Il Garante Privacy italiano dice basta a Google Analitycs nei siti web senza le garanzie previste dal Regolamento Ue

Il Garante Privacy italiano dice basta a Google Analitycs nei siti web senza le garanzie previste dal Regolamento Ue

Il Garante ha adottato già il primo di una serie di provvedimenti con cui ha ammonito il gestore di un sito web, ingiungendo allo stesso di conformarsi al Regolamento europeo entro novanta giorni.

 

Scritto da il 24/06/22 | Pubblicato in Garante Privacy | Google Analitycs | | Archivio 2022

Seguici su

 
 

Una buona notizia per gli utenti del web stanchi di essere tracciati per tutto quello che fanno nel web: a conclusione di una complessa istruttoria avviata sulla base di una serie di reclami e in coordinamento con altre autorità privacy europee, il Garante Privacy italiano ha stabilito che i siti web che fanno uso del servizio Google Analytics (GA), senza le garanzie previste dal Regolamento Ue, violano la normativa sulla protezione dei dati perché trasferiscono negli Stati Uniti, Paese privo di un adeguato livello di protezione, i dati degli utenti.

Google Analytics è un servizio di web analytics gratuito fornito da Google che consente agli sviluppatori di siti web di analizzare delle dettagliate statistiche sui visitatori. Non tutti i siti web ne fanno uso, è il webmaster del singolo sito web a decdere se inserire il codice di tracciamento del servizio nelle pagine in cui desidera tracciare il traffico nel proprio sito web, cosa che il servizio effettua tramite cookie. E sappiamo che, dall'entrata in vigore del GDPR per la protezione della navigazione web, la questione dei 'cookie' si è complicata molto, con i siti web che devono chiedere il consenso agli utenti per il loro utilizzo. Ma la questione è ancora più complessa del semplice utilizzo di cookie.

Dall'indagine del Garante è emerso che "i gestori dei siti web che utilizzano GA raccolgono, mediante cookie, informazioni sulle interazioni degli utenti con i predetti siti, le singole pagine visitate e i servizi proposti. Tra i molteplici dati raccolti, indirizzo IP del dispositivo dell’utente e informazioni relative al browser, al sistema operativo, alla risoluzione dello schermo, alla lingua selezionata, nonché data e ora della visita al sito web. Tali informazioni sono risultate oggetto di trasferimento verso gli Stati Uniti. Nel dichiarare l’illiceità del trattamento è stato ribadito che l’indirizzo IP costituisce un dato personale e anche nel caso fosse troncato non diverrebbe un dato anonimo, considerata la capacità di Google di arricchirlo con altri dati di cui è in possesso".

Un sito web che fa uso di Google Analytics raccoglie molti dati dei loro visitatori - tra cui indirizzo IP del device, informazioni relative al browser, al sistema operativo, alla risoluzione dello schermo, alla lingua selezionata, oltre a data e ora della visita al sito web ma non solo. Google Analytics offre ai webmaster la possibilità di anonimizzare (o mascherare) l'indirizzo IP del dispositivo usato dai visitatori, e in questo caso il servizio "imposta l'ultimo ottetto degli indirizzi IPv4 dell'utente e gli ultimi 80 bit degli indirizzi IPv6 su zero in memoria subito dopo l'invio a Universal Analytics. In questo caso l'indirizzo IP completo non viene mai scritto su disco. Le dimensioni geografiche vengono ricavate in un secondo momento da indirizzi IP anonimizzati." scrive Google nella spiegazione di questa funzionalità [fonte: support.google.com/analytics/answer/2763052?hl=it]. Molti siti web hanno quindi pensato di conformarsi al GDPR solo anonimizzando gli indirizzi IP raccolti con GA, ma da quanto appreso al Garante questo non è sufficiente: " l’indirizzo IP costituisce un dato personale e anche nel caso fosse troncato non diverrebbe un dato anonimo, considerata la capacità di Google di arricchirlo con altri dati di cui è in possesso".

All’esito degi accertamenti effettuati, il Garante ha adottato già il primo di una serie di provvedimenti con cui ha ammonito il gestore di un sito web, ingiungendo allo stesso di conformarsi al Regolamento europeo entro novanta giorni. Un tempo "ritenuto congruo per consentire al gestore di adottare misure adeguate per il trasferimento, pena la sospensione dei flussi di dati effettuati, per il tramite di GA, verso gli Stati Uniti." spiega il Garante.

Il Garante ha evidenziato, in particolare, la possibilità, per le Autorità governative e le agenzie di intelligence statunitensi, di "accedere ai dati personali trasferiti senza le dovute garanzie, rilevando al riguardo che, alla luce delle indicazioni fornite dall’EDPB (Raccomandazione n. 1/2020 del 18 giugno 2021), le misure che integrano gli strumenti di trasferimento adottate da Google non garantiscono, allo stato, un livello adeguato di protezione dei dati personali degli utenti". Allo scadere del termine di 90 giorni assegnato alla società destinataria del provvedimento, il Garante procederà, anche sulla base di specifiche attività ispettive, a verificare la conformità al Regolamento Ue dei trasferimenti di dati effettuati dai titolari.

Con l’occasione, il Garante richiama all’attenzione di tutti i gestori italiani di siti web, pubblici e privati, l’illiceità dei trasferimenti effettuati verso gli Stati Uniti attraverso Google Analytics, e invita tutti i titolari del trattamento a verificare la conformità delle modalità di utilizzo di cookie e altri strumenti di tracciamento utilizzati sui propri siti web, con particolare attenzione a GA e ad altri servizi analoghi, con la normativa in materia di protezione dei dati personali.

Se la notizia può rivelarsi positiva per gli utenti del web, lo è meno per i proprietari di siti web che ancora fanno uso di Google Analytics, in quanto risulta essere lo strumento di tracciamento preferito. Nella realtà dei fatti non esiste solo GA, a disposizione dei webmaster ci sono ottimi strumenti che permettono di analizzare il traffico di un sito web garantendo il massimo rispetto della privacy degli utenti, funzionando anche senza l'uso di cookie. Un esempio può essere Matomo, se configurato con le giuste impostazioni anti-tracciamento che mette a disposizione. Per i webmaster che, invece, desiderano continuare ad utilizzare Google Analytics, il consiglio è di informarsi bene su come poter continuare ad utilizzare GA nel rispetto del Regolamento europeo, se mai ci fosse un modo per farlo. Fortunatamente ci sono webmaster che stanno attenti all'evoluzione del web, e soprattutto alle regole del web, e quindi hanno iniziato a prendere le distanze da GA dopo che l'utilizzo dei cookie non viene più visto come 'buona cosa'.  

Il comunicato integrale del Garante Privacy è disponibile all'indirizzo www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9782874