Al Garante della privacy non piace Google Analytics

Migliaia di siti rischiano di dover rinunciare al servizio statunitense che analizza il traffico online, ritenuto non compatibile con le regole europee

Caricamento player

Giovedì 23 giugno il Garante per la protezione dei dati personali ha reso noto un provvedimento, che era stato assunto un paio di settimane prima, che definisce incompatibile il funzionamento di Google Analytics con le regole sulla privacy previste nell’Unione Europa. Le verifiche hanno riguardato uno specifico sito web, ma le conclusioni interessano di fatto tutti i siti che utilizzano quello strumento di Google, tra i più impiegati e diffusi per rilevare le visite e le attività degli utenti sui singoli siti web. Da giorni si discute sulle potenziali conseguenze per centinaia di migliaia di siti che utilizzano Google Analytics (GA) e che potrebbero non essere considerati in regola dal Garante.

Il provvedimento è il frutto di una lunga indagine partita da alcuni reclami e che ha coinvolto anche altre autorità europee, proprio per verificare se GA fosse compatibile con il Regolamento generale sulla protezione dei dati dell’Unione Europea (GDPR). Al termine dell’istruttoria, il Garante ha concluso che il servizio di Google non rispetta la normativa, perché i dati che vengono raccolti sulle attività degli utenti sono trasferiti negli Stati Uniti, un paese che non offre sufficienti garanzie per la privacy rispetto a quanto previsto dal GDPR.

In particolare, negli Stati Uniti l’accesso da parte delle agenzie di intelligence ai dati degli utenti avviene molto più facilmente rispetto all’Unione Europea, condizione che può quindi esporre le informazioni personali degli utenti. GA non raccoglie dati riconducibili direttamente ai singoli utenti, ma registra comunque informazioni rilevanti come l’indirizzo IP (il codice numerico che assumono i dispositivi online), luogo (con una certa approssimazione) e data di accesso al sito visitato, sistema operativo, browser e altre informazioni derivate su base statistica.

Alcuni di questi dati, come l’indirizzo IP, sono considerati informazioni personali e non possono quindi essere trasferiti dall’Unione Europea agli Stati Uniti. Nel 2020, la Corte di giustizia dell’Unione Europea aveva già definito gli Stati Uniti come un punto di arrivo non sicuro per i dati, segnalando che le aziende che li esportano e importano avrebbero dovuto adottare sistemi tecnologici e altre soluzioni per tutelare la privacy degli utenti. Il problema è che alcuni servizi, come quelli offerti da GA, difficilmente possono essere modificati per soddisfare quelle richieste.

Prima del Garante italiano, anche le autorità per la protezione dei dati personali della Francia e dell’Austria avevano emesso provvedimenti sempre legati all’impiego di GA.

Il provvedimento italiano riguarda direttamente un solo sito, perché il Garante agisce sulla segnalazione di casi specifici, arrivando a determinazioni che poi eventualmente interessano tutti gli altri. Al gestore del sito è stata comunicata una sorta di ammonizione: ha novanta giorni di tempo per verificare se sia possibile continuare a utilizzare GA senza l’esportazione verso gli Stati Uniti dei dati, altrimenti dovrà sospenderne l’utilizzo. Il provvedimento riguarda il singolo caso, ma il principio si applica a tutti i siti che si trovano nelle medesime condizioni, e che sono probabilmente centinaia di migliaia solo in Italia, considerata la grande diffusione di GA (è offerto gratuitamente da Google).

Come ha ricordato l’esperto di privacy e tra i componenti del Garante, Guido Scorza: «Il gestore del sito oggetto del provvedimento e la stessa Google non sono più “cattivi” o, più semplicemente, meno rispettosi delle regole di una moltitudine di soggetti che egualmente esportano e importano dati personali in America nell’ambito della fornitura di servizi più o meno digitali o dell’impiego di tali servizi». In futuro potrebbero quindi emergere casi analoghi, che mostrano l’importanza di trovare un nuovo accordo tra Unione Europea e Stati Uniti che consenta il trasferimento dei dati senza violazioni del GDPR.

Al momento non è chiaro che cosa accadrà tra 90 giorni, quando sarà scaduto il tempo concesso dal provvedimento del Garante per mettersi in regola. Il sito da cui tutto è partito rischia una sanzione amministrativa, ma ciò non esclude che ci siano conseguenze anche per tutti gli altri siti che impiegano GA.