Chi si occupa di digital marketing, comunicazione e strategie digitali conosce perfettamente Google Analytics, la piattaforma dedicata all’analisi del sito web. Non è passata inosservata, anche a coloro che non utilizzano questo servizio, la notizia del provvedimento del Garante della Privacy che, di fatto, stabilisce che la piattaforma proprietaria di Google viola il General Data Protection Regulation, il più noto GDPR. Scopriamo le ragioni di questo provvedimento e le conseguenze da conoscere e considerare.
Cos’è Google Analytics
Molto semplicemente, senza entrare in tecnicismi in questa sede fuorvianti, Google Analytics è una piattaforma gratuita che il colosso di Mountain View mette a disposizione dei proprietari e dei gestori dei siti web per ottenere informazioni, statistiche, dati e strumenti analitici con cui valutare come sta andando la propria attività online. Fondamentalmente, ed è qui che verte l’interesse del Garante della Privacy, per mostrare quelle informazioni Google utilizza dati relativi all’attività di ciascun utente.
Indirizzo IP del dispositivo utilizzato, lingua selezionata, sistema operativo impiegato, data e ora di visualizzazione delle pagine; queste e molte altre le informazioni che Analytics raccoglie e invia al database di Google in modo da restituire tutte quelle informazioni preziose per chi lavora nel mondo digitale.
Cos’è il GDPR
Con l’acronimo GDPR si fa riferimento al Regolamento generale per la protezione dei dati (General Data Protection Regulation) entrato in vigore a maggio del 2016 e attuato solamente a partire dal 25 maggio 2018. Scopo di questo testo è quello di armonizzare in maniera definitiva la “regolamentazione in materia di protezione dei dati personali all’interno dell’Unione europea”. Il GDPR, che non necessita di recepiment oda parte degli Stati membri dell’UE ma è vincolante allo stesso modo in tutto il territorio dell’Unione Europea, ha come obiettivo quello di permettere che ogni individuo abbia il controllo sull’utilizzo dei propri dati personali. Questo viene perseguito tramite precisi requisiti che ogni ente deve rispettare. Google compreso. E così non è stato come stabilito dal Garante della Privacy.
La sentenza de Garante della Privacy
Il provvedimento 9782890 del 9 giugno 2022 del Garante della Privacy giunge a queste conclusioni: “Per i suesposti motivi l’Autorità ritiene che le dichiarazioni, la documentazione e le ricostruzioni fornite dal titolare del trattamento nel corso dell’istruttoria, non consentano di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e che risultino pertanto inidonee a disporre l’archiviazione del presente procedimento”. Il trattamento dei dati personali effettuato da Google risulta illecito.
La ragione è molto semplice in quanto per il funzionamento di Analytics Google effettua un trasferimento dei dati raccolti all’interno dell’Unione Europea verso gli Stati Uniti, Paese nel quale non è presente, secondo la normativa europea, un livello di protezione dei dati personali degli utenti adeguato.
Google Analytics, in conclusione, non rispetta i requisiti di conformità previsti dal GDPR.
Ovviamente Google ha replicato alla decisione del Garante (tramite comunicato del 23 giugno) precisando come i dati utilizzati da Analytics non permettono a Google di avere informazioni per identificare una persona. Allo stesso tempo Google precisa come l’utilizzo di Analytics è a discrezione del proprietario del sito web e che pertanto non è in potere di Google stabilire quali dati raccogliere e come utilizzarli. Infine si fa presente come tra le funzioni di Analytics ci sia anche quella di rendere anonimi gli indirizzi IP in modo che non vengano registrati.
Nonostante questo rimangono elevate le perplessità del Garante della Privacy che non ritiene adeguate e rassicuranti le precisazioni fornite da Google.
Tutto finito per Google?
Al momento Google ha rilasciato la versione 4 di Analytics che introduce di default alcune delle impostazioni che migliorerebbero la tutela dei dati personali. Google Analytics 4 dovrà essere sottoposto a nuova verifica ascoltando quanto Google avrà da dire in attuazione di quanto indicato nel provvedimento del Garante.
Al di là di quelli che saranno gli esiti specifici la vicenda ripropone l’urgenza di una normativa condivisa tra Unione Europea e Stati Uniti e l’importanza di adottare tutte le misure possibili per assicurare agli utenti la tutela dei propri dati personali.