Indice:
La domanda “Google Analytics è illegale?” era nell’aria.
Dopo l’intervento dell’autorità garante austriaca, è la volta del Garante italiano che con il provvedimento del 9 giugno 2022 parla chiaro:
l’uso di Google Analytics 3 non è conforme ai principi stabiliti dal GDPR.
Cosa fare quindi?
Facciamo chiarezza, e anche un passo indietro per capire i termini della questione.
Google Analytics e gdpr
Chiariamo innanzitutto che il Garante Privacy si è pronunciato su di un caso specifico, ingiungendo al titolare di quel trattamento (ossia di quel sito web) di adeguarsi nel termine di 90 giorni.
“ingiunge a C. M. S.r.l. di conformare al Capo V del Regolamento entro il termine di novanta giorni dalla notifica del presente provvedimento, il trattamento di dati personali degli utenti del sito www.(..).it effettuato per il tramite di Google Analytics, adottando misure supplementari adeguate” (provvedimento del 9 giugno 2022 [9782890]).
Questo provvedimento non impone quindi l’adeguamento collettivo nei 90 giorni, essendo riferito a quel titolare del trattamento oggetto di quel provvedimento.
Nondimeno, il ragionamento del Garante Privacy è un utile precedente che può e deve orientare l’uso di Google Analytics e di altri tool di trattamento dati online.
Garante privacy google analytics
Facciamo un altro passo.
Il Garante Privacy con questa pronuncia non ha voluto tanto demonizzare l’uso di Google Analytics in quanto tale, ma focalizzare l’attenzione sulla scarsa tutela nei confronti dei dati personali degli utenti da parti di tool come questo, che trasferiscono i dati oltreoceano.
Già perché usare un sistema di tracciamento dei dati utenti, come Google Analytics, significa raccogliere questi dati (come l’indirizzo IP) e consentire ai gestori della piattaforma Google di acquisirli e fornire i relativi report di utilizzo.
Per poter fare questo, i dati vengono raccolti e traghettati oltreoceano, e precisamente sui server di Google LLC, con sede a Mountain View, California, dove:
- Google dispone di altri dati (come quelli dell’account Google: e-mail, numero di telefono, genere, data di nascita, foto profilo) che associati all’indirizzo IP possono rendere la persona identificata o identificabile;
- le autorità di controllo statunitensi hanno ampi poteri ispettivi nei confronti di questi dati, mentre agli utenti non sono garantiti i medesimi diritti sanciti dal GDPR.
E quindi Google Analytics è illegale?
Secondo il GDPR – che si applica a tutti i trattamenti di dati personali di soggetti europei – trasferire dati personali fuori dall’Unione Europea potrebbe essere rischioso per la sicurezza dei dati stessi che, lo sappiamo, sono “il nuovo petrolio” (Clive Humby).
Soprattutto se il paese terzo dove avviene il trasferimento sono gli USA.
Negli Stati Uniti infatti le autorità di sicurezza nazionale hanno ampi poteri di accesso e monitoraggio rispetto ai dati personali detenuti da operatori come Google, senza che al contempo siano previste, nell’ordinamento in questione, adeguate tutele a protezione dei soggetti interessati.
Insomma, tornando alla domanda se Google Analytics è illegale, possiamo dire che, in mancanza di un accordo internazionale UE-USA, come l’ormai invalidato privacy shield, il trasferimento dei dati personali oltreoceano può essere considerato un trattamento illecito (art. 46 GDPR).
Google analytics GDPR cosa dice il garante privacy
Generalizzare sull’illiceità nell’uso di Google Analytics sarebbe, però, poco corretto.
Il provvedimento del Garante Privacy su Google Analytics si riferisce al singolo caso concreto e non alla generalità dei siti web.
Estendere la pronuncia del Garante Privacy su Google Analytics alla generalità dei casi vorrebbe dire usare il metodo induttivo: dal particolare al generale.
Interpretare e applicare una disposizione di Legge, come quelle contenute nel GDPR, significa invece ricorrere al metodo deduttivo: dal generale al particolare.
Ecco che quindi ritenere valida la pronuncia del Garante per tutti i casi di utilizzo di Google Analytics rischierebbe di essere fuorviante, e ciò a causa delle inevitabili differenze tra caso e caso.
Ad esempio, nel caso esaminato dal Garante:
- era in uso Google Analytics 3 e non GA4
- ergo – ad oggi – alcuna valutazione è stata fatta dal Garante sull’uso di GA4;
- l’indirizzo IP non era stato anonimizzato al momento della presentazione del reclamo
- mentre oggi sappiamo che con GA4 l’anonimizzazione è automatica;
- l’informativa privacy presente sul sito esaminato dal Garante Privacy – realizzata mediante generatore automatico – non è stata ritenuta adeguata in assenza dell’indicazione che i dati sarebbero stati trasferiti in un paese extra UE (art. 13 par. 1 lett. f) GDPR);
- il procedimento è stato attivato su reclamo di un utente e non d’ufficio da parte del Garante (facoltà che comunque detiene);
- la sanzione irrogata è un ammonimento affinché quel titolare si adegui entro 90 giorni, senza comminare sanzioni pecuniarie.
A queste conclusioni il Garante Privacy è arrivato non solo applicando la norma generale e astratta (GDPR), ma soprattutto valutando le circostanze del caso concreto, come la condotta assunta dal titolare.
Google Analytics è illegale? Le sanzioni
Già perché nel decidere se irrogare una sanzione pecuniaria o un ammonimento, il Garante deve tenere in considerazione una serie di parametri che variano da caso a caso (cd. giudizio di ponderazione), come:
- la gravità della violazione:
- esclusa nel caso in esame perché non avente ad oggetto dati sensibili;
- il carattere doloso o colposo della violazione:
- nel caso del provvedimento in esame il Garante ha ritenuto la natura colposa per via dell’asimmetria contrattuale tra il Titolare e Google LLC;
- le misure adottate ex post per attenuare il danno:
- come l’adesione all’opzione di anonimizzazione dell’IP e l’aggiornamento dell’informativa privacy sul sito web;
- l’assenza di precedenti violazioni a carico del titolare.
Tutti questi elementi di valutazione del caso concreto hanno deposto per l’inquadramento del caso come “violazione minore“, giustificando il ricorso all’ammonimento anziché ad una sanzione pecuniaria.
Per questo motivo non è possibile generalizzare dicendo che Google Analytics è illegale o che il suo utilizzo debba comportare una particolare sanzione da parte del Garante.
Ogni caso dev’essere valutato a sé, usando come parametro i principi generali.
Cosa fare in concreto?
Google Analytics GDPR Privacy Policy sanzioni
Ecco quindi che per poter trasferire i dati personali in un paese terzo come gli USA – dove hanno sede la maggior parte dei player della rete – occorre avere particolare cautela.
La miglior soluzione è sicuramente quella di avvalersi di strumenti con server collocati in Europa o in paesi terzi verso i quali esista una decisione di adeguatezza, come Regno Unito, Canada, Svizzera e molti altri indicati a questo link.
In alternativa, l’opportunità di usare strumenti che hanno server in USA va valutato caso per caso con attenzione.
Ad esempio:
Google Analytics è illegale? No, è in una zona grigia
La risposta alla domanda “Google Analytics è illegale?” è no.
Non è illegale e non è neppure legale al 100%: Goole Analytics si trova in una zona grigia.
La maggior parte delle persone pensa che quando si parla di legge e diritto, sia tutto o bianco o nero.
In realtà il panorama legale è in scala di grigi.
Raramente ci sono confini netti, e quasi sempre occorre rifarsi all’interpretazione di norme generali ed astratte.
E la pronuncia del Garante Privacy su Google Analytics e GDPR ne è un ottimo esempio.
Ad oggi non abbiamo una pronuncia che sancisca l’illiceità di GA4, che quindi in linea di principio può essere usato, ma con i dovuti accorgimenti visto il frastagliato panorama normativo esistente.
Non solo. In un mercato unico globale dove la gran parte dei players ha sede oltreoceano, non abbiamo neppure un accordo transnazionale – come il vecchio Privacy Shield – che consenta il trasferimento dei dati UE-USA.
Insomma, il livello d’incertezza è alto e la necessità di un intervento a livello di politica internazionale è quantomai impellente.
Nel frattempo, navighiamo a vista individuando la soluzione migliore case by case.
Se vuoi sapere come mettere a norma di GDPR il tuo sito, ecco alcuni servizi del mio studio che possono fare al caso tuo:
- la consulenza in cui analizzo il tuo sito web e ti indico cosa mettere e dove per essere a norma di GDPR;
- la stesura di privacy e cookie policy per il tuo sito web o per la piattaforma che stai lanciando, per trattare i dati a norma di legge.
Vuoi saperne di più?
