Dopo il provvedimento del Garante indirizzato a Caffeina all’interno delle aziende e tra i consulenti marketing sono nate accese discussioni su come affrontare il problema di Google Analytics.
Da una parte, si punta a non perdere le funzionalità di business di Google (non tutte, almeno). Dall’altra parte, resta di fondamentale importanza eseguire le indicazioni del Garante e, soprattutto, della legge.
Ma anche tra gli esperti di GDPR (esponenti del Garante in primis) il dibattito è acceso. Vediamo, quindi, cosa è successo in questi mesi.
Innanzitutto, riprendiamo i provvedimenti del Garante italiano.
Dopo il primo, indirizzato a Caffeina Srl, sono arrivati anche il provvedimento per ilmeteo.it, e quello contro Fastweb.
Nulla di nuovo in entrambi i casi.
Il Garante riprende temi già esplorati, Google Universal Analytics è illegittimo a prescindere all’attivazione dello strumento di anonimizzazione. E, soprattutto, occorrono una serie di prescrizioni specifiche atte a evitare anche solo la possibilità che Autorità statunitensi possano richiedere dati personali di cittadini europei.
Alcune novità arrivano invece dalla Danimarca. Estremamente interessante il documento dell’Autorità Danese (Datatilsynet), che ha esaminato lo strumento Google Analytics, le sue impostazioni e i termini di fornitura dello strumento, alla ricerca di una sua possibile configurazione conforme al GDPR.
Non solo, il Garante Danese esamina anche la posizione di GA4 che da quanto dichiarato da Google in futuro resterà il solo strumento a disposizione.
Brutte notizie, sulla base di questa revisione, l’Autorità danese conclude Google Analytics, al momento, non sembra presentare opzioni in linea con la normativa europea. L’uso legale richiederebbe misure aggiuntive, non presenti al momento nell’offerta di Google.
Di rilievo, l’Autorità è consapevole del fatto che Google Universal Analytics e Google Analytics 4 funzionano tecnicamente e metodicamente in modo diverso. Tuttavia, ci sono ancora alcune somiglianze fondamentali (es. l’ID assegnato al visitatore) che non consentono di dichiarare con tranquillità che non ci sono problemi per il GDPR.
Sulle impostazioni aggiuntive di Google, che consentono di configurare Google Analytics 4 in modo che un’ampia gamma di informazioni su ad es. browser, sistema operativo, ecc. non vengano raccolte, l’Autorità Danese non è convinto della loro efficacia. O meglio, a prescindere dalla loro efficacia, resta comunque che le restanti informazioni raccolte da GA4 – e trasferite negli USA – costituiscono dati personali degli interessati.
Anche rispetto alle tecniche di pseudonimizzazione il Garante non è convinto che le misure poste in essere da Google garantiscano la completa estraneità dei server statunitensi.
Quindi?
Pur non dicendolo in maniera esplicita e lasciando ai Titolari ogni decisione, il Garante Danese non sembra proprio a favore neanche di GA4.
Su un punto sono tutti d’accordo: è soprattutto un problema politico e lì va trovata una soluzione più efficace del mero passaggio al GA4.
Un ultimo aspetto.
Non ci sono dubbi che sia un problema politico e che qualsiasi soluzione tecnica presenta dei problemi e incertezze anche legali. È altrettanto vero che le decisioni del Garante che hanno applicato un’ammonizione, e non sanzioni pecuniarie, siano un segnale che ci sia consapevolezza sull’entità del problema che va oltre alle scelte di un Titolare del trattamento.
Non solo.
Il Garante italiano ha di recente sottoscritto un importante Manifesto programmatico sulla privacy (Manifesto di Pietrarsa) con altri enti pubblici e privati, tra cui Google, Meta e TikTok, ulteriore prova della volontà di risolvere politicamente il problema.
E un modo per risolverlo sarebbe il nuovo accordo UE-USA a cui tutti aspirano.
Ma certo, la circostanza che nel piano ispettivo del secondo semestre 2022, lo stesso Garante abbia inserito i “titolari di siti web in relazione alla cookie policy” non consente di stare tranquilli del tutto.