Google Analytics è illegale?

Titoli altisonanti e in breve si diffonde il terrore nel web perchè l’utilizzo di Google Analytics sarebbe stato dichiarato illegittimo dal Garante per la Privacy. Ma è proprio così?

Il Garante della Privacy: stop all’uso degli Analytics

È vero! Il garante delle privacy il 23/06/22 ha dichiarato in un comunicato stampa, che:

Il sito web che utilizza il servizio Google Analytics (GA), senza le garanzie previste dal Regolamento Ue, viola la normativa sulla protezione dei dati perché trasferisce negli Stati Uniti, Paese privo di un adeguato livello di protezione, i dati degli utenti.

https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9782874

Questa dichiarazione è stata fatta a conclusione di una indagine nata da un reclamo presentato in data 17 agosto 2020 da un utente che, dopo aver visitato un sito italiano, si è opposto alla cessione dei propri dati di navigazione a Google LLC.

In quel periodo il sito in questione, utilizzava le statistiche di Google Analytics nell’unico formato allora disponibile, Universal Analytics (Google Analytics 4 è stato rilasciato il 14/10/2020) e non aveva impostato l’anonimizzazione dell’ip degli utenti, unito al fatto che l’utente aveva effettuato il login ai servizi di Google consentendo di fatto l’associazione tra i dati di navigazione (ip, brower, data e orario, risoluzione del monitor) e i dati dell’utente (email e numero di telefono legati all’ID dell’account Google). [Provvedimento del 9 giugno 2022 nr. 9782890]

Le politiche riguardanti la privacy sono molto diverse tra Stati Uniti e Ue: il Privacy Shield che garantiva l’export di dati è stato di fatto annullato dalla decisione della Corte di Giustizia dell’Unione Europea che ha evidenziato che negli Usa, le condizioni per i dati personali importanti dall’Europa non sono le stesse. In particolare, le agenzie di intelligence possono accedere con più facilità ai dati dei cittadini europei e i cittadini europei, in casi di violazioni, non possono appoggiarsi a una autorità garante della privacy che possa offrire loro tutela.

Di conseguenza, il trasferire i dati negli Stati Uniti viola di fatto la normativa.

Ma se i dati sono anonimizzati?

Google Analytics consente ai gestori dei siti web di attivare l’opzione denominata “IP-Anonymization”: questo fa si che l’indirizzo IP dell’utente venga inviato a Google Analytics previo oscuramento dell’ottetto finale (ad esempio, gli indirizzi da 122.48.54.0 a 122.48.54.255 sarebbero sostituiti da 122.48.54.0).

La società oggetto del provvedimento 9782890 non aveva attivato questa funzione al momento della presentazione del reclamo, ma il garante della privacy ha ribadito che sebbene l’“IP-Anonymization” consista di fatto in una pseudonimizzazione del dato, questo non impedisce a Google LLC di re-identificare l’utente medesimo, grazie alle informazioni complessivamente raccolte dalla navigazione agli utenti del web (orario, sistema operativo, browser, risoluzione del monitor, etc) ed inoltre, se l’utente avesse effettuato l’accesso al proprio profilo Google (ad esempio per la posta gmail via web), esiste la possibilità per la stessa Google LLC di associare l’indirizzo IP (anche anonimizzato) ad altre informazioni aggiuntive già in suo possesso come le informazioni contenute nell’account utente, quindi nome, cognome, telefono etc.

Quindi cosa dobbiamo fare se usiamo Google Analytics?

Al momento utilizzare Google Analytics non è di fatto vietato in quanto il garante della Privacy italiana non si è espresso in modo specifico sul suo uso.

Restano valide al momento le indicazioni presenti sul sito del garante e nelle FAQ che ad oggi (05/07/2022), al punto 4, li assimila ai cookie tecnici.

… possono essere assimilati ai cookie tecnici se utilizzati a fini di ottimizzazione del sito direttamente dal titolare del sito stesso, che potrà raccogliere informazioni di tipo statistico in forma aggregata sul numero degli utenti e su come questi visitano il sito. …

www.garanteprivacy.it/faq/cookie punto 4

Con il provvedimento il garante ha praticamente solo fissato un limite temporale: se nei 90 giorni successivi si riuscirà a usare questo servizio a norma di GDPR si potrà continuare ad usarlo, in caso contrario bisogna fermarsi! Di certo però il servizio deve essere configurato in modo corretto e anonimizzato, altrimenti non è a norma GDPR.

Cosa cambierà con Google Analytics 4?

Al momento quello che sappiamo di preciso su Google Analytics 4 porta a pensare che porterà ad una parziale semplificazione, dato che questa versione non memorizzerà più l’ip dell’utente (come avevamo già spiegato in questo articolo), ma non sono ancora sciolti altri dubbi.

I punti salienti

• Google propone GA4 come soluzione per i problemi legati alla privacy
• GA4 utilizza un altro metodo per identificare l’utente a fini statistici
• I dati però continueranno ad essere trasferiti in USA
• Non ci sono organi di controllo attivi e con una linea d’azione comune tra USA e UE

In pratica: Google LLC garantisce di non utilizzare e/o analizzare i dati che raccoglie e memorizza per le statistiche dei siti web e che non le collega con le informazioni personali degli utenti che utilizzano i loro servizi, ma di fatto, al momento, anche con GA4 i dati vengono trasferiti in USA e nessuna autorità ispettiva europea può controllare che effettivamente Google non lo faccia!

Le possibili soluzioni

Continuiamo a usare Google Analytics (attivando però tutte le forme di anonimizzazione che sono disponibili) in attesa che si definisca e si rediga il testo definitivo del Trans-Atlantic Data Privacy Framework, che è in discussione da oltre un anno e che da marzo 2022 sembra sia stato approvato in tutti i suoi punti con l’obiettivo di attuare riforme che rafforzeranno la privacy e le protezioni dei diritti dei cittadini dopo la sentenza Schrems II ed anche in attesa del garante della privacy su altre pendenze in fase di risoluzione.

Smettiamo di usare Google Analytics Esistono alternative a Google Analytics e sono rappresentate dalle statistiche del traffico del sito internet che ogni server redige internamente. I dati basilari per conoscere l’usabilità del nostro sito, le pagine più viste etc sono sempre a nostra disposizione internamente. Stanno nascendo anche diversi software di aziende con sede in Europa che dichiarano di poter essere una valida alternativa a Google Analytics, ma quasi tutti sono completamente o parzialmente a pagamento!

Federico Leva… chi, come e perché

Quando c’è la possibilità di sfruttare i timori di incorrere in sanzioni, c’è sempre qualcuno che prova a sfruttare la situazione.

Migliaia di aziende stanno ricevendo in questi giorni una mail da un certo Federico Leva con oggetto “Uso illegittimo di Google Analytics: richiesta di rimozione ex art. 17 GDPR”

• Federico Leva esiste? Sì. Ed ha intenzionalmente creato un sistema per contattare in modo massivo migliaia di aziende
• E’ una truffa? NO. Non c’è nessuna richiesta di soldi o dati personali, non ci sono link esterni se non quelli al sito del garante della privacy o quello a Limesurvey.
• E’ spam? NO… o meglio… è l’invio massivo di richiesta di accesso e cancellazione dei dati da xmila siti italiani
• Avrebbe dovuto inviarci una Pec per questa richiesta? NO, il garante della privacy non lo indica come requisito.
• Posso ottemperare alla sua richiesta? Non in modo diretto! Nella sua richiesta manca un dato fondamentale: il client ID senza il quale non è possibile cancellare i suoi dati di navigazione senza rischiare di cancellare anche le sessioni di altri utenti. Ma a quanto pare è disponibile a fornirlo su richiesta via mail.
• Posso ignorarlo? Il mio parere (NON LEGALE) è che non si può ignorarlo, ha fatto solo una richiesta legittima di cancellazione dei dati.

Qualcosa “stona” nella sua richiesta

• Limesurvey: è un sito per collezionare dati tramite form. Lo ha usato per inviare migliaia di email, richiedendo di rispondere al form, facendo però un caricamento massivo senza preventiva autorizzazione per la privacy al punto che, a seguito di numerose segnalazioni Limesurvey ieri (04/07/22) gli ha chiuso l’account per violazione dei termini di contratto!
• Trattamento automatizzato: è un aspetto certamente da vedere con un legale, perchè PARE che nel tentativo di far valere un suo diritto in realtà ne abbia violato uno della stessa normativa…
• Mancanza di dati essenziali: Manca il client id e ci obbliga a doverlo contattare per poter espletare la sua richiesta.

Chi è Federico Leva e perchè l’ha fatto

Matteo Flora di #ciaointernet è riuscito a intervistarlo. Vive e lavora a Helsinki. L’ha fatto perché non è un fan di Google Analytics e di Google in generale per le sua attività ed ha colto la palla al balzo quando è stata pubblicata la comunicazione del Garante della Privacy.

In pratica il suo intento è stato quello di “avvertire” le aziende di questo provvedimento e spingere le aziende a togliere Google Analytics dai propri siti, sostituendolo con una qualsiasi soluzione alternativa per la gestione delle statistiche.

Cosa fare

• Cancelliamo i suoi dati! Se non sapete come fare, potete contattarci.
• Togliere GA3 perchè sicuramente non è più a norma, stante anche la comunicazione del garante.
• Migrare su GA4 può per il momento rispondere alle richieste del garante ma non è certo che lo faccia in modo completo (ci sono altre 4 o 5 pratiche in attesa del giudizio del Garante della Privacy che potranno fare luce sul cosa fare).
• Cambiare sistema di Web Analytics… stiamo valutando delle alternative da proporvi nei prossimi giorni.