Di pochissimi giorni fa uno scossone che ha investito gli operatori che adoperano Google Analytics (versione 4): con il garante della privacy che ha intimato lo “stop all’uso degli Analytics” a causa di “Dati trasferiti negli USA senza adeguate garanzie” e “ … senza le garanzie previste dal Regolamento Ue, viola la normativa sulla protezione dei dati perché trasferisce negli Stati Uniti, Paese privo di un adeguato livello di protezione, i dati degli utenti ..“.
Il sito su cui poggia il servizio di Google Analytics infatti, senza adeguate garanzie come previsto dal regolamento UE, “viola la normativa sulla protezione dei dati perché trasferisce negli Stati Uniti, Paese privo di un adeguato livello di protezione, i dati degli utenti.“.
E’ quanto affermato dal Garante per la privacy a seguito di una non facile indagine basata su una base di reclami e condotta con l’autorità sulla privacy di altri paesi europei.
Dall’inchiesta del Garante è emerso che i gestori dei siti web che utilizzano Google Analitycs raccolgono, mediante cookie, informazioni sugli utenti che navigano, le singole pagine visitate e i servizi loro proposti; rispetto alla normativa Usa, la privacy non viene tutelata legalmente come in Europa. Addirittura, il solo caricamento dello script è trasferimento all’estero, poiché se si vuol ricevere lo script necessario il proprio IP deve essere mandato in America (cioè trasferimento all’estero di dato personale).
Tra i molteplici dati che vengono raccolti, l’indirizzo IP del dispositivo dell’utente e le informazioni relative al browser e al sistema operativo utilizzati sono considerati oggetto di trasferimento verso gli Stati Uniti. Inoltre, l’indirizzo IP viene ritenuto dato personale e anche qualora fosse troncato non diverrebbe un dato anonimo, considerata l’attuale capacità di Google di arricchirlo con altri dati (leggi ‘rich snippet‘).
Contributo da ‘TagManager Italia’
Fulcro della diatriba è l’anonimazione del dato. Emerge che il trasferimento dei dati fra imprese nell’Unione Europea è protetto e si basa sul GDPR (dunque eguale trattamento di protezione dei dati personali per le società su territorio nazionale). Per contro, il trasferimento di dati verso altri paesi (America e non) prevede che ci debbano essere delle ulteriori garanzie (clausole contrattuali standard) per garantire le attività, precludendo che terzi possano vedere i dati stessi.
Sintomo di un disallineamento in fatto di tutela della privacy (e quindi di GDPR) dei paesi europei e nei rapporti fra questi e l’America.
Problematica di non facile soluzione, dal momento che praticamente Google Analytics fa da padrone nel campo dello scambio dei dati, anche se potrebbero essere considerate soluzioni alternative più o meno all’altezza …
Verrebbe da azzardare anche la (paradossale) possibilità di mantenere i dati in server dislocati nel proprio paese ma per ciò occorrerebbe anzitutto verificare l’architettura della struttura stessa !
In definitiva allora si tratta di un mero caso di policy piuttosto che di privacy, un problema che deve essere risolto a livello politico. Difficile pensare che GA venga smontato ma necessario che sia Google stessa a compiere una valida azione, pena lo stravolgimento del settore.
[Fonti: www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9782874?fbclid=IwAR23CsVELt1jB9egcrL4wnmnI9d7C9ST1N0gnn79fwnDYhgTFM5dbHoatBk; www.ilsole24ore.com/art/non-e-google-analytics-ad-essere-illegale-ma-trasferimento-dati-personali-gli-usa-AE9GrBiB]