Giovedì scorso il Garante della privacy ha ammonito la società Caffeina Media srl, che usava Google Analytics sul proprio sito, chiedendole di toglierlo entro 90 giorni. In sostanza, il sito web che utilizza il servizio Google Analytics, senza le garanzie previste dal Regolamento Ue, violerebbe la normativa sulla protezione dei dati, perché trasferisce negli Stati Uniti, Paese privo di un adeguato livello di protezione, i dati degli utenti. L’invito non riguarda solo Caffeina, ma informalmente tutte le società che utilizzano gli analytics di Google, perché il problema è generalizzato. Qui l’articolo sul Sole 24 Ore.com. Dall’indagine del Garante è emerso che i trasferimenti di dati personali in questione, nonostante le misure sin qui adottate dai titolari del trattamento e soprattutto da Google, restano incompatibili con la disciplina europea della privacy
Qualcuno ha subito sostenuto che si tratta di una vittoria della comunità MonitoraPa l’osservatorio che si definisce automatizzato che a maggio aveva sollevato il tema dell’illegittimità di Google Analytics . Secondo quanto risulta a MonitoraPa erano quasi 8.000 le Pubbliche Amministrazioni che usano illecitamente Google Analytics. A fine maggio hanno inviato 7.833 PEC alle PA che usavano Google Analytics proponendo come strumento alternativo a Google Analytics, la piattaforma Web Analytics Italia, come raccomandato da AgID. Per capire qualcosa di più abbiamo invitato a Think Tally Talk Fabio Pietrosanti, attivista e co-founder di Monitora.
Qui sotto l’intervista con la spiegazione del funzionamento del tool.
Dal 22 maggio a oggi le PA che usano Google Analytics sono sensibilmente diminuite, vedremo cosa succederà dopo la pronuncia del Garante della privacy.
Perché è illegittimo usare Google Analytics? Google Analytics, un servizio di analisi web gratuito che serve per monitorare gli accessi del sito. E’ di Google, è il più popolare e fornisce statistiche e strumenti analitici. Detto altrimenti misura il traffico sui siti web e traccia il comportamento degli utenti. L’illegittimità deriverebbe dal trasferimento di dati verso gli Stati Uniti che era disciplinato dal regime giuridico previsto dal Privacy Shield. Nel luglio dell’anno scorso la sentenza Schrems II della Corte di Giustizia dell’Unione europea ha dichiarato l’invalidità di questo regime giuridico perché in sostanza non garantisce un livello di protezione come quello che vige all’interno dell’Unione europea grazie alla Gdpr. Stati Uniti ed Europa stanno negoziando un nuovo accodo che tenga conto di quando previsto da una serie di provvedimenti come il Data Acts e i due pacchetti normativi (Digital Market Act e Digital Services Act) che sono pronti per entrare in vigore nei prossimi mesi destinati a cambiare le regole delle piattaforme e dei mercati digitali.
La replica di Google. Quello del Garante Privacy non è un divieto assoluto a Google Analytics, ma una sospensione di 90 giorni del trasferimento dati, per trovare meccanismi che non violino il Gdpr. Il problema di fondo è che la legislazione americana consente alle Autorità di avere accesso a tutti i dati che risiedono negli USA mentre non garantisce mezzi di ricorso effettivi e non fornisce garanzie circa i diritti degli interessati. Il 23 giugno sul blog di Google è uscita la replica del gigante di Mountain View.
La soluzione tecnologica. Quello che è emerso, e di cui si sta discutendo, è che anche a livello tecnico ci sono strumenti che possono essere utilizzati per impedire ai dati di uscire dall’Europa. Google in sostanza con il rilascio di GA4 si è mosso in questa direzione. Secondo alcuni esperti nell’ultima versione di Google Analytics esistono parametri che permettono di gestire i dati personali degli utenti e di gestire gli stessi con server di Google situati in Europa. Quindi esisterebbe una serie di configurazioni che è possibile gestire, attivare ed implementare per permettere di rispettare le indicazioni della Gdpr.
Il nodo giuridico. In un articolo su Agenda Digitale Guido Scorza del consiglio del Garante della Privacy ha dichiarato che la soluzione non può essere né tecnica e neppure politica. “Serve un accordo capace di sanare la situazione venutasi a creare in seguito alla sentenza Schrems II, che ha annullato il Privacy Shield”. Accordo che attualmente non c’è.
Per approfondire.
Data Governance Act, Data Act e Privacy Shield: ecco cosa sappiamo finora
Il Digital Market Act slitta alla primavera del 2023. Il Big tech ha più tempo per le nuove regole
Perché a Google e Apple non piace il Digital Markets Act europeo
