Google Analytics e Privacy. Cosa sta succedendo?

Creato da Staff Mamagari.it il 4 Luglio 2022

Categorie

News

Secondo gli ultimi aggiornamenti del Garante della Privacy Italiano riguardo Google Analytics:

IL SUCCO DEL DISCORSO 🧃

Google Universal Analytics (tutte le versioni fino a GA3) non ha le giuste caratteristiche per la pivacy secondo il garante Italiano.
Google GA4 che diventerà obbligatorio per tutti da Luglio 2023 ha tutte le garanzie in più riguardanti la privacy a livello legale ed Europeo. Quale sembrerebbe il problema che lo rende non idoneo? Google essendo società Americana ad oggi legalmente può fornire i dati che ha in Europa anche in America senza nessuna procedura di controllo Europea. E questo non è ammissibile dal garante della privacy.
Google GA4 Server-side sembrerebbe la soluzione definitiva (ma non ancora approvata dal garante della privacy. si attendono sviluppi). In poche parole usare nelle configurazione Server-Side dentro la configurazione di GA4 significa inviare tutti i dati di tracciamento del tuo E-commerce o sito al tuo contenitore di GTM Server-Side, non più in modo diretto al server di Google Analytics ma prima ad un server di passaggio. Si sta pensando anche di avere un server certificato GDPR EU che faccia da primo step e filtro prima che arrivi ai Server Google.

In questi giorni, nel settore del web marketing e non solo, non si sta parlando d’ altro: il garante della privacy Italiano ritiene Google Universal Analytics (UA) non conforme alle regole GDPR Europee.

Il sito web che utilizza il servizio Google Analytics (GA), senza le garanzie previste dal Regolamento Ue, viola la normativa sulla protezione dei dati perché trasferisce negli Stati Uniti, Paese privo di un adeguato livello di protezione, i dati degli utenti.
Garanteprivacy.it

Cosa significa che Google Universal Analytics non rispetta le norme GDPR ?

I gestori dei siti web che utilizzano GA raccolgono, mediante cookie, informazioni sulle interazioni degli utenti con i predetti siti, le singole pagine visitate e i servizi proposti. Tra i molteplici dati raccolti, indirizzo IP del dispositivo dell’utente e informazioni relative al browser, al sistema operativo, alla risoluzione dello schermo, alla lingua selezionata, nonché data e ora della visita al sito web.

Tali informazioni sono risultate oggetto di trasferimento verso gli Stati Uniti. Nel dichiarare l’illiceità del trattamento è stato ribadito che l’indirizzo IP costituisce un dato personale e anche nel caso fosse troncato non diverrebbe un dato anonimo, considerata la capacità di Google di arricchirlo con altri dati di cui è in possesso.

Dunque dal 23 Giugno il Garante della Privacy italiano ha dichiarato illecita l’implementazione di Google Analytics su un sito web e questo perché (in sintesi) il provvedimento fa riferimento ad un reclamo del 2020, relativo a un’implementazione del “vecchio” Universal Analytics (GA3) e analizzando la questione i dati personali degli utenti europei venivano trasferiti nei server Google situati negli Stati Uniti non rispettando a pieno le norme GDPR. Quindi non si parla dello strumento in sé ma delle regolamentazioni e dei trasferimenti dei dati extraEU.

Non è Google Analytics ad essere illegale, ma il trasferimento di dati personali verso gli Usa

Il trasferimento dei dati personali è da anni un tema dibattuto nei tribunali europei. L’ultimo atto è stato la sentenza Schrems II del luglio 2020. La Corte ha invalidato la decisione sul Privacy Shield dal momento che la legge americana non garantisce un livello di protezione equivalente a quello europeo. La legge USA consente, infatti, all’Agenzia di Sicurezza Nazionale (NSA) americana di accedere a dati di cittadini non statunitensi, archiviati sui server di aziende americane senza preventiva autorizzazione di un giudice, necessaria invece in UE.

Va chiarito che non è Google Analytics in generale l’oggetto dell’indagine – come tanti media hanno titolato – ma la possibilità da parte della versione 3 del software (GA3) di esportare dati personali, come l’IP, verso gli USA, anche nel momento in cui si attivi la funzione di anonimizzazione (cancellando le ultime 6 cifre).

Perchè GA4 server-side può essere la soluzione

La nuova versione 4 di Google Analytics ha introdotto funzioni specifiche relative alla privacy dell’utente: non salva più l’IP dell’utente e permette di indicare allo strumento di non memorizzare nemmeno altri segnali “riconoscibili”, come città, versione secondaria del browser, risoluzione dello schermo, etc.

La questione è molto più ampia rispetto ai soli strumenti di analisi, perché anche altre piattaforme, legate al mondo dell’advertising digitale ad esempio, sono di matrice americana e possono esportare, direttamente o indirettamente, dati personali fuori dai confini europei. Quindi se oggi l’attenzione è puntata su Google, molto presto saranno anche altre piattaforme legate da queste problematiche.

Sanzioni

Ad oggi in Italia non ci sono state ancora sanzioni ma solo richieste di adeguamento verso una società sola: Caffeina Media srl, che usava Google Analytics sul proprio sito. Il garante ha richiesto di toglierlo entro 90 giorni.

La parte Giuridica

Il nodo giuridico. In un articolo su Agenda Digitale Guido Scorza del consiglio del Garante della Privacy ha dichiarato che la soluzione non può essere né tecnica e neppure politica. “Serve un accordo capace di sanare la situazione venutasi a creare in seguito alla sentenza Schrems II, che ha annullato il Privacy Shield”. Accordo che attualmente non c’è.

ATTENZIONE ALLE MAIL

Tantissimi proprietari di siti web stanno ricevendo una stranissima lettera da un tale Federico Leva che richiede la cancellazione dei propri dati personali che sono stati registrati con Google Analytics. Dopo il recente caso in cui il garante della privacy ha dichiarato che Google Analytics, la soluzione più usata da tutti per monitorare il traffico sul proprio sito web, invia i dati degli utenti tracciati in America e, pertanto, non rispetta le normative Europee, si sono aperte le porte ad un mondo di problemi e, soprattutto, possibilità di phishing.

Quella di Federico Leva sembra in tutto e per tutto una mail creata per raccogliere le informazioni in modo illecito. Non a caso, infatti, vuole che gli venga risposto solo tramite due questionari il cui link è indicato al fondo della e-mail.

A confermare il tentativo di truffa è il fatto che limesurvey.org, il servizio usato per offrire il questionario, ha bloccato l’utente e tutte le sue attività. Infatti, se si clicca sul link (NON FATELO) si riceve solo un messaggio che al momento non è possibile compilare il form e la richiesta di tornare più tardi.

Il parere (non legale) che gira in rete è quello di ignorare l’email, anche perché, in ogni caso, il questionario non è possibile compilarlo perché è stato cancellato, come si vede dallo screenshot qui sopra.

In più, e-mail di questo genere, dovrebbero essere inviate tramite PEC per avere valore legale.

Il problema di Google Analytics, però, è veramente grave e le ripercussioni della sentenza, si vedranno sempre di più. Consigliamo, quindi, a tutti gli webmaster di passare a Google Analytics 4, ovvero la nuova versione del software che dovrebbe aver risolto il problema.