regolamento Ue dei trasferimenti di dati effettuati dai titolari.
Riassumendo, i dati riguardanti la nostra navigazione internet vengono rilevati, tracciati e profilati. Il GDPR ha da tempo regolato questo tipo di raccolta dati e ne ha vietato il trasferimento e trattamento fuori dall’Unione Europea ed, a conclusione di una complessa istruttoria – avviata a seguito di una serie di reclami, unitamente ad altre autorità europee – il Garante ha accertato che i siti web che utilizzano Google Analytics permettono alla piattaforma in questione di raccogliere e trattare dati e informazioni sui propri utenti, con trasferimento, conservazione e analisi fuori dall’Unione.
Il Garante ha quindi evidenziato come le misure messe in opera da Google Analytics non garantiscano, allo stato attuale, un adeguato livello di protezione dei dati personali così come previsto dal GDPR EU 679/2016, infatti: “il sito web che utilizza il servizio Google Analytics, senza le garanzie previste dal Regolamento Ue, vìola la normativa sulla protezione dei dati, perché trasferisce negli Stati Uniti – paese privo di un adeguato livello di protezione – i dati degli utenti”, ed è proprio questo che permetterebbe di parlare di “illegalità” del relativo servizio e di incorrere nelle relative conseguenze.
Con il provvedimento in esame l’Autorità ha quindi richiamato l’attenzione di tutti coloro che hanno un sito internet che si appoggia alla piattaforma Google Analytics, invitando i titolari del trattamento a verificare rapidamente la conformità dei propri siti alla normativa, ed eventualmente adeguarsi alla stessa con strumenti analoghi, purché in linea con le direttive del Garante, soprattutto in termini di trasferimento e conservazione dati.
Nella pratica tutto ciò significa che chi ha un sito internet che attualmente si appoggia alla piattaforma Google Analytics dovrà rinunciare a questo servizio gratuito di Google per optare verso nuove soluzioni in seno alla UE.
Il danno non è da poco, forse più di quello che si riesce ad immaginare, anche perché tra i sistemi di auto-promozione online più utilizzati in Italia c’è AdWords di Google, che utilizza dati provenienti proprio dalla piattaforma Google Analytics.
Pertanto, dopo il monito del Garante Privacy a un’azienda non risultata in regola, si è aperto il dibattito e i riflettori sono puntati sull’efficacia delle misure messe in atto dalla web company americana; pur tuttavia, Google, con la release 4, sostiene di aver risolto i problemi relativi alla privacy, in quanto, tramite questa nuova versione di Analytics, gli indirizzi IP degli utenti verrebbero scartati da Google, tramite appositi server e procedure, “appena tecnicamente possibile”, consentendo alle aziende di risultare pienamente conformi alla normativa europea.
Tale rimozione però risulta fuorviante, in quanto è pur sempre Google stessa a scartare tali dati dopo averli ricevuti e, subito prima di procedere a ciò, potrebbe essere costretta a inviarli – all’insaputa del Titolare del trattamento – verso agenzie governative Usa, nei termini previsti dalle norme statunitensi applicabili.
Inoltre, sulla base dei report condotti da Monitora PA, l’Associazione Italiana Commercio Elettronico ha acceso i riflettori sui possibili impatti derivanti dalla disattivazione degli Analytics, ossia le varie ripercussioni in termini di qualità del servizio e aumento dei costi.
Nello specifico, Manuela Borghese – vicepresidente di Aicel – sottolinea che “Per molte imprese italiane dotate di siti web e per l’intero sistema di advertising online, che era giunto negli ultimi anni ad un livello di sofisticazione elevata, la stretta su Google Analyst significa tornare ad un livello di approssimazione fermo a dieci anni fa”, oltre al fatto che “I costi per attività di promozione, basate su contenuti personalizzati in base alle preferenze degli utenti, saranno triplicati in seguito alla decisione del Garante, il che risulta insostenibile considerando che in questa fase il settore economico è già fortemente provato.”
In particolare, privare le aziende italiane della possibilità di impiegare Google Analytics, significa esporle agli effetti di ciò che viene definito uno squilibrio concorrenziale nei confronti di quelle che invece, localizzate altrove, possono beneficiarne; dunque, se l’Europa vuole affermare la propria supremazia economica, in chiave concorrenziale sul piano mondiale, deve creare delle reali condizioni di sviluppo nel campo economico e dei servizi.
Ne consegue che la soluzione può essere solo ed esclusivamente di natura politica. Infatti, al fine di scongiurare i rischi segnalati e per sbloccare l’operatività dei fornitori – stante l’assenza di alternative – è fondamentale che vengano agevolate le procedure di adozione del già annunciato nuovo accordo transatlantico USA-UE per il “nuovo Safe Harbor”, avente lo scopo di regolare le modalità attraverso cui le società statunitensi possono esportare e gestire dati personali di cittadini europei, garantendo così la piena protezione dei dati personali.
Infatti, considerando il vuoto normativo venutosi a creare dal 2015 con l’annullamento del vecchio Safe Harbor da parte della Corte di Giustizia UE e, stando a quanto dichiarato dalle parti, il nuovo “pacchetto” consentirà alla Commissione Europea di autorizzare i flussi transatlantici di dati e, il presidente Biden ha altresì sottolineato che ciò aiuterà a facilitare 7,1 miliardi di dollari nelle relazioni economiche con l’UE.
Tuttavia, tra il dire e il fare ci sono molti iter burocratici, ossia una serie di passaggi necessari ai fini dell’approvazione del nuovo quadro regolatorio. In altre parole, il problema si risolverà solamente dopo una vera e propria formalizzazione dell’accordo per il trasferimento – intercorso tra Biden ed il presidente della Commissione Europea – in quanto, per il Garante, non è sufficiente una stretta di mano come promessa dell’intesa; pertanto, ad oggi, in attesa di ulteriori chiarimenti e linee guida, il servizio web analytics di Google risulta illecito ed i siti che lo utilizzano si rendono complici della violazione delle norme a tutela dei dati degli utenti.
Infine, tra le varie possibili alternative a Google Analytics, rispettose del GDPR, emergono:
- Fathom: servizio di statistiche che non impiega cookie, salva l’indirizzo IP per sole 24 ore e non trasferisce i dati oltreoceano.
- Matomo: impiega cookie, salva l’indirizzo IP rendendolo però anonimo e non trasferisce i dati oltreoceano.
- Plausible: analisi web leggera che, al pari di Fathom non impiega cookie, salva l’indirizzo IP per 24 ore e non trasferisce i dati oltreoceano.
- Simple Analytics: non impiega cookie, non salva l’indirizzo IP e non trasferisce i dati oltreoceano.
Dott.ssa Giovanna Vetere