Tecnologia

Google Analytics e privacy, chi è a rischio?

L'intervento del Garante della Privacy, le mail arrivate a tutto il web, la corsa alla disattivazione o all'alternativa. Ma cosa sta davvero accadendo? Lo abbiamo chiesto a Ernesto Falcone, consulente privacy e Privacy Officer certificato TUV

L’annuncio del Garante della Privacy che, al termine di una “lunga” istruttoria ha dichiarato molto candidamente che “il sito web che utilizza il servizio Google Analytics (GA), senza le garanzie previste dal Regolamento UE, viola la normativa sulla protezione dei dati perché trasferisce negli Stati Uniti, Paese privo di un adeguato livello di protezione, i dati degli utenti“, è di fatto esploso come una bomba. Deflagrata in un settore in cui mai troppa chiarezza è stata fatta e anche in questo caso senza una buona dose di chiarimenti e suggerimenti concreti in merito. Un caos che ha portato molti ad allontanarsi immediatamente da Google Analytics o cercare un’alternativa a GA. Sono partite mail strane, con strane richieste di rimozione dati personali non specificate. Si cerca inoltre di comprendere se e come GA4 possa essere la risposta al problema di ottemperanza al GDPR e alla legge sulla privacy.

Ma cosa è successo davvero? Che rischi corre chi usa Google Analytics in questo momento? Lo abbiamo chiesto a Ernesto Falcone, uno degli amministratori di Fast Informatica srlConsulente Privacy e Privacy Officer certificato TUV dal 2015, Delegato FEDERPRIVACY per Caserta e provincia dal 2020. Un professionista che si occupa di protezione di dati personali dal 2000, ben prima dell’emanazione della legge 196/2003 che regolamenta la privacy in Italia.

Dottor Falcone, cosa sta accadendo con Google Analytics in Italia?
Il Garante della Privacy, con il suo Provvedimento del 23/06/2022, ha affermato che i siti web che utilizzano il servizio Google Analytics (GA) senza le garanzie previste dal GDPR violano la Normativa sulla Protezione dei dati Personali in riferimento al Trasferimento dei dati dei propri utenti negli USA, in quanto è un Paese privo di un adeguato livello di protezione. Nella sostanza, il provvedimento non dice nulla di nuovo, in quanto a seguito dell’invalidità del Privacy Shield il trasferimento dei dati negli USA è possibile solo se sono assicurate misure adeguate o se è stato dato previo consenso da parte dell’Interessato, così come stabilito dalle Linee Guida dei Garanti Europei (EDPB)“.

Quali sono gli immediati accorgimenti che chi possiede un sito web può prendere per “essere a norma”?
Voglio essere molto chiaro: il problema non è GA in quanto tale ma l’utilizzo che il proprietario del sito intende farne. Infatti, se lo strumento fosse stato preventivamente ed opportunamente configurato in modo tale da raccoglieredati anonimi‘ – in primis l’ormai famosissimo ‘indirizzo IP’ opportunamente troncato – i dati raccolti risulterebbero non personali e pertanto ai proprietari del sito non ricorre l’obbligo di applicazione del GDPR; nel caso in cui, invece, non si fosse optato per l’anonimizzazione dei dati raccolti, il proprietario del sito per poterli legittimamente trattare, avrebbe dovuto informare preventivamente ed opportunamente gli utenti e raccoglierne il legittimo consenso“.  

Ernesto Falcone, uno degli amministratori di Fast Informatica srl, Consulente Privacy e Privacy Officer certificato TUV dal 2015, Delegato FEDERPRIVACY per Caserta e provincia dal 2020.
Ernesto Falcone, Consulente Privacy

Circolano in queste ore un sacco di e-mail (reali o velatamente truffaldine) in cui si chiede ai siti web la cancellazione dei “dati personali” inviati a Google, in particolar modo l’indirizzo IP. Chi riceve questa richiesta cosa deve fare?
Come già specificato in precedenza, se i dati utilizzati dal proprietario del sito sono anonimi non c’è trattamento di dati personali e quindi non c’è nulla da cancellare; se i dati non sono anonimi ed è stato raccolto il legittimo Consenso degli Interessati e si è in grado di darne prova non è necessario cancellare nulla in quanto si sta compiendo un legittimo trattamento. Diversa è la situazione in cui si fosse proceduto alla raccolta di dati personali (quindi non anonimizzati) senza aver raccolto il relativo e preventivo legittimo Consenso, perché in questo caso non è certamente il contenuto di una e-mail del genere a preoccupare il proprietario del sito, bensì il trovarsi nella pericolosissima condizione di eseguire un Trattamento illegittimo di Dati personali, stato in cui si è a forte rischio di poter subire una sanzione amministrativa pecuniaria, da parte dell’Autorità Garante, fino a 20 milioni di Euro o, per le imprese, fino al 4% del fatturato mondiale, nonché l’ancor più pesante condizione (anche dal punto di vista reputazionale) di dover far fronte a richieste di risarcimento danni operate dai propri utenti“.

Se i dati che inviamo a Google sono stati anonimizzati quindi possiamo stare tranquilli?
Sì, perché in questo caso non vi è trattamento di dati personali. Quello che potrebbe capitare è di aver interpretato male il processo applicato con l’utilizzo di GA ed aver spiegato male gli accadimenti nella propria Informativa tanto da aver chiesto un Consenso non dovuto: tale ipotesi esporrebbe ancora una volta il proprietario del sito al rischio di intervento dell’Autorità Garante.  In questo contesto, è bene sapere che il soggetto che realmente non può e non deve stare tranquillo è Google in quanto, ad esempio nel caso dell’Indirizzo IP che cede anonimizzato al proprio cliente (proprietario del sito), attraverso le infinite e possibili inferenze con altri dati in suo possesso è in grado di deanonimizzare il dato e porsi immediatamente nella posizione di realizzare un trattamento di dati personali, molto probabilmente illegittimo“.

Enrico Parolisi

Giornalista, addetto stampa ed esperto di comunicazione digitale, si occupa di strategie integrate di comunicazione. Insegna giornalismo e nuovi media alla Scuola di Giornalismo dell'Università Suor Orsola Benincasa. Aspirante re dei pirati nel tempo libero.

Articoli correlati

3 commenti

  1. ma ha letto il comunicato e il provvedimento del Garante? Il Garante afferma che Google Analytics , ANCHE IMPOSTANDO l’ANONIMIZZAZIONE IP, non si può considerare ANONIMO ma solo PSEUDONIMIZIZZATO in quanto a Google basta incrociare i dati per risalire all’utente e individuarlo (banalmente con i cookie di sessione gmail) di conseguenza pone un DIVIETO categorico all’utilizzo del servizio GA3 (è scritto persino nel titolo del comunicato!).
    Vi rendete conto che state dando disinformazione? La società in questione è stata AMMONITA dal Garante per l’utilizzo di Google Analytics con IP anonimizzato, e le sono stati dati 90 giorni di tempo per adeguarsi a seguito dei quali il Garante procederà con attività ispettive a verificare la conformità al Regolamento Ue.
    A cui è seguito un comunicato, TUTTE LE AZIENDE PUBBLICHE E PRIVATE SONO TENUTE AD AìDEGUARSI!
    Per quanto riguarda la mail inviata in modo automatico da Federico Leva, come da lui ammesso in una intervista pubblica, era puramente a scopo divulgativo.

    1. Gentile Luca,
      ci ripromettiamo di girare le sue constatazioni a chi di dovere per fornirle una risposta esaustiva nel minor tempo possibile. Ci riserviamo però immediatamente di riportarle quanto scritto nel comunicato stampa in essere.

      “In merito, si rappresenta che Google, nell’ambito del servizio Google Analytics, ha messo a disposizione dei gestori dei siti web l’opzione denominata “IP-Anonymization” che comporta l’invio a Google Analytics dell’indirizzo IP dell’utente previo oscuramento dell’ottetto meno significativo (in base a tale operazione, ad esempio, gli indirizzi da 122.48.54.0 a 122.48.54.255 sarebbero sostituiti da 122.48.54.0). Nel caso di specie, la Società ha dichiarato che la suddetta opzione, alla data della presentazione del reclamo, non era stata attivata e ha altresì rappresentato di aver aderito alla stessa solo successivamente, nell’ambito dell’adozione di una serie di misure tecnico giuridiche implementate a seguito dell’avvio del procedimento, da parte del Garante, ai sensi dell’art. 166, comma 5 del Codice.
      Sul punto, merita sin d’ora evidenziare, tuttavia, che l’“IP-Anonymization” consiste di fatto in una pseudonimizzazione del dato relativo all’indirizzo di rete dell’utente, in quanto il troncamento dell’ultimo ottetto non impedisce a Google LLC di re-identificare l’utente medesimo, tenuto conto delle informazioni complessivamente detenute dalla stessa relative agli utenti del web. Sussiste, inoltre, in capo alla medesima Google LLC la possibilità −qualora l’interessato abbia effettuato l’accesso al proprio profilo Google− di associare l’indirizzo IP ad altre informazioni aggiuntive già in suo possesso (quali le informazioni contenute nell’account utente). Tale operazione, pertanto, nonostante l’attivazione dell’“IP-Anonymization”, consente comunque la possibile re-identificazione dell’utente”.

      Il tutto è inserito in un contesto ben più ampio e viene da sé che non è stata ammonita (CAFFEINA) per l’IP anonimizzato. Al contrario. Non era anonimizzato. Il Garante sottolinea – ed è lì la questione – che l’IP anonimizzato non basterebbe a rendere a Google la persona anonima.

      Sempre ringraziandola per la lettura, ci preme anche ribadire che la mail di Federico Leva, di cui molti hanno avuto contezza, era tutto fuorché divulgativa nei toni e nei modi.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Back to top button