Cerchi un avvocato esperto in
Lavoro
Guide diritto del lavoro

Google Analytics e GDPR: come mettersi in regola

Il 9 Giugno 2022 il Garante per la Privacy italiano ha dichiarato illegittimo l'uso di Google Analytics per l'analisi statistica delle visite sui siti web. Esaminiamo le implicazioni della sentenza e le alternative disponibili per non rinunciare a monitorare l'andamento del proprio sito. 

Cos'è Google Analytics

Google Analytics è un potente strumento gratuito messo a disposizione da Google per effettuare analisi dettagliate sui visitatori dei siti web. 

In un'epoca di profondi cambiamenti sociali ed economici, il web ha assunto un ruolo sempre più centrale nell'esistenza di ciascuno di noi e, inevitabilmente, nelle dinamiche che interessano la stragrande maggioranza delle attività produttive. 

Si pensi banalmente all'uso che facciamo di internet nella nostra quotidianità: se abbiamo necessità di verificare gli orari di un'attività commerciale o l'indirizzo esatto di uno studio, se vogliamo saperne di più sui servizi offerti da un professionista, molto probabilmente ci affideremo alla ricerca in rete. Diventa dunque importante per le aziende e per i liberi professionisti trovare la giusta modalità per essere presenti online e per parlare correttamente ad un pubblico di riferimento. Per fare ciò occorrono strategie ed una conoscenza tanto del proprio lavoro, quanto del proprio target. 

Avvalersi di strumenti di analisi statistica diventa quindi un passaggio fondamentale per capire se le persone che visitano il sito web dell'attività rispecchiano il tipo di pubblico che ci si aspetta di riuscire ad attrarre e se i contenuti proposti sono sufficientemente accattivanti da "trattenere" all'interno del sito i visitatori, invogliandoli a navigare fra le pagine.

Esistono pertanto una serie di tool che possono essere sfruttati dal professionista o dall'azienda per comprendere ed accrescere l'efficacia della propria presenza online. Da molto tempo Google Analytics rappresenta uno strumento di eccellenza, su cui molte realtà commerciali - inclusi webmaster, esperti di web marketing e SEO - hanno fatto affidamento.

Come funziona e quali dati fornisce Google Analytics

Lo strumento di analisi offerto da Google può essere implementato all'interno del proprio sito web inserendo un page tag, ovvero un codice di tracciamento che dialoga con i server di Google e raccoglie i dati di navigazione degli utenti, dati successivamente elaborati e restituiti sotto forma di statistiche ai titolari del sito internet.

Le informazioni raccolte riguardano la posizione geografica dei visitatori, la loro provenienza (ci dicono ad esempio se il visitatore è stato indirizzato a noi da un'altra piattaforma, sito o blog), il quantitativo di tempo trascorso dal visitatore all'interno del sito, le pagine più visitate, e molto altro. Risulta quindi intuibile quanto siano utili queste informazioni per i detentori di un sito, che in questo modo possono comprendere quali contenuti da loro prodotti hanno riscosso maggior interesse, quali pagine del sito andrebbero migliorate, quanto le aspettative circa la provenienza e le caratteristiche del loro "cliente tipo" siano sovrapponibili alla realtà. 

Naturalmente una parte di questi dati concerne necessariamente aspetti legati all'identità dei visitatori, ed è quindi inevitabile, a tutela degli stessi, la presenza di controlli sul rispetto della privacy e sul corretto utilizzo delle informazioni raccolte.

Google Analytics e normativa GDPR

Il 9 Giugno 2022 il Garante per la Privacy italiano ha dichiarato l'illegittimità del trasferimento di dati da parte di Google Analytics al di fuori dei confini dell'Unione Europea. Non si è trattato dell'unica, né della prima pronuncia in tal senso. L'Italia è stata infatti preceduta da altri Paesi europei, quali Francia ed Austria. Il fulcro del problema riguarda il fatto che Google LLC, con sede negli Stati Uniti, una volta ricevuti i dati non è vincolato a garantire un trattamento conforme ai regolamenti europei, trovandosi in territorio Extra UE. Ciò consente alle Autorità statunitensi di aver accesso ai dati trasferiti, senza la presenza di limitazioni adeguate, in combinato con l'assenza di riconoscimento dei diritti degli interessati dinnanzi alle Autorità giudiziarie statunitensi. 

Vediamo ora più in dettaglio le motivazioni che hanno condotto a tale decisione. 

Quali violazioni sono state attribuite a Google?

I dati sensibili il cui trasferimento ha determinato la pronuncia di illegittimità, riguardano in primis l'indirizzo IP dei dispositivi utilizzati dai visitatori dei siti web che implementano Analytics. Lo strumento infatti registra l'indirizzo del device, il browser ed il sistema operativo scelti per navigare, la risoluzione dello schermo, la lingua selezionata, la data e l'ora di navigazione. Si tratta di informazioni che contribuiscono a delineare un profilo del visitatore, e che vengono trasferite a Google LLC, con sede negli Stati Uniti. 

Negli Stati Uniti non vigono le medesime norme a tutela della privacy di ciascun utente, che sussistono attualmente in Unione Europea. Ciò rende dunque illegittimo l'invio dei parametri raccolti dallo strumento di analisi. 

Cosa ha condotto alla sentenza del Garante della privacy

La vicenda che ha dato il via a tutta una serie di accertamenti ed ha infine condotto alla sentenza del Garante italiano, riguarda un'azienda in particolare, la Caffeina Media S.r.l. Nell'Agosto del 2020 un utente ha avanzato un reclamo nei confronti della summenzionata azienda, a seguito del quale si è ritenuto necessario approfondire la modalità di raccolta dati da essa utilizzata. 

In realtà l'evento è stato preceduto da tutta una serie di reclami provenienti da utenti di svariati Paesi UE, reclami che hanno indotto la Corte di Giustizia dell'Unione Europea ad emanare la sentenza n. C-311/18, del 16 Luglio 2020 con la quale è stata invalidata la precedente decisione della Commissione UE n. 2016/1250 del 12 luglio 2016 che riconosceva come adeguata la protezione dei dati fornita dal Privacy Shield (il meccanismo di autocertificazione per società con sede in USA che intendano ricevere dati personali provenienti dai Paesi dell'Unione Europea).

A seguito di accertamenti su Caffeina Media, è emerso come la società avesse utilizzato la versione gratuita di Analytics, senza effettuare una personalizzazione messa a disposizione da Google per oscurare parzialmente l'IP degli utenti. Tale personalizzazione, nota come IP anonymization, permette di oscurare le ultime otto cifre dell'indirizzo IP di ciascun visitatore, rendendolo dunque anonimo. Si tratta di una possibilità inizialmente raccomandata dallo stesso Garante nel testo delle Linee guida sui cookies del 10 Luglio 2021.

Sembrerebbe dunque una controversia circoscritta al singolo caso o, al più, riguardante le aziende che hanno omesso l'attivazione dell'IP anonymization.

La questione risulta tuttavia ben più complessa, in quanto il Garante ha ritenuto che lo strumento elaborato da Google per bypassare le difficoltà legate alle norme sulla privacy, non è in realtà sufficiente, data la mole considerevole di dati che il colosso americano è in grado di raccogliere su ciascun utente. Incrociando infatti ciò che resta dell'indirizzo con tutti gli altri dati raccolti, Google LLC può comunque risalire all'identità dei visitatori. 

Se ciò non bastasse, qualora l'utente abbia effettuato l'accesso al proprio profilo Google, l'indirizzo IP potrà essere associato a tutta una serie di informazioni aggiuntive che permettono di ricostruire con sempre maggiore chiarezza l'identità del visitatore. 

A seguito della segnalazione, Caffeina Media S.r.l. ha subìto un ammonimento non accompagnato da sanzione. Si legge nella nota del Garante che alla società vengono imputate le violazioni degli artt. 44 e 46 del Regolamento Generale sulla Protezione dei Dati. Sono state inoltre ravvisate violazioni: dell'art. 5 par. 1 lett. 5 e par. 2; dell'art. 13 par. 1 lett. f; dell'art. 24 del già citato Regolamento.

Malgrado l'assenza di sanzioni, il fatto ha messo al centro dell'attenzione l'intero sistema di trasferimento dati cui sottostanno necessariamente tutti i siti web che fanno uso del celebre tool targato Google. A partire dall'ammonimento inflitto alla società italiana, il Garante ha imposto l'obbligo, a tutti i fruitori dei servizi erogati da Google Analytics, di verificare entro 90 giorni la conformità delle modalità di utilizzo di cookie ed altri strumenti di tracciamento impiegati all'interno dei propri siti per non incorrere in severe sanzioni.

Cosa fare per essere a norma

Come si è potuto dedurre dalla ricostruzione dei fatti, la questione risulta complessa e lungi dall'essere chiarita in via definitiva. Per le aziende, i professionisti e in generale tutti coloro che facevano ricorso a Google Analytics, esistono attualmente alcune possibilità per mettersi al riparo dalle sanzioni.

La soluzione immediata che con maggiore sicurezza garantisce ad aziende, professionisti e titolari di siti web di operare conformemente alle direttive del Garante, consiste nell'avvalersi di strumenti alternativi ad Analytics. Esistono diversi tool, sia open source che non, in grado di garantire analisi del traffico sui siti web con procedure e meccanismi conformi a quanto stabilito dal GDPR. Si tratta di fornitori europei che operano in linea con le disposizioni in vigore in UE. Muovendosi all'interno della realtà europea, i fornitori di questi servizi hanno l'onere di rispettarne i regolamenti in materia di privacy, e rappresentano dunque una valida possibilità per quanti abbiano necessità di continuare ad effettuare analisi approfondite sull'andamento del proprio sito web. A titolo esemplificativo, Web Analytics Italia, messo a disposizione da AgiD per le pubbliche amministrazioni.  

Una seconda possibilità, a dire il vero ancora in via di definizione, è rappresentata da una nuova versione di Google Analytics (GA4). Tale versione integra tutta una serie di possibili personalizzazioni per consentire ai fruitori europei del servizio di effettuare la raccolta dei dati in maniera conforme a quanto previsto dal GDPR. 

In realtà questa seconda opzione risulta ancora non inequivocabilmente definita. Il colosso statunitense difende l'uso della nuova versione di Analytics, sostenendone l'assoluta conformità ai regolamenti europei, in quanto i server usati per garantire il funzionamento dello strumento risultano collocati in Europa e soggiacciono dunque ai nostri regolamenti. Tuttavia non vi è ancora una pronuncia definitiva ed univoca da parte dell'Unione. Un passo in questa direzione sembra essere la pronuncia da parte dell'Autorità francese (CNIL), che con provvedimento datato 7 Giugno 2022 prospetta GA4 come potenziale valida alternativa al precedente Analytics, ma a patto che venga garantita la presenza di proxy server europei.  

Risulta però chiaro come una soluzione di più ampio respiro che riguardi una ridefinizione degli accordi fra Stati Uniti ed Unione Europea in materia di privacy e trattamento dei dati, sia irrinunciabile. Tuttavia, al momento, non sembra possibile sperare in una rapida adozione. 

Fonti normative:

  • Sentenza della Corte di Giustizia dell'Unione Europea n. C-311/18, del 16 Luglio 2020
  • Decisione di esecuzione della Commissione UE n. 2016/1250 del 12 luglio 2016
  • Linee guida cookie e altri strumenti di tracciamento - 10 giugno 2021
  • GDPR - Regolamento 2016/679
GOOGLE ANALYTICS GDPR GDPR PRIVACY WEB ANALYTICS
Condividi l'articolo:
CERCHI UN AVVOCATO ESPERTO IN LAVORO?
Ho preso visione dell’informativa sulla privacy e acconsento al trattamento dei dati.*

Quanto costa il servizio?
Il costo della consulenza legale, qualora decidessi di proseguire, lo concorderai direttamente con l'avvocato con cui ti metteremo in contatto.