Facciamo un riepilogo veloce e capiamo da dove ha origine l’ammonimento del Garante dello scorso giugno. Le controversie circa l’illiceità di Analytics sono cominciate nel 2020, più o meno nello stesso periodo dell’anno. Ci racconti cosa è successo?

Per capire quanto è successo bisogna partire a quando la Corte di Giustizia dell’Unione Europea (CGUE, CJEU in inglese) si è pronunciata il 16 luglio 2020 (c.d. “Sentenza Schrems II”) in merito al regime di trasferimento dei dati tra l’Unione europea e gli Stati Uniti invalidando la decisione di adeguatezza del Privacy Shield, adottata nel 2016 dalla Commissione europea in seguito alla decadenza dell’accordo Safe Harbor.

Il 12 luglio 2016 la Commissione Europea aveva infatti adottato una decisione in merito al cosiddetto Privacy Shield, l’accordo che regolamenta il trasferimento di dati tra Unione Europea e USA. Tale accordo prevedeva la protezione dei diritti fondamentali delle persone nell’UE i cui dati personali vengono trasferiti negli Stati Uniti, e stabiliva regole certe per le imprese che effettuano trasferimenti di dati al di là dell’ Oceano Atlantico.

Invece la nuova disciplina prevede:

• Obblighi di protezione stringenti per le imprese che trasferiscono dati;
• Misure di sicurezza in materia di accesso ai dati da parte del Governo degli Stati Uniti;
• Strumenti specifici per la tutela delle persone;
• La revisione annuale congiunta dell’accordo per monitorare l’attuazione.

Da dove ha origine l’ammonimento sull’uso di Google Analytics? E perché proprio Caffeina Media?

Il tutto è nato con NOYB (None Of Your Business), l’associazione non profit di cui Max Schrems è co-fondatore: nell’agosto 2020 ha inviato 101 reclami nei confronti di organizzazioni europee che continuavano a trasferire i dati degli utenti a Google e Facebook negli Stati Uniti, anche a seguito della sentenza Schrems II. La prima decisione relativa a questi reclami è arrivata dal Garante privacy austriaco (DSB – Datenschutzbehörde) che, dopo aver esaminato l’uso dei dati di una delle aziende citate, hanno decretato che i siti che utilizzano Google Analytics nell’esportazione dei dati dei loro visitatori (quali, ad esempio, i loro indirizzi IP e i loro identificatori univoci che vengono memorizzati nei cookie) violino il GDPR, nella misura in cui tali informazioni possono essere poi fornite anche alle autorità statunitensi.

A seguito altri Paesi hanno cominciato a prendere provvedimenti, tra cui proprio Francia e  Italia che, seguendo lo stesso documento redatto da NOYB, ha ammonito l’azienda Caffeina Media S.r.l.

Raccontaci come funziona la raccolta dei dati con Google Analytics: è possibile continuare a usare Google Analytics senza trasferire i dati negli Stati Uniti? In caso contrario, i dati potrebbero essere trasferiti in forma anonima?

Google ha pubblicato un comunicato stampa in merito alla privacy dei dati di Google Analytics, indicando un elenco di “fatti” a tutela della privacy degli utenti.

In questo comunicato Google afferma che il servizio Google Analytics rispetta pienamente la privacy degli utenti, fornendo anche importanti strumenti di gestione dei dati alle organizzazioni e funzioni di controllo dei dati agli utenti finali. Precisa, inoltre, che i dati di Google Analytics di un’organizzazione possono essere trasferiti negli Stati Uniti solo quando sono soddisfatte condizioni di privacy specifiche e rigorose (es. clausole contrattuali standard).

In seguito Google ha pubblicato un nuovo comunicato stampa che cita espressamente la decisione del Garante austriaco, evidenziando la mancanza di “stabilità giuridica” in relazione ai flussi di dati internazionali.

In tal senso Google auspica che venga definito un nuovo accordo tra Europa e Stati Uniti, che possa fungere da successore del Privacy Shield (non più valido da luglio 2020 per la sentenza Schrems II). Inoltre, la società ha dichiarato a sua difesa che in più di 15 anni di fornitura di servizi di analisi alle imprese in tutto il mondo non ha mai ricevuto il tipo di richiesta che il Garante austriaco ha ipotizzato, cioè la richiesta di accesso ai dati di utenti europei da parte di agenzie di intelligence statunitensi.

Pensi che l’introduzione definitiva di Google Analytics 4 (GA4) potrebbe rappresentare una possibile soluzione? Perché? Quali sono i Pro e Contro di GA4?

Google Analytics si è evoluto molto da quando Google ha acquisito la piattaforma Urchin nel 2005: nel 2013, la piattaforma Universal Analytics (UA) è stata lanciata ed è diventata lo standard per il monitoraggio; nel 2020, Google ha aggiunto una proprietà di tracciamento Beta chiamata App+Web Property (per tracciare tutte le visite in un’unica proprietà) per poi a fine anno lanciare il suo successore Google Analytics 4 con l’obbligo di passaggio nel 2023.

Google Analytics 4 è dotato di una serie di caratteristiche chiave che lo rendono molto diverso dalle vecchie versioni. Una delle più grandi differenze è la nuova funzione di modellazione dei dati che utilizza l’Intelligenza Artificiale per riempire i vuoti nei dati in cui Google Analytics tradizionale può essere bloccato da regole di consenso dei cookie, JavaScript bloccato e un focus sulla privacy.

Il nuovo Google Analytics presenta un approccio di nuova generazione con un monitoraggio caratterizzato da un focus diverso rispetto a UA, che si traduce nel focus sugli utenti piuttosto che sulle sessioni. L’obiettivo principale è, infatti, quello di utilizzare il Machine Learning per comprendere il comportamento degli utenti: la nuova funzione “Insights” ha lo scopo di evidenziare le informazioni utili sugli utenti, in particolare il viaggio del cliente attraverso i dispositivi, che va dalla prima visita alla conversione finale (costruire dunque un “Life Cycle Report”). Ci si è resi conto che a causa della scelta degli utenti (ad esempio, di negare il consenso alla raccolta dati e di bloccare i cookie), Google non potrà mapparli in maniera univoca e dovrà quindi aggirare il problema pensando a un modello che sia in grado di mappare i comportamenti.

Google Analytics è dunque progettato per lavorare in un mondo senza cookie o dati identificativi: questa necessità deriva in gran parte dalle nuove leggi sulla protezione della privacy (come il GDPR e il CCPA) e dalla diminuita stabilità ed imprecisione delle analisi tradizionali.

Per quanto riguarda la questione in essere GA4 non è ancora stato esaminato dal Garante, in quanto i titolari del trattamento oggetto dei provvedimenti non la utilizzavano, né sin qui tale versione è venuta in rilievo in altri procedimenti analoghi.

Impossibile in queste condizioni, pertanto, dire se essa sia o meno in grado di risolvere il problema e consentire l’uso di Google Analytics in conformità alla disciplina europea sul trasferimento dei dati personali negli USA.

Quali potrebbero essere possibili soluzioni e/o alternative a Google Analytics?

Parola d’ordine: restare vigili e vedere come si muovono le acque. Per il momento la situazione è ancora spinosa, quindi a tal proposito faccio riferimento alle parole di Guido Scorza, uno dei membri del Garante Privacy. Guido ci dice che il primo auspicio è che nelle prossime settimane i Governi di Bruxelles e Washington facciano seguire all’accordo politico annunciato a marzo, un accordo giuridicamente vincolante che consentirebbe la naturale ripresa dell’esportazione di dati dall’Europa agli Stati Uniti.

Se questo non accadesse bisognerà verificare se ci sia un modo – che sia l’upgrade alla versione GA4 o altro – per continuare a usare il servizio di Analytics di Google nel rispetto delle regole europee.

Se anche questo non dovesse funzionare non ci sarà alternativa a sospendere il trasferimento dei dati negli USA e, quindi, a interrompere l’uso del servizio.

La sola interruzione del servizio Google non sarebbe sufficiente alla risoluzione di tutti i problemi, ma sarebbe necessario fare le stesse domande e procedere ad analoghe verifiche anche per altri servizi che trasferiscono dati dall’Europa agli USA.

Sino ad allora, tuttavia, sbaglia allo stesso modo chi dice che tutti i trasferimenti di dati personali tra i due continenti sono da considerarsi incompatibili con il GDPR e chi sostiene che basterebbe eliminare o tagliare un IP per risolvere il problema.

Ti piacerebbe approfondire un argomento in ambito tecnologico?

Industry 4.0, Compliance & GPDR, Digital Marketing, Project Management, Blockchain, Virtual Reality e molto altro ancora: in NEXiD abbiamo le risorse e le competenze necessarie per rispondere a qualsiasi tua curiosità su ciò che riguarda l’affascinante e complessa tematica della Trasformazione Digitale.

Scrivici su marketing@nexid.it o compila il form che trovi in fondo a questa pagina: saremo felici di risponderti!