Tutto il contrario di un fulmine a ciel sereno. Dopo le posizioni assunte dal Garante austriaco e dal Garante francese, si stava invocando una presa di posizione anche dal Garante italiano. E con il provvedimento pubblicato ieri, l’Italia si posiziona sulla linea già assunta dagli altri due paesi: è confermato, l’utilizzo di Google Analytics è contrario ai principi del GDPR.
Un lieve stupore rimane, per quello che sembra un disallineamento dai contenuti delle recenti Linee Guida sui cookie, più “flessibili” sul tema degli analytics (vedi anche “Altri biscotti? No, grazie.” Dopo quanto tempo ripresentare il banner per il consenso ai cookie? e “Altri biscotti? No, grazie.” Dopo quanto tempo ripresentare il banner per il consenso ai cookie?).
Così come rimane qualche dubbio. Il provvedimento rispetta il principio dell’accountability, e non propone soluzioni, affidando questo compito (da portare a termine entro 90 giorni) al destinatario dell’ammonimento. Che, sia chiaro, non è Google Analytics, ma la società che ne utilizza i servizi per monitorare il traffico sul proprio sito.
A fare da pilota, per il nostro paese, Caffeina Media Srl, una delle 4 italiane incluse nelle 101 segnalazioni avanzate da NOYB ai Garanti europei in tema di trasferimenti dati verso gli USA. Dopo Caffeina, sarà il turno del Gruppo Gedi (repubblica.it), di Fastweb (fastweb.it), o de ILMETEO (meteo.it).
Trascorreremo l’estate ad aggiornare i nostri siti? Si vedrà. Intanto, Provvedimento alla mano e Google Analytics ancora in hot topics, cerchiamo, a caldo, di fissare qualche punto, risolvere alcuni quesiti e valutare le possibili contromisure.
Indice
Gli Analytics comportano il trattamento di dati personali
I cookie di Google analytics raccolgono informazioni che, tra le altre cose, identificano il dispositivo dell’utente, insieme a vari altri dati tra cui il sistema operativo, la risoluzione dello schermo, la lingua selezionata, data e ora della visita al sito, ecc. Sono davvero “dati personali”? Risposta secca: Sì. L’indirizzo IP costituisce un dato personale, soprattutto quando è associato ad altre informazioni sulla navigazione. Nel caso di Google, poi, l’IP può essere associato perfino a tutti dati dell’account personale (es. indirizzo e-mail, numero di telefono, genere, data di nascita, immagine del profilo).
Se vi è capitato di pensare qualcosa del genere: “Ma usando Google Analytics, IO non accedo a nessun dato personale”… Non è rilevante se la Società che ricorre ai servizi di Google disponga direttamente di informazioni identificative degli utenti, o utilizzi unicamente dati anonimi/aggregati. In tutti questi i casi, i dati risultano identificativi, se ci poniamo nella prospettiva di Google. Ma è la Società che utilizza Google Analytics, il soggetto che deve rispondere del trasferimento di quei dati al di fuori dell’Unione Europea, verso le infrastrutture di Google.
Google è sempre Google, l’anonimizzazione non è sempre anonimizzazione
Inutile focalizzarsi sulle differenze tra Google LLC e Google Ireland Limited. Il subentro della sussidiaria irlandese al posto della casa madre, per la gestione dei dati nell’ambito delle attività rivolte ai clienti europei, non porta differenze sostanziali. Si allunga solo la catena di fornitura, perché Google Ireland, secondo i termini di servizio (su cui non c’è, ovviamente, libertà di manovra), può avvalersi di altri sub-responsabili, fra cui la stessa Google LLC.
La cosiddetta anonimizzazione proposta da Google non è efficace. L’opzione denominata IP-Anonymization prevede l’oscuramento di alcune porzioni degli indirizzi IP degli utenti. Ma il nome inganna, e andrebbe ridefinita come funzione di IP-Pseudonymization (vedi anche Pseudonimizzazione dei dati sanitari: quali tecniche possibili?). Certo, la pseudonimizzazione male non fa, ma non si può trascurare il fatto che:
- Google LLC detiene le chiavi per recuperare i dati oscurati. Mentre le chiavi della cassaforte dovrebbero restare nella sola disponibilità del Titolare, ovvero la Società che utilizza i servizi di Google. Ma se anche così fosse…
- Google LLC elabora una quantità tale di informazioni sugli utenti da poterli sempre reidentificare anche solo con una porzione “ridotta” dell’IP.
Quindi il problema sono gli analytics? Ci sono configurazioni di Google Analytics conformi al GDPR?
La doverosa premessa, è che il provvedimento del Garante si applica unicamente alla configurazione di Google Analytics presa in esame nel caso specifico. Quindi, GA3 nella versione gratuita, utilizzata per finalità statistiche e senza funzione di anonimizzazione. Qualcuno, così, ha già suggerito di passare a GA4, una nuova generazione di Google Analytics che sfrutta una tecnologia differente ed effettua misurazioni senza ricorrere ai cookie. E come spiegato da Guido Scorza dell’Ufficio del Garante, intervistato da Matteo Flora, eventuali aggiornamenti tecnologici futuri dovranno essere presi nuovamente in esame, per avere una risposta ufficiale.
Ma no. Il problema NON sono gli analytics, e il problema non è nemmeno Google. Il problema risiede nel trasferimento di dati verso un paese che non offre garanzie adeguate agli interessati. L’impianto normativo statunitense, rispetto a quello europeo, consente più facilmente alle agenzie di intelligence di accedere a informazioni personali degli utenti, e, allo stesso tempo, rende più difficile per gli utenti esercitare i propri diritti o contestare questi accessi ai propri dati. Si noti, poi, che la collocazione fisica dei server utilizzati dal fornitore è irrilevante. O meglio, potrà rappresentare una qualche forma di misura di sicurezza, ma fintanto che una società resta soggetta alla giurisdizione americana, il problema dell’accessibilità ai dati da parte delle agenzie governative rimane.
Quindi, ci riserviamo di approfondire gli aspetti tecnici di GA4. Ma per il momento, appare improbabile che questa opzione possa evitare il trasferimento di informazioni negli USA, vero nocciolo della questione. Insomma, la bocciatura di Google Analytics sembra assoluta.
Sono questioni politiche?
La questione è di diritto, e riguarda la tutela dei dati personali dei cittadini europei. Ma una componente di politica internazionale è innegabile. Qualcuno ha azzardato che i provvedimenti dei Garanti europei su Google Analytics celino l’obiettivo di stimolare il raggiungimento del nuovo accordo internazionale. A marzo 2022, in effetti, era stato annunciato tramite comunicati stampa, prima dalla Commissione Europea poi anche dalla Casa Bianca, l’avvicinarsi di un nuovo accordo giuridico tra USA e UE. Dopo Safe Harbor e Privacy Shield, saremmo al terzo capitolo.
I più ottimisti confidano che si risolva tutto “ai piani alti”, ma ad oggi gli annunci non hanno ancora avuto alcun esito ufficiale. Va detto, poi, che anche l’ufficialità di un nuovo accordo non esclude la possibilità di ritrovarsi impantanati nello stesso problema tra qualche tempo. Dopotutto, il movimento di Max Schrems ha già espresso qualche dissapore all’idea del Privacy Shield 2.0, preparandosi a una nuova contestazione. Insomma, per risparmiarsi le incertezze, vale sempre la pena di disporre del piano B, tenendo in considerazione le alternative ai fornitori americani.
Cosa fare ora con Google Analytics?
Come dicevamo, confidare in una soluzione politica potrebbe rappresentare una scommessa rischiosa e azzardata. La prima cosa da fare, è senza dubbio valutare l’effettiva necessità di utilizzare il servizio. In molti casi, infatti, l’installazione di GA sul proprio sito non è legata a un reale monitoraggio delle statistiche, e risulta più un adattamento alle prassi di chi sviluppa siti web, piuttosto che l’effetto di una strategia di marketing ragionata. Se non serve, probabilmente è il caso di staccare la spina.
Lo stesso consiglio è diretto a chi gestisce siti che possano comportare il trattamento di dati particolari. Se una struttura sanitaria dispone di un servizio online per le prenotazioni, e monitora le statistiche sull’uso della piattaforma… allora è il caso di interpretare il Provvedimento in maniera molto restrittiva. Interrompere immediatamente l’uso di Google Anaytics per evitare violazioni gravi del GDPR.
Certo, se anche la navigazione sul proprio sito non generasse dati particolari, resta l’illecito e occorrerà considerare delle alternative a GA. Ma diciamo che, in questo secondo caso, si potrà quantomeno prendere un po’ di tempo e muoversi con più calma.
Quali sono le alternative a Google Analytics?
Per tappare il buco lasciato da Google Analytics, l’opzione più tutelante è quella di vagliare delle alternative europee.
Tecnicamente, la soluzione potrà essere “interna”, installando i software di analisi dati nella propria infrastruttura informatica (server in UE); oppure, continuare a delegare a terzi. Rivolgendosi quindi ad altri fornitori SaaS che propongono servizi analoghi a Google Analytics ma trattano i dati unicamente in paesi considerati adeguati al GDPR.
La CNIL si è esposta valutando alcune soluzioni che, se correttamente configurate, potrebbero essere considerate conformi. Le più citate sono Matomo e Piwik PRO, ma l’elenco è lungo, e comprende:
- Analytics Suite Delta di AT Internet
- SmartProfile di Net Solution Partner
- Wysistat Business di Wysistat
- Piwik PRO Analytics Suite di Piwik PRO
- Abla Analytics di Astra Porta
- BEYABLE Analytics di BEYABLE
- etracker Analytics di etracker
- Retency Web Audience di Retency
- Nonli di Nonli
- CS Digital di Contentsquare
- Matomo Analytics di Matomo
- Wizaly di Wizaly SAS
- Compass di Marfeel Solutions
- Statshop di Web2Roi
- Eulerian di Eulerian Technologies
- Thank-You Marketing Analytics di Thank-You
- eStat Streaming di Médiamétrie
- TrustCommander di Commanders Act
Quali lezioni portarsi a casa da questa vicenda?
Non è una novità, il tema del trasferimento dei dati all’estero è sempre stato delicato, fin da prima dell’entrata in vigore del GDPR. Lo abbiamo sperimentato con le sentenze Schrems, con gli ultimi aggiornamenti delle Clausole Contrattuali Standard, con la Brexit… La vicenda di Google Analytics è solo l’ultimo capitolo scritto in questa storia. E l’occasione per confermare alcuni punti:
- Attenzione alle informative. Tra le violazioni indicate nel provvedimento del Garante, compare quella dell’articolo 13. I trasferimenti di dati all’estero vanno sempre presentati in maniera trasparente, e gli interessati devono essere consapevoli delle possibili conseguenze e dei rischi per la tutela dei loro dati, derivanti da quei trasferimenti. E non è sufficiente accontentarsi dei template standard forniti con qualche servizio. La Società destinataria del provvedimento utilizzava Iubenda, il noto servizio per siti web. Ma come spesso accade nell’utilizzo di software che automatizzano dei processi, risulta fondamentale configurare, monitorare, aggiustare bene tutte le impostazioni…
- Scegliere attentamente i fornitori. Ok, Google è uno standard per gli analytics, prima di questa vicenda non si è mai parlato realmente di valutare delle alternative, perché forse non esistono altri servizi così efficacemente integrati con gli strumenti del web marketing. Ma come si è detto, il tema non riguarda solo gli analytics. Oggi è Google, domani può essere un altro. In generale, la scelta di un fornitore dovrebbe tenere conto dell’aspetto geografico (anche e soprattutto quando si parla di servizi online, dove è più facile ignorarlo), delle sedi del fornitore e delle leggi cui è soggetto. Dando un vantaggio a chi risiede in paesi che tutelano i diritti sulla protezione dei dati, allo stesso modo delle preferenze dati ai servizi più efficaci e performanti, o ai servizi più economici.
- Le valutazioni di impatto sul trasferimenti di dati. Hai valutato attentamente, e la scelta è ricaduta su un fornitore che implica il trasferimento di dati extra UE? La c.d. Transfer Impact Assessment (TIA) è complicata, non c’è dubbio, richiede una conoscenza normativa estesa ed è un ostacolo insormontabile se manca la partecipazione attiva dell’importatore estero. Ma la vicenda di Google Analytics ci insegna che le esportazioni di dati personali vanno analizzate e documentate con metodo, soprattutto sotto il profilo della liceità. E quando si valutano gli aspetti di sicurezza, non ci si può accontentare delle considerazioni tecniche e organizzative del fornitore. È sempre necessario integrarle con delle valutazioni interne proprie dell’azienda esportatrice.