Com’è noto il Garante italiano, in linea con le pronunce dei garanti austriaco e francese, ha bocciato la versione 3 di Google Analytics (GA) con il provvedimento n. 224 del 9 giugno 2022.
La sentenza del Garante aveva dato tre mesi di tempo all’azienda incriminata per mettersi in regola. Alcuni operatori da qui hanno ricavato il falso mito secondo cui tutte le aziende avrebbero dovuto adattarsi alla nuova situazione in tre mesi. In realtà, i tre mesi riguardavano il caso specifico, senza alcun effetto sospensivo generalizzato per l’adeguamento al GDPR.
Passati tre mesi resta il fatto che alle imprese nessuna autorità europea o italiana è stata capace di fornire indicazioni pratiche su cosa fare per mettersi in regola, salvo interrompere un’attività di monitoraggio e raccolta di informazioni assolutamente necessarie per qualunque impresa voglia competere e dotarsi di strumenti moderni per il proprio business.
Una premessa è doverosa: non è Universal Analytics a essere illegale di per sè, ma l’uso che si fa dei dati e il loro trasferimento automatico sui server americani di Google che, tra l’altro, è un trasferimento che viene fatto anche da altre piattaforme di marketing, CRM e molti altri tool.
Ovvio che la soluzione non potrà che essere politica e alle imprese non resta che adattarsi e utilizzare i pochi strumenti a disposizione documentando, in caso di ispezione, di aver analizzato la situazione ed apportato misure adeguate secondo ragionevolezza anche dei costi rispetto alla mole dei dati generati e oggetto di raccolta e trasferimento.
Intanto possiamo dire che rimuovere Analytics, oltre a far perdere molti dati, non è la soluzione: il problema non è Analytics ma il trasferimento che, per il passato, è già avvenuto.
Guido Scorza, del collegio Garante Privacy, in merito all’utilizzo del software GA4 ha rilevato che “a una prima vista questa versione riduce, non elimina, il rischio di accesso governativo ai dati di re-identificazione degli utenti” ma su tale software ad oggi il Garante non ha svolto alcuna verifica.
Resta il fatto che GA4, a nostro avviso, può essere quindi il primo passo per adeguarsi al GDPR anche se, come ricordato da Scorza, potrebbe non bastare.
Il Garante francese, proprio in merito a GA4 ha suggerito (oltre a GA4), di utilizzare un proxy per filtrare il trasferimento dati (sistema server-side), in modo da passare attraverso un filtro ulteriore, prima di comunicare con i server Google USA.
In tal caso si tratterebbe di una soluzione al 100% compliant, ma che non tutti possono affrontare in termini di costi di implementazione e mantenimento.
Altra opzione è quella di scegliere un'alternativa ad Analytics di un fornitore Europeo e basata su server europei: in questo caso è consigliabile affidarsi a esperti, in quanto non tutte queste piattaforme sono integrate a tool di terze parti come lo è Google.
Non è questa la sede per scendere in dettagli tecnici ma ciò che conta è che le imprese non si improvvisino esperti IT ma si rivolgano a consulenti esperti nella gestione dei tools e dei progetti di tracciamento.
Ciò che si deve sapere è che non è sufficiente troncare l'indirizzo IP del computer, con la funzione di anonimizzazione (come tra l'altro ancora indicato sui siti di alcuni ministeri) e nemmeno l’uso del consenso come base giuridica per il trasferimento – ai sensi dell’art. 49 del GDPR – si prospetta come una soluzione efficace.
Potrebbe essere un’altra soluzione virare verso modelli di business “cookieless”, che superino cioè l’uso di cookie di terze parti.
Google sta apportando modifiche nel tentativo di conformarsi alle leggi sulla privacy ed in particolare si è dotata di un proxy per la gestione dei dati (IP) degli utenti – quindi di server di Google situati in Europa – che non dovrebbero essere controllati o controllabili da Google LLC ma non è ancora chiaro se ciò sia sufficiente a escludere che le autorità americane possano obbligare a disvelare tali dati.
Ogni situazione deve essere analizzata nel contesto in cui opera e si muove. Dati per alcune aziende sono essenziali, per altre hanno un valore marginale e possono essere raccolti con altre modalità.
Come detto rispetto a Universal Analytics, GA4 utilizza gli indirizzi IP solo al momento della raccolta per determinare dove registrare altri dati relativi agli utenti, salvo poi anonimizzarli automaticamente.
Sebbene il consenso, come abbiamo già detto, non è fonte di liceità del trasferimento del dato, il blocco preventivo degli script può comunque essere considerata una possibile opzione.
Ulteriore settaggio di GA4 utile a ridurre i rischi e minimizzare la quantità di dati raccolti, è la disattivazione della raccolta di dati di Google Signals, dati basati sulla zona geografica e la disattivazione della raccolta di dati granulari su località e dispositivo.
Il noto principio dell’accountability in questa materia impone che le aziende si attivino e diano quantomeno la dimostrazione di aver provveduto al superamento del sistema censurato dal Garante che, in caso di ispezione, non potrà non tener conto dello stato dell’arte, ovvero della situazione in cui le imprese, loro malgrado sono venute ad imbattersi per colpe che evidentemente trascendono la loro volontà di conformarsi al GDPR.
È notizia recente che il presidente USA Joe Biden, con executive order del 7 Ottobre scorso, ha introdotto misure più rigorose per le agenzie di intelligence americane nell’accesso ai dati personali detenuti dalle società statunitensi, introducendo altresì strumenti di reclamo per proteggere le libertà civili degli interessati stessi, tramite un’autorità di controllo indipendente.
L’associazione di categoria che tutela, rappresenta e promuove le piccole e medie imprese su tutto il territorio italiano
