Con provvedimento del 9.6.2022, il Garante Privacy ha affermato che l’uso di Google Analytics viola il GDPR perché implica il trasferimento di dati negli Stati Uniti, Paese privo di un adeguato livello di protezione dei dati degli utenti.
La questione riguardava l’utilizzo di Google Analytics da parte di una società italiana per finalità statistiche, ossia volte ad ottenere informazioni aggregate sull’attività degli utenti all’interno del proprio sito web. Attraverso Analytics, infatti, i gestori di siti Internet possono ottenere dettagliati report statistici sull’attività degli utenti nell’ottica di ottimizzare i servizi resi e di monitorare le proprie campagne di marketing.
Nel caso esaminato dal Garante è stato accertato che, mediante i cookies analitici di Google, venivano raccolti dati personali degli utenti come l’indirizzo IP del dispositivo utilizzato dall’utente e informazioni relative al browser, al sistema operativo, alla risoluzione dello schermo, alla lingua selezionata e alla data e ora della visita al sito web.
In esito all’istruttoria, il Garante ha concluso che il servizio Google Analytics presuppone un trasferimento di dati dall’Europa agli Stati Uniti e che tali dati consentono di identificare gli utenti visitatori del sito Internet che utilizza Analytics. Pertanto, sulla base delle stesse motivazioni già espresse dalla Corte di Giustizia UE il 16.7.2020 (c.d. sentenza Schrems II), il Garante ha affermato la non conformità al GDPR dello strumento Analytics.
La pronuncia del Garante coinvolge migliaia di imprese italiane che utilizzano questo strumento e, ad oggi, non è chiaro quali misure dovranno essere intraprese per adeguare i siti web alle conclusioni dell’Autorità.
La stessa Google, con comunicato del 23.6.2022, ha replicato alla pronuncia del Garante sottolineando che lo scopo di Analytics è esclusivamente quello di aiutare i proprietari di siti web a comprendere come gli utenti interagiscono con quei siti e che “non è permesso caricare informazioni che potrebbero essere utilizzate da Google per identificare una persona”. Ancora, Google ha evidenziato che “l’utilizzo di Google Analytics è a completa discrezione delle organizzazioni che hanno un sito o un’app. Sono loro, non Google, a stabilire quali dati raccogliere e come utilizzarli”. Inoltre, nel comunicato si legge che gli utilizzatori di Google Analytics dispongono di vari strumenti per la gestione dei dati, inclusa la possibilità di “Abilitare l’anonimizzazione (o mascheramento) dell’IP sui propri siti web per far sì che l’intero indirizzo IP non venga mai elaborato o registrato”.
Ma il Garante italiano ha espresso forti criticità anche sulla funzionalità di anonimizzazione dell’IP offerta da Google, peraltro attivata anche dalla società ammonita con il provvedimento in questione. Infatti, secondo il Garante, l’“IP-Anonymization” oscura soltanto l’ultima parte dell’indirizzo IP ma non impedisce a Google di re-identificare l’utente combinando le informazioni complessivamente raccolte ad altre già in possesso di Google (come quelle dell’account Google). Quindi il dato sarebbe solo pseudononimizzato e non anonimo.
Risulta perciò difficile individuare una valida alternativa alla versione censurata di Google Analytics.
Attualmente, la versione Google Analytics 4 sta suscitando moltissimo interesse proprio perché non memorizza gli indirizzi IP, ma li utilizza solo per determinare la posizione degli utenti ora senza registrarli sul server. Dato che Analytics 4 imposta di default la funzionalità di anonimizzazione, secondo alcuni potrebbe risultare conforme al GDPR. Tuttavia, anche tale impostazione potrebbe rivelarsi insufficiente sulla base delle considerazioni già espresse dal Garante sulla funzionalità di IP-Anonymization.
In ogni caso, Analytics 4 non è ancora stato sottoposto al vaglio del Garante italiano e non è possibile anticipare conclusioni. Tra due mesi la società ammonita dal Garante dovrà comunicare quali iniziative siano state intraprese al fine di dare attuazione a quanto disposto nel provvedimento in commento e, forse, in tale occasione sarà possibile anche fare chiarezza sull’uso di Analytics 4.
Una speranza arriva dal CNIL, il Garante francese, che sembra avere ipotizzato come possibile soluzione l’uso di Analytics 4 con l’aggiunta di un proxy server (provvedimento del 7 giugno 2022).
Ciò che si può affermare con certezza, invece, è l’urgenza di un nuovo accordo tra USA e UE che vada a sostituire il Privacy Shield. Infatti, in assenza di indicazioni puntuali da parte delle istituzioni europee, difficilmente gli operatori potranno individuare soluzioni tecniche e giuridiche adeguate al GDPR.
Ilaria Feriti