L’annuncio del Garante della Privacy che, al termine di una “lunga” istruttoria ha dichiarato molto candidamente che “il sito web che utilizza il servizio Google Analytics (GA), senza le garanzie previste dal Regolamento UE, viola la normativa sulla protezione dei dati perché trasferisce negli Stati Uniti, Paese privo di un adeguato livello di protezione, i dati degli utenti“, è di fatto esploso come una bomba. Deflagrata in un settore in cui mai troppa chiarezza è stata fatta e anche in questo caso senza una buona dose di chiarimenti e suggerimenti concreti in merito. Un caos che ha portato molti ad allontanarsi immediatamente da Google Analytics o cercare un’alternativa a GA. Sono partite mail strane, con strane richieste di rimozione dati personali non specificate. Si cerca inoltre di comprendere se e come GA4 possa essere la risposta al problema di ottemperanza al GDPR e alla legge sulla privacy.
Ma cosa è successo davvero? Che rischi corre chi usa Google Analytics in questo momento? Lo abbiamo chiesto a Ernesto Falcone, uno degli amministratori di Fast Informatica srl, Consulente Privacy e Privacy Officer certificato TUV dal 2015, Delegato FEDERPRIVACY per Caserta e provincia dal 2020. Un professionista che si occupa di protezione di dati personali dal 2000, ben prima dell’emanazione della legge 196/2003 che regolamenta la privacy in Italia.
Dottor Falcone, cosa sta accadendo con Google Analytics in Italia?
“Il Garante della Privacy, con il suo Provvedimento del 23/06/2022, ha affermato che i siti web che utilizzano il servizio Google Analytics (GA) senza le garanzie previste dal GDPR violano la Normativa sulla Protezione dei dati Personali in riferimento al Trasferimento dei dati dei propri utenti negli USA, in quanto è un Paese privo di un adeguato livello di protezione. Nella sostanza, il provvedimento non dice nulla di nuovo, in quanto a seguito dell’invalidità del Privacy Shield il trasferimento dei dati negli USA è possibile solo se sono assicurate misure adeguate o se è stato dato previo consenso da parte dell’Interessato, così come stabilito dalle Linee Guida dei Garanti Europei (EDPB)“.
Quali sono gli immediati accorgimenti che chi possiede un sito web può prendere per “essere a norma”?
“Voglio essere molto chiaro: il problema non è GA in quanto tale ma l’utilizzo che il proprietario del sito intende farne. Infatti, se lo strumento fosse stato preventivamente ed opportunamente configurato in modo tale da raccogliere ‘dati anonimi‘ – in primis l’ormai famosissimo ‘indirizzo IP’ opportunamente troncato – i dati raccolti risulterebbero non personali e pertanto ai proprietari del sito non ricorre l’obbligo di applicazione del GDPR; nel caso in cui, invece, non si fosse optato per l’anonimizzazione dei dati raccolti, il proprietario del sito per poterli legittimamente trattare, avrebbe dovuto informare preventivamente ed opportunamente gli utenti e raccoglierne il legittimo consenso“.
Circolano in queste ore un sacco di e-mail (reali o velatamente truffaldine) in cui si chiede ai siti web la cancellazione dei “dati personali” inviati a Google, in particolar modo l’indirizzo IP. Chi riceve questa richiesta cosa deve fare?
“Come già specificato in precedenza, se i dati utilizzati dal proprietario del sito sono anonimi non c’è trattamento di dati personali e quindi non c’è nulla da cancellare; se i dati non sono anonimi ed è stato raccolto il legittimo Consenso degli Interessati e si è in grado di darne prova non è necessario cancellare nulla in quanto si sta compiendo un legittimo trattamento. Diversa è la situazione in cui si fosse proceduto alla raccolta di dati personali (quindi non anonimizzati) senza aver raccolto il relativo e preventivo legittimo Consenso, perché in questo caso non è certamente il contenuto di una e-mail del genere a preoccupare il proprietario del sito, bensì il trovarsi nella pericolosissima condizione di eseguire un Trattamento illegittimo di Dati personali, stato in cui si è a forte rischio di poter subire una sanzione amministrativa pecuniaria, da parte dell’Autorità Garante, fino a 20 milioni di Euro o, per le imprese, fino al 4% del fatturato mondiale, nonché l’ancor più pesante condizione (anche dal punto di vista reputazionale) di dover far fronte a richieste di risarcimento danni operate dai propri utenti“.
Se i dati che inviamo a Google sono stati anonimizzati quindi possiamo stare tranquilli?
“Sì, perché in questo caso non vi è trattamento di dati personali. Quello che potrebbe capitare è di aver interpretato male il processo applicato con l’utilizzo di GA ed aver spiegato male gli accadimenti nella propria Informativa tanto da aver chiesto un Consenso non dovuto: tale ipotesi esporrebbe ancora una volta il proprietario del sito al rischio di intervento dell’Autorità Garante. In questo contesto, è bene sapere che il soggetto che realmente non può e non deve stare tranquillo è Google in quanto, ad esempio nel caso dell’Indirizzo IP che cede anonimizzato al proprio cliente (proprietario del sito), attraverso le infinite e possibili inferenze con altri dati in suo possesso è in grado di deanonimizzare il dato e porsi immediatamente nella posizione di realizzare un trattamento di dati personali, molto probabilmente illegittimo“.