Il 23 giugno si diffonde la notizia dell’ammonimento di un’azienda italiana da parte del Garante della Privacy per aver configurato Google Analytics sul proprio sito in modo non rispettoso della normativa GDPR.
Il Garante della Privacy italiano, con questo provvedimento ha preso così posizione contro l’esportazione di dati personali di cittadini europei verso gli USA.
Dov’è il problema?
Fondamentalmente, le modalità di trattamento dei dati di Google Analytics 3 non risultano conformi ai requisiti del GDPR perché lo strumento trasferisce i dati degli utenti negli Stati Uniti e quindi non garantisce la loro tutela, infatti le agenzie di sicurezza americane possono accedere a questi dati senza un autorizzazione specifica.
l’anomizzazione dell’IP consentita da Analytics 3, non è ritenuta strumento sufficiente a tutelare la privacy degli utenti del sito.
Che fare allora?
Google Analytics non è conforme al GDPR e la responsabilità non di Google
Quando installiamo Google Analytics nel nostro sito, i titolati dei dati siamo noi, Google diventa solo il gestore, quindi qualora il dato non venga trattato secondo le norme, a risponderne sarà il titolare del sito.
Quindi, allo stato attuale non è possibile utilizzare Google Analytics garantendo la conformità al GDPR.
Google Analytics non conforme al GDPR. Di chi è la responsabilità?
Allo stato attuale, secondo quanto stabilito dall’autorità, non è possibile utilizzare Google Analytics garantendo la conformità al GDPR e la responsabilità è di chi gestisce il sito web, non di Google.
L’intervento del Garante, infatti, è rivolto ai gestori dei siti: la responsabilità di affidarsi a strumenti ritenuti non conformi alle normative vigenti è loro e non il colosso di Mountain View.
Nel comunicato del Garante si legge che: “Con l’occasione l’Autorità richiama all’attenzione di tutti i gestori italiani di siti web, pubblici e privati, l’illiceità dei trasferimenti effettuati verso gli Stati Uniti attraverso GA, anche in considerazione delle numerose segnalazioni e quesiti che stanno pervenendo all’Ufficio. E invita tutti i titolari del trattamento a verificare la conformità delle modalità di utilizzo di cookie e altri strumenti di tracciamento utilizzati sui propri siti web, con particolare attenzione a Google Analytics e ad altri servizi analoghi, con la normativa in materia di protezione dei dati personali.”
Google Analytics non conforme al GDPR. Come possiamo procedere?
Non è facile definire una strada precisa in quanto le indicazioni fornite non sono sufficienti a delineare una strategia che possa lasciare tranquilli. Ricordiamo inoltre che il problema sollevato in questo caso specifico per Google analytics può essere esteso a tutti quei servizi che utilizzano un tracciamento degli IP da parte di aziende con sede negli stati uniti o comunque americane…
Alcune vie potrebbero essere queste:
- Eliminare Analitycs. Sembra una risposta stupida, ma in realtà molte aziende hanno installato il potente servizio ma non ne fanno uso. In questo caso è inutile mantenere il servizio attivo. Ovviamente questo discorso è improponibile per chi lo utilizza come sistema di monitoraggio del proprio business.
- Passare a sistemi di analisi locali come Matomo, ma con il rischio, in caso di violazione del server e dei dati, di incorrere in sanzioni ancora più pesanti, Inoltre diventa difficile pensare ad un sistema di analisi distinto se si lavora con tutto l’ecosistema GOOGLE.
- Continuare ad utilizzare Google Analytics, facendo l’upgrade a Google Analytic 4 effettuando però un setup specifico che riduca al minimo le informazioni raccolte, o in configurazioni “proxy” che richiedono però costi di settaggio e mantenimento importanti.
Ho Analytics 3, cosa rischio?
Nel caso che ha sollevato tutto questo polverone non si parla di sanzioni inflitte dal Garante, che si è limitato a sollevare la questione, dando 90 giorni di tempo all’azienda per porre rimedio a questa situazione, scaduti i quali si provvederà a verificare la conformità del sito al GDPR.
Sarebbe però quantomeno auspicabile fare una valutazione della propria configurazione e valutare soluzioni che siano più in linea con la tutela dei dati degli utenti.
Se vi serve una consulenza in tal senso, Lo studio De Marchi è a vostra disposizione.