Google Analytics è il servizio di raccolta e analisi delle statistiche più utilizzato in assoluto.
Tale servizio traccia le attività dei visitatori di un sito web fornendo ai gestori del sito stesso statistiche aggregate, ad esempio:
- dati demografici degli utenti;
- caratteristiche tecniche del device utilizzato (ad esempio il Sistema Operativo);
- aspetti comportamentali: pagine visitate, acquisti online effettuati, numero di visite, etc.
Tale attività di tracciamento viene eseguita tramite un frammento di codice (cookie), fornito da Google, inserito nel sito in fase di programmazione.
Nel momento in cui un utente visita una pagina web, si attiva automaticamente una parte del codice che trasferisce alcune informazioni (sufficienti a identificare il visitatore) sui server di Google.
Le principali informazioni inviate ai server di Google sono:
- Indirizzo IP in chiaro, da cui è possibile ricavare il luogo geografico;
- Data, ora e fuso orario della navigazione del sito;
- User Agent (identificativo del browser);
- Eventuali Cookie precedentemente impostati.
Inoltre, se si è iscritti a servizi che richiedono la registrazione dell’utente (Play Store, Google Pay, Chrome e molti altri), Google potrà confrontare l’IP dell’utente (che sta navigando sul sito) con i dati di registrazione di tali servizi ricavandone, così, l’identità.
Qual è l’impatto privacy?
In virtù di quanto riportato finora, Google può identificare gli utenti e analizzarne le attività, le opinioni e gli interessi tramite tutti i siti web che utilizzano Google Analytics.
La problematica in relazione all’ambito privacy nasce dal fatto che ad essere identificati sono anche gli utenti che risiedono nell’Unione Europea.
La Corte di Giustizia dell’Unione Europea (CGUE), infatti, si è pronunciata nel luglio 2020 (c.d. “Sentenza Schrems II”) vietando il trasferimento dei dati dall’Unione Europea verso gli Stati Uniti.
Nelle FAQ messe a disposizione del Comitato Europeo per la protezione dei dati (EDPB), sono illustrate in maniera semplice e chiara le motivazioni che hanno portato la CGUE ha vietare il trasferimento dei dati personali dall’Unione Europea verso gli Stati Uniti.
I concetti fondamentali di tale sentenza sono espressi ai punti:
1 – Secondo la Corte, i requisiti della normativa interna degli Stati Uniti, e in particolare taluni programmi che consentono l’accesso da parte delle autorità pubbliche statunitensi, per finalità di sicurezza nazionale, ai dati personali trasferiti dall’Unione europea verso gli Stati Uniti, comportano limitazioni della protezione dei dati personali che non sono configurate in modo da soddisfare requisiti sostanzialmente equivalenti a quelli richiesti nel diritto dell’Unione; inoltre, tale normativa non conferisce agli interessati diritti azionabili in sede giudiziaria nei confronti delle autorità statunitensi;
3 – […] la normativa statunitense oggetto della valutazione della Corte non fornisce un livello di protezione sostanzialmente equivalente a quello dell’Unione. Di questa valutazione si deve tenere conto con riguardo a qualsiasi trasferimento verso gli Stati Uniti;
4 – I trasferimenti sulla base di questo quadro giuridico sono illegali […].
Google Analytics: il comunicato stampa del Garante Privacy
Il Garante per la privacy, a conclusione di una complessa istruttoria avviata sulla base di una serie di reclami e in coordinamento con altre autorità privacy europee, ha individuato delle non conformità in relazione all’utilizzo del servizio di Google.
Dall’indagine del Garante è emerso che i gestori dei siti web che utilizzano Google Analytics raccolgono, mediante cookie, informazioni sulle interazioni degli utenti con i predetti siti, le singole pagine visitate e i servizi proposti.
Tra i molteplici dati raccolti (come descritto all’inizio di questo articolo) troviamo l’indirizzo IP del dispositivo dell’utente e informazioni relative al browser, al sistema operativo, alla risoluzione dello schermo, alla lingua selezionata, nonché data e ora della visita al sito web.
Tali informazioni sono risultate oggetto di trasferimento verso gli Stati Uniti. Nel dichiarare l’illiceità del trattamento è stato ribadito che l’indirizzo IP costituisce un dato personale e anche nel caso fosse troncato non diverrebbe un dato anonimo, considerata la capacità di Google di arricchirlo con altri dati di cui è in possesso.
Con una nota ufficiale, quindi, il Garante Privacy ha invitato tutti i gestori di siti che utilizzano programmi di tracciamento, incluso Google Analytics, che non rispettano le norme europee, ad adeguarsi a tali normative entro 90 giorni verificando la conformità delle modalità di utilizzo dei cookie e altri strumenti di tracciamento utilizzati sui propri siti web.
Chi ha un sito web cosa deve fare?
Allo scadere del termine di 90 giorni assegnato alla società destinataria del provvedimento, il Garante procederà, anche sulla base di specifiche attività ispettive, a verificare la conformità al Regolamento UE dei trasferimenti di dati effettuati dai Titolari.
In concreto, lo stop all’uso di Google Analytics induce a scegliere altri prodotti oppure ad implementare misure di sicurezza tecniche per esaudire i requisiti di garanzia per il trasferimento dei dati negli Stati Uniti (nel rispetto delle raccomandazioni 01/2020 dell’EDPB), anche se ad oggi tali misure sono difficilmente attuabili.
Il Garante Privacy non ha fornito indicazioni pratiche utili e di supporto ai Titolari, che non possono fare altro che pensare a strumenti alternativi a Google Analytics.
Da luglio 2020 (sentenza Schrems II) è fondamentale che le Autorità forniscano indicazioni quanto più precise per guidare i gestori di siti web, nella speranza che si giunga al più presto ad un nuovo accordo tra USA ed Europa in merito al trasferimento dati.