Google Analytics e la stretta del Garante della Privacy: cosa è successo? (Q&A)

È ormai sulla bocca di tutti: a fine giugno il Garante per la protezione dei Dati della Privacy ha ammonito la società Caffeina Media Srl, che usava Google Analytics per il proprio sito, chiedendole di toglierlo entro 90 giorni. La motivazione? Secondo le Autorità, i siti web che utilizzano Google Analytics violano la privacy perché trasferiscono i dati negli Stati Uniti. Abbiamo fatto una chiacchierata con Alessio Fontana, Responsabile Google Workspace di NEXiD, per capire come sono andati realmente i fatti.

Facciamo un riepilogo veloce e capiamo da dove ha origine l’ammonimento del Garante dello scorso giugno. Le controversie circa l’illiceità di Analytics sono cominciate nel 2020, più o meno nello stesso periodo dell’anno. Ci racconti cosa è successo?

Per capire quanto è successo bisogna partire a quando la Corte di Giustizia dell’Unione Europea (CGUE, CJEU in inglese) si è pronunciata il 16 luglio 2020 (c.d. “Sentenza Schrems II”) in merito al regime di trasferimento dei dati tra l’Unione europea e gli Stati Uniti invalidando la decisione di adeguatezza del Privacy Shield, adottata nel 2016 dalla Commissione europea in seguito alla decadenza dell’accordo Safe Harbor.

Il 12 luglio 2016 la Commissione Europea aveva infatti adottato una decisione in merito al cosiddetto Privacy Shield, l’accordo che regolamenta il trasferimento di dati tra Unione Europea e USA. Tale accordo prevedeva la protezione dei diritti fondamentali delle persone nell’UE i cui dati personali vengono trasferiti negli Stati Uniti, e stabiliva regole certe per le imprese che effettuano trasferimenti di dati al di là dell’ Oceano Atlantico.

Invece la nuova disciplina prevede:

  • Obblighi di protezione stringenti per le imprese che trasferiscono dati;
  • Misure di sicurezza in materia di accesso ai dati da parte del Governo degli Stati Uniti;
  • Strumenti specifici per la tutela delle persone;
  • La revisione annuale congiunta dell’accordo per monitorare l’attuazione.

 

Da dove ha origine l’ammonimento sull’uso di Google Analytics? E perché proprio Caffeina Media?

Il tutto è nato con NOYB (None Of Your Business), l’associazione non profit di cui Max Schrems è co-fondatore: nell’agosto 2020 ha inviato 101 reclami nei confronti di organizzazioni europee che continuavano a trasferire i dati degli utenti a Google e Facebook negli Stati Uniti, anche a seguito della sentenza Schrems II. La prima decisione relativa a questi reclami è arrivata dal Garante privacy austriaco (DSB – Datenschutzbehörde) che, dopo aver esaminato l’uso dei dati di una delle aziende citate, hanno decretato che i siti che utilizzano Google Analytics nell’esportazione dei dati dei loro visitatori (quali, ad esempio, i loro indirizzi IP e i loro identificatori univoci che vengono memorizzati nei cookie) violino il GDPR, nella misura in cui tali informazioni possono essere poi fornite anche alle autorità statunitensi.

A seguito altri Paesi hanno cominciato a prendere provvedimenti, tra cui proprio Francia e  Italia che, seguendo lo stesso documento redatto da NOYB, ha ammonito l’azienda Caffeina Media S.r.l.

 

Raccontaci come funziona la raccolta dei dati con Google Analytics: è possibile continuare a usare Google Analytics senza trasferire i dati negli Stati Uniti? In caso contrario, i dati potrebbero essere trasferiti in forma anonima?

Google ha pubblicato un comunicato stampa in merito alla privacy dei dati di Google Analytics, indicando un elenco di “fatti” a tutela della privacy degli utenti.

In questo comunicato Google afferma che il servizio Google Analytics rispetta pienamente la privacy degli utenti, fornendo anche importanti strumenti di gestione dei dati alle organizzazioni e funzioni di controllo dei dati agli utenti finali. Precisa, inoltre, che i dati di Google Analytics di un’organizzazione possono essere trasferiti negli Stati Uniti solo quando sono soddisfatte condizioni di privacy specifiche e rigorose (es. clausole contrattuali standard).

In seguito Google ha pubblicato un nuovo comunicato stampa che cita espressamente la decisione del Garante austriaco, evidenziando la mancanza di “stabilità giuridica” in relazione ai flussi di dati internazionali.

In tal senso Google auspica che venga definito un nuovo accordo tra Europa e Stati Uniti, che possa fungere da successore del Privacy Shield (non più valido da luglio 2020 per la sentenza Schrems II). Inoltre, la società ha dichiarato a sua difesa che in più di 15 anni di fornitura di servizi di analisi alle imprese in tutto il mondo non ha mai ricevuto il tipo di richiesta che il Garante austriaco ha ipotizzato, cioè la richiesta di accesso ai dati di utenti europei da parte di agenzie di intelligence statunitensi.

 

Pensi che l’introduzione definitiva di Google Analytics 4 (GA4) potrebbe rappresentare una possibile soluzione? Perché? Quali sono i Pro e Contro di GA4?

Google Analytics si è evoluto molto da quando Google ha acquisito la piattaforma Urchin nel 2005: nel 2013, la piattaforma Universal Analytics (UA) è stata lanciata ed è diventata lo standard per il monitoraggio; nel 2020, Google ha aggiunto una proprietà di tracciamento Beta chiamata App+Web Property (per tracciare tutte le visite in un’unica proprietà) per poi a fine anno lanciare il suo successore Google Analytics 4 con l’obbligo di passaggio nel 2023.

Google Analytics 4 è dotato di una serie di caratteristiche chiave che lo rendono molto diverso dalle vecchie versioni. Una delle più grandi differenze è la nuova funzione di modellazione dei dati che utilizza l’Intelligenza Artificiale per riempire i vuoti nei dati in cui Google Analytics tradizionale può essere bloccato da regole di consenso dei cookie, JavaScript bloccato e un focus sulla privacy.

Il nuovo Google Analytics presenta un approccio di nuova generazione con un monitoraggio caratterizzato da un focus diverso rispetto a UA, che si traduce nel focus sugli utenti piuttosto che sulle sessioni. L’obiettivo principale è, infatti, quello di utilizzare il Machine Learning per comprendere il comportamento degli utenti: la nuova funzione “Insights” ha lo scopo di evidenziare le informazioni utili sugli utenti, in particolare il viaggio del cliente attraverso i dispositivi, che va dalla prima visita alla conversione finale (costruire dunque un “Life Cycle Report”). Ci si è resi conto che a causa della scelta degli utenti (ad esempio, di negare il consenso alla raccolta dati e di bloccare i cookie), Google non potrà mapparli in maniera univoca e dovrà quindi aggirare il problema pensando a un modello che sia in grado di mappare i comportamenti.

Google Analytics è dunque progettato per lavorare in un mondo senza cookie o dati identificativi: questa necessità deriva in gran parte dalle nuove leggi sulla protezione della privacy (come il GDPR e il CCPA) e dalla diminuita stabilità ed imprecisione delle analisi tradizionali.

Per quanto riguarda la questione in essere GA4 non è ancora stato esaminato dal Garante, in quanto i titolari del trattamento oggetto dei provvedimenti non la utilizzavano, né sin qui tale versione è venuta in rilievo in altri procedimenti analoghi.

Impossibile in queste condizioni, pertanto, dire se essa sia o meno in grado di risolvere il problema e consentire l’uso di Google Analytics in conformità alla disciplina europea sul trasferimento dei dati personali negli USA.

 

Quali potrebbero essere possibili soluzioni e/o alternative a Google Analytics?

Parola d’ordine: restare vigili e vedere come si muovono le acque. Per il momento la situazione è ancora spinosa, quindi a tal proposito faccio riferimento alle parole di Guido Scorza, uno dei membri del Garante Privacy. Guido ci dice che il primo auspicio è che nelle prossime settimane i Governi di Bruxelles e Washington facciano seguire all’accordo politico annunciato a marzo, un accordo giuridicamente vincolante che consentirebbe la naturale ripresa dell’esportazione di dati dall’Europa agli Stati Uniti.

Se questo non accadesse bisognerà verificare se ci sia un modo – che sia l’upgrade alla versione GA4 o altro – per continuare a usare il servizio di Analytics di Google nel rispetto delle regole europee.

Se anche questo non dovesse funzionare non ci sarà alternativa a sospendere il trasferimento dei dati negli USA e, quindi, a interrompere l’uso del servizio.

La sola interruzione del servizio Google non sarebbe sufficiente alla risoluzione di tutti i problemi, ma sarebbe necessario fare le stesse domande e procedere ad analoghe verifiche anche per altri servizi che trasferiscono dati dall’Europa agli USA.

Sino ad allora, tuttavia, sbaglia allo stesso modo chi dice che tutti i trasferimenti di dati personali tra i due continenti sono da considerarsi incompatibili con il GDPR e chi sostiene che basterebbe eliminare o tagliare un IP per risolvere il problema.

 

Ti piacerebbe approfondire un argomento in ambito tecnologico?

Industry 4.0, Compliance & GPDR, Digital Marketing, Project Management, Blockchain, Virtual Reality e molto altro ancora: in NEXiD abbiamo le risorse e le competenze necessarie per rispondere a qualsiasi tua curiosità su ciò che riguarda l’affascinante e complessa tematica della Trasformazione Digitale.

Scrivici su marketing@nexid.it o compila il form che trovi in fondo a questa pagina: saremo felici di risponderti!

 

 

Condividi l'articolo

ALTRI ARTICOLI

AI & BlockchainTemi caldi

“Innovation Cybersecurity Summit”: l’intervento di Umberto Migliore, Partner & CTO NEXiD & IT Governance Swag

“Il futuro è Cyber, ma non ci può essere futuro senza sicurezza” è questo il ...
Leggi di più →
compliance gdpr
Corporate GovernanceTemi caldi

GDPR: L’importanza del rispetto della Privacy aziendale (Q&A)

Facciamo un piccolo riepilogo e spieghiamo in breve che cos’è il GDPR e che cosa ...
Leggi di più →
marketing gartner
Marketing

Strategie marketing nel 2022: la ricerca di Gartner

La ricerca annuale annuale di Gartner fornisce un’istantanea dei budget, della spesa e delle priorità ...
Leggi di più →
metaverso social
Virtual & Augmented Reality

Il Metaverso cambierà il modo di intendere i social

Cos’è il Metaverso? Si tratta di una rete di mondi interconnessi, basata su piattaforme aperte ...
Leggi di più →
oloxene metaverso
Virtual & Augmented Reality

Con Oloxene la digital company NEXiD apre le porte del Metaverso a utenti e aziende

Milano, 7 novembre 2022.Per molti il Metaverso è ancora un mondo pressoché sconosciuto, mentre chi ...
Leggi di più →
meta connect 2022 novità
Virtual & Augmented Reality

Cinque novità di Meta Connect 2022 che non puoi assolutamente perderti

Meta Quest Pro: una delle novità più discusse del Meta Connect 2022. La novità più ...
Leggi di più →
metaverso previsioni
AI & BlockchainVirtual & Augmented Reality

Metaverso: quali sono le previsioni per i prossimi anni?

Non esiste una definizione condivisa di metaverso, sappiamo però che il termine è stato coniato ...
Leggi di più →

Vuoi saperne di più? Contattaci