Google Analytics & GDPR: il quadro
Il garante privacy italiano, allineandosi alle posizioni di altri garanti europei, ha sancito, (caso “caffeina media” – provvedimento del 9 giugno 2022) l’illegittimità dell’uso di google analytics, a certe condizioni.
Il titolare al trattamento dei dati di siti web dovrebbe infatti considerare che la sentenza “Schrems II” ha invalidato l’accordo “Privacy Shield” e pertanto il trasferimento di dati personali verso gli Stati Uniti subisce importanti ripercussioni. Abbiamo pertanto preparato una lista di domande e risposte frequenti, sperando che ciò sia utile.
Il problema riguarda solo sistemi server ubicati negli Stati Uniti?
No. Le cosiddette “garanzie adeguate” (che sono il fulcro del provvedimento del garante) riguardano il fornitore del servizio “in se'” (in questo caso google inc) che, in quanto entità di diritto statunitense, è controllabile dalle agenzie governative Americane, senza nessun riguardo rispetto alla locazione fisica dei server. Server di proprietà di entità/società statunitensi, sebbene all’interno dell’unione europea, sono controllabili allo stesso modo. In questo caso il trattamento è quindi illegittimo.
Il passaggio a Google Analytics 4 risolve i miei problemi?
Premettiamo che l’oggetto del contendere riguarda il trasferimento di trattamenti di dati personali legati allo specifico utente, tra i quali il numero IP. La risposta è quindi No in quanto Google Inc ha una massa di dati così importante a disposizione che anche anonimizzando l’indirizzo IP è possibile in ogni caso l’identificazione univoca dell’utente e quindi la sua completa profilazione.
E’ vero che non posso più utilizzare Google Analytics da oggi in poi?
Non necessariamente. Rispetto all’attuale impianto GDPR, l’esistenza di una decisione di adeguatezza non è IL presupposto per il trasferimento extra-UE, ma uno dei tanti.
L’alternativa più immediata è l’invocazione e l’utilizzo delle clausole contrattuali standard UE, supportata da una valutazione di rischio sull’effettiva capacità del fornitore di servizi di rispettare quanto dichiarato nella propria privacy policy. Coerentemente, l’utente del sito dovrà essere adeguatamente informato.
Qual è il modo migliore per tutelarsi rispetto alla decisione?
Valutare un “piano B”, scegliendo alternative a Google Analytics, e formalizzare l’analisi (per iscritto) tra titolare e DPO.
Come abbiamo fatto noi?
Abbiamo deciso di migrare tutte le analytics dei nostri siti su Matomo Analytics che è un sistema residente sui nostri server – in Europa – e quindi pienamente compatibile con GDPR. Invitiamo anche te a fare lo stesso. Matomo Analytics è pienamente compatibile con i principali sistemi di Web Marketing, ma è rispettoso dei dati dei tuoi utenti.