GDPR regolamento europeo privacy

Google Analytics fuorilegge?

Google Analytics fuorilegge per il Privacy Shield? Qual'è la situazione? Come comportarsi?

Tutti quelli che hanno un sito web (o quasi tutti) ormai sanno che cos’è il GDPR e che implicazioni ha sulle aziende e sui relativi siti web. Eppure c’è ancora tanta confusione e tanto terrorismo, soprattutto perché il GDPR non va a toccare solo i siti web, ma anche la gestione aziendale off-line

Google Analytics fuorilegge?

Tutti quelli che hanno un sito web (o quasi tutti) ormai sanno che cos’è il GDPR e che implicazioni ha sulle aziende e sui relativi siti web. Eppure c’è ancora tanta confusione e tanto terrorismo, soprattutto perché il GDPR non va a toccare solo i siti web, ma anche la gestione aziendale off-line, ovvero quella che si fa in maniera analogica o tecnologica in sede. Ora salta fuori che Google Analytics fuorilegge secondo il Privacy Shield… andiamo con ordine.

Che cos è il GDPR?

Wikipedia ci da questa definizione:

Il regolamento generale sulla protezione dei dati (GDPR in inglese General Data Protection Regulation), ufficialmente regolamento (UE) n. 2016/679 , è un regolamento dell’Unione europea in materia di trattamento dei dati personali e di privacy, adottato il 27 aprile 2016, pubblicato sulla Gazzetta ufficiale dell’Unione europea il 4 maggio 2016 ed entrato in vigore il 24 maggio dello stesso anno ed operativo a partire dal 25 maggio 2018.
Con questo regolamento, la Commissione europea si propone come obiettivo quello di rafforzare la protezione dei dati personali di cittadini dell’Unione europea (UE) e dei residenti nell’UE, sia all’interno che all’esterno dei confini dell’UE, restituendo ai cittadini il controllo dei propri dati personali, semplificando il contesto normativo che riguarda gli affari internazionali, unificando e rendendo omogenea la normativa privacy dentro l’UE.

In pratica, è un regolamento che aiuta i cittadini a conoscere come vengono trattati i propri dati da tutte quelle aziende che li raccolgono, dando al cittadino stesso la facoltà di sapere cosa viene raccolto, come viene trattato e quali persone/organismi hanno accesso a quei dati, con la facoltà di chiederne anche la distruzione o il trasferimento verso altro fornitore.

E qui parte un primo punto di confusione: Il GDPR non riguarda solo i siti web.

Facciamo un esempio:
Se nella tua azienda hai un dipendente, hai accesso ai suoi dati sensibili e sei soggetto al GDPR. Significa che dovresti indicare in un apposito documento, quanti e quali dati raccogli, per quali finalità, chi ha accesso a quei dati, per quanto tempo li conservi.
Per andare ancora più nello specifico, dovresti dichiarare che raccogli i dati personali dell’utente (stato di salute, situazione famigliare, etc) così come i dati bancari (se lo vuoi pagare con bonfico per esempio), che questi dati sono inseriti in un programma gestionale, al quale ha accesso lo studio commerciale che ti tiene la contabilità e ti prepara le buste paga, che questi dati non sono ceduti a terzi e che vengono utilizzati solo per le finalità di rapporto di lavoratore dipendente. Tutto questo, anche senza avere un sito web.

La gestione dei dati sul sito web è quindi solo una parte di tutto quello che richiede il GDPR. Ma torniamo da dove siamo partiti.

Il GDPR tutela gli utenti in Europa, ma si è reso necessario un sistema di protezione dei dati in caso di trasferimento degli stessi in paesi extra-UE. E’ nato così il Privacy Shield.

GDPR Regolamento Privacy Europeo

Che cos’è il Privacy Shield?

Il Privacy Shield, ovvero lo “scudo per la privacy” fra UE e USA, è un meccanismo di autocertificazione per le società stabilite negli USA che intendano ricevere dati personali dall’Unione europea. In particolare, le società si impegnano a rispettare i principi in esso contenuti e a fornire agli interessati (i.e. ovvero tutti i
soggetti i cui dati personali siano stati trasferiti dall’Unione europea) adeguati strumenti di tutela, pena
l’eliminazione dalla lista delle società certificate da parte del Dipartimento del Commercio statunitense e possibili sanzioni da parte della Federal Trade Commission. (Fonte Garante Privacy italiano).

Ed è proprio su questo punto che è partita la discussione su Google Analytics

Il Garante Privacy austriaco ha stabilito che l’uso di Google Analytics rappresenta una violazione del GDPR. In base alla sentenza della CGUE (Corte di Giustizia Europea), il trasferimento dei dati degli utenti europei negli Stati Uniti non è consentito, in quanto avviene in violazione del GDPR. I giudici hanno quindi annullato l’accordo UE-USA noto come Privacy Shield.

Molte aziende statunitensi, tra cui ovviamente Google, hanno “fatto spallucce” ignorando di fatto la sentenza portando riferimenti a cosiddette “clausole contrattuali standard” (non entro nello specifico).

Il garante della privacy austriaco ha risposto che tali clausole o le misure tecniche organizzative non sono sufficienti perché non limitano l’accesso ai dati degli utenti europei da parte delle agenzie di intelligence statunitensi.

In questo tira e molla, si è aggiunta la Francia, che ha dichiarato, non solo che Analytics non rispetta il privacy Shield, ma che addirittura non lo rispetta nemmeno se anonimizzato negli IP.
(anonimizzare un IP significa coprire parte dei numeri che compongono l’indirizzo di connessione di uno o più utenti, per es. 123.456.789.xxx e che diversamente permetterebbe di risalire a molte delle attività effettuate da questo/i online).

Ricerca web analisi Google analytics

Quindi Google Analytics fuorilegge? Dobbiamo dare l’addio ad Analytics e trovare una alternativa?

Su questo punto, online si è scatenato un putiferio. Chi corre ai ripari, chi si strappa i capelli, chi dice che ignorerà tutto…

Vorrei essere un po’ più obiettivo e dare la mia opinione, che vale quello che vale non essendo io un legale o non avendo titoli per farlo, ma da addetto al settore IT, posso dare una mia interpretazione.

Siamo in Italia e siamo soggetti alle linee guida del Garante Privacy Italiano.

E cosa dice il garante privacy sulla vicenda? Al momento in cui scrivo: NULLA!
Il Garante italiano, non si è ancora espresso in merito alla vicenda, quindi, l’unica cosa che possiamo fare è quello di prendere per buono ciò che ha indicato nelle ultime linee guida sull’utilizzo dei Cookie pubblicate a Luglio 2021 ed entrate in vigore a Gennaio 2022, ovvero che

L’utilizzo dei cookie analitici anonimizzati (come appunto Google Analitycs anonimizzato) rientra tra i cookie considerati tecnici, ovvero quelli che NON richiedono un esplicito consenso dell’utente per essere utilizzati in quanto non permettono una identificazione univoca.

Di riflesso a questo, mi sento di dire che attualmente l’Italia non ha nulla da obiettare all’utilizzo di questo componente. Diverso è il discorso se Google Analytics viene utilizzato non anonimizzato perchè si utilizzano strumenti come Google Ads ovvero strumenti di profilazione e tracciamento utenti; in quel caso occorre installare il cookie SOLO previo consenso dell’utente (consenso che ti ricordo deve essere esplicito, non forzato, e da poter dimostrare).

Viene da pensare che anche in caso di una dichiarazione, il Garante italiano non possa pronunciarsi in contrasto con le linee guida sopra citate; se lo farà, dovrà rivedere anche queste ultime, quindi ci sarà comunque del lavoro da fare.

Aggiungiamo che al momento si sono espressi contrari solo Austria e Francia e che il Garante Europeo non ha ancora preso una posizione ufficiale.

Conclusioni

Attualmente per quanto mi riguarda nessuna attività drastica è dovuta sui siti che utilizzano sistemi anonimizzati di statistica. In caso di sistemi NON anonimizzati, il sito doveva già essere in regola con le linee guida sui cookie, quindi anche qui, nessun intervento richiesto per chi ha fatto “i compiti” a suo tempo.

La questione è in evoluzione? Assolutamente sì, ma quello che mi sento di suggerire è di stare calmi, analizzare bene la situazione e farsi affiancare da un consulente legale e tecnico per analizzare la propria situazione.

In base ai futuri sviluppi, si applicheranno i provvedimenti del caso.

Ti è piaciuto l’articolo? Vuoi approfondire l’argomento o ti serve una consulenza tecnica in merito?
Sono a tua disposizione!

Ti è piaciuto l’articolo? Condividilo su

Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on telegram
Telegram
Share on whatsapp
WhatsApp
Share on email
Email
Share on print
Print