In questi ultimi giorni è scoppiato un caso nazionale in merito la legalità di Google Analytics, ormai sotto i riflettori di media e avvocati. La notizia ha raggiunto chiunque e la preoccupazione di tutti quelli che hanno un sito internet aumenta di ora in ora. Noi di KuboWeb vogliamo fare chiarezza sulla questione e spiegare come stanno davvero le cose.
Che cosa è successo?
Il 23 giugno 2022 il Garante per la protezione dei dati personali ha ammonito un’azienda italiana perché utilizza Google Analytics 3 (GA3), chiamato anche Universal Analytics. Il motivo è che la penultima versione di GA trasferisce dati sensili in USA, che sono privi di un adeguamento legislativo comparabile al Regolamento UE sulla protezione dati. Ricordiamo, infatti, che secondo la legislazione europea nessun dato può esser inviato al di fuori dell’UE.
A seguito di una serie di reclami presentati verso questa azienda nel 2020, il Garante ha finalmente decretato la sua decisione, che attualmente non prevede alcuna sanzione pecuniaria o drastici provvedimenti. La sentenza si limita ad invitare il responsabile del trattamento dei dati personali ad intervenire sulla situazione ed adeguarsi a quanto previsto dal Regolamento europeo entro 90 giorni.
Google Analytics 3 o Universal Analytics
Il sistema di tracciamento ed analisi di Google viene utilizzato sulla maggior parte dei siti internet per monitorare il traffico ed indirizzare le campagne di marketing mirate al target di riferimento. Per fare questo, GA elabora i dati di chi visita i siti web: ne registra la geolocalizzazione, la modalità di accesso, data e ora, tempo di permanenza, sistema operativo utilizzato… e l’indirizzo IP. Ed è proprio quest’ultimo il problema nell’occhio del ciclone, in quanto si tratta di un dato personale; per quanto il suddetto sia troncato o trasmesso solo in parte, per il Garante non deve esser in alcun caso trasferito in America in quanto il nostro caro Big G (Google) è comunque in grado di identificarlo e risalire all’utente.
Il quadro completo
La verità è che non è mai stato vietato l’utilizzo di GA3, è stato richiesto solo un adeguamento alle condizioni dettate dal Regolamento UE. Il Garante stesso informa che i dati si possono registrare, ma non devono esser ceduti a terzi; ad esempio noi di KuboWeb possiamo registrare l’indirizzo IP dei nostri clienti, ma non dobbiamo in alcun caso trasferire questi dati a nessuno (che sia Google, Meta, sistemi di gestione dati, partner aziendali, …). In tal caso, non potendo fornire i dati necessari per l’analisi, Google Analytics ed altri tool simili diventano inutili: è possibile fare una torta avendo la ciotola ma togliendo tutti gli ingredienti necessari da inserire al suo interno? No, ma è ciò che si chiede a tutti i titolari del trattamento dei dati personali, ovvero i titolari dei singoli siti internet, come noi, come voi.
A special focus
Non ci dimentichiamo che Google Analytics non è l’unico a richiedere l’utilizzo di dati personali, nonché il trasferimento extra UE. In vista di ciò, è evidente che al momento la situazione è in fase di sviluppo e non c’è alcuna certezza in merito legalità, provvedimenti e potenziali soluzioni. Ciò che è certo è che il Garante Europeo della protezione dati non può chiudere tutto ed impedirci la navigazione sul web.
Il Regolamento citato nella causa è europeo, ma il polverone mosso nei giorni scorsi non mette in evidenza il punto di vista degli altri Paesi UE, ma la posizione italiana nei confronti delle normative americane. È ovvio che anche gli altri Stati si troveranno dinnanzi le stesse difficoltà, ma attualmente nessuno di essi ha trovato un modo per ovviare al problema.
La decisione italiana, e nello specifico del caso del 23 giugno, è un esempio pilota che darà la base per il trattamento futuro di casi simili. Il Garante stesso si dichiara ben aperto a valutare possibili soluzioni, che siano proposte da parte dell’azienda, di altri enti, o da parte di Google stesso.
Il segreto di Pulcinella su Google Analytics
Chi utilizza GA3 sa bene che, lato utente, non c’è modo di personalizzare la tipologia di dati da trasmettere in USA, o di bloccare direttamente il suddetto traffico per qualsiasi dato. Per questo, se è impossibile adeguarsi al Regolamento UE e Google stesso non troverà modo di farlo entro 90 giorni, GA3 avrà vita molto breve.
Al contempo, però, con la nuova versione Google Analytics 4 è possibile apportare un elevato numero di personalizzazioni, ed in questo modo diventa potenzialmente possibile continuare a registrare dati, fare analisi e rimanere nella totale legalità.
I muri hanno le orecchie?
Tutti parlano molto del servizio che è stato preso di mira dal Garante, ma al di fuori di Universal Analytics c’è un intero mondo potenzialmente fuorilegge. Infatti, nel web sono presenti siti internet, tool, servizi ed estensioni che potrebbero registrare dati sensibili e trasmetterli al di fuori dell’Unione Europea.
Tra di essi, i più diffusi sono:
- Cloudflare
- Gmail
- Google font
- widget di YouTube
- pixel di Facebook (Meta)
- jQuery
- PayPal
- MailChimp
- ActiveCampain
- Amazon Web Services (AWS)
L’elenco è molto lungo, ma questa non è una motivazione valida per andare nel panico più totale. Data la vicenda apripista, non è detto che l’attenzione dei vari garanti europei non si sposti anche altrove, prendendo di mira uno o più servizi similari. Ma quel che può consolarci in parte è che risulterebbe impossibile intervenire su tutto ed in tutta Europa.
Keep calm and stay Kubo!
La prima cosa che vi consigliamo di fare è di ignorare le tante testate giornalistiche non di settore che parlano di argomenti che non conoscono, allarmando tutti gli utenti attratti dal titolone clickbait (“acchiappa click”). Di fake news ne girano fin troppe e, chi le diffonde, non si rende conto di quanto sia pericolo e nocivo per chi legge senza approfondire.
Allo stesso modo, vi invitiamo a non prendere decisioni avventate come chiudere il vostro sito internet, smettere di navigare online, richiedere a tutti i titolari di trattamento dei dati personali di cancellare qualsiasi cosa vi riguardi.
La situazione è in fase di sviluppo e non c’è nulla di cui allarmarsi per il momento. Noi di KuboWeb stiamo lavorando anche per voi, e vi terremo aggiornati con tutti i dettagli significativi e le eventuali modifiche da apportare.
Mantieni la calma e seguici sui social:
Tutto ciò che è presente in questo articolo è una semplificazione della situazione attuale. Se hai ulteriori dubbi in merito i servizi che utilizzi ed il traffico sul tuo sito, quel che ti consigliamo è di rivolgerti ad un legale esperto in legal tech.
Articolo del 1 luglio 2022