Google Analytics e GDPR: analisi, rischi e soluzioni dal punto di vista legale

Cosa c’è dietro la presa di posizione dal Garante nei confronti di Google Analytics, quali sono i rischi e le possibili soluzioni “a prova di legge”. Lo abbiamo chiesto agli avvocati dello Studio Legale Fiore

Tempo di lettura: 40 minuti

In questi ultimi mesi – sicuramente dal 9 giugno 2022, dopo l’ammonimento ricevuto da Caffeina SRL-  Google Analytics è finito sotto la lente d’ingrandimento del Garante della Privacy, che ha confermato che i dati archiviati dall’azienda vengono trasferiti nelle sedi statunitensi e quindi fuori dallo spazio economico europeo, violando così la normativa europea del GDPR.

Ma cosa è successo di preciso e quali sono le soluzioni alternative a Google Analytics considerate lecite dal punto di vista legale.

Lo abbiamo chiesto allo Studio Legale Fiore di Milano.

Indice

Dall’abolizione del privacy Shields allo stop a Google Analytics

Per comprendere al meglio i motivi che hanno portato il Garante della Privacy ad attenzionare le aziende sull’utilizzo di Google Analytics dobbiamo fare un passo indietro e analizzare il contesto, partendo dall’invalidazione del Privacy Shield.

Il Privacy Shield, ovvero lo “scudo per la privacy” tra UE e USA, entrato in vigore il 1° agosto 2016, era un meccanismo di autocertificazione per le società stabilite negli USA che intendevano ricevere dati personali dall’Unione europea. 

In particolare, le società si impegnavano a rispettare i principi in esso contenuti e a fornire agli interessati, ovvero tutti i soggetti i cui dati personali siano stati trasferiti dall’Unione europea, adeguati strumenti di tutela, pena l’eliminazione dalla lista delle società certificate (“Privacy Shield List”) da parte del Dipartimento del Commercio statunitense e possibili sanzioni da parte della Federal Trade Commission (Commissione federale per il commercio). 

Lo “Scudo” era applicabile a tutte le categorie di dati personali trasferiti dall’UE agli USA, compresi informazioni commerciali, dati sanitari o relativi alle risorse umane, purché la società USA destinataria di tali dati avesse autocertificato la propria adesione allo schema. 

Il regime dello scudo UE-USA è stato però dichiarato invalido dalla Corte di Giustizia Europea il 16 luglio 2020 con la  sentenza Schrems II (C-311/18), che ha annullato la decisione 2016/1250 di adeguatezza della Commissione Europea al Privacy Shield. 

Dopo l’entrata in vigore del Regolamento Europeo sulla Privacy, la normativa USA, e quindi anche lo scudo UE-USA, è stata ritenuta inadeguata a garantire la protezione dei dati forniti dalle aziende europee a quelle americane, rispetto alle garanzie che in Unione Europea la nuova legge fornisce.

In sintesi quello che la Corte ha voluto affermare, con la sentenza di luglio 2020, è che il diritto alla protezione della privacy di un cittadino europeo non può limitarsi alla disponibilità di una società di rispettare gli accordi con le aziende UE: la tutela deve essere oggettiva, ossia deve venire dall’autorità pubblica; non deve essere un affare privato, ma deve avere un’importanza pubblica. Deve essere in pratica una misura di democrazia.

Successivamente, nell’agosto 2020, NOYB (European center for digital rights) ha presentato 101 reclami a varie autorità europee sulla protezione dei dati su siti web che utilizzano, tra gli altri, il diffusissimo strumento di misurazione Google Analytics, la cui società madre ha sede negli Stati Uniti.

Il caso Caffeina

Il 9 giugno 2022 è emersa la notizia che il Garante della Privacy aveva redarguito un’azienda, la Caffeina Media SRL, che per l’analisi dei dati sul proprio sito web utilizzava proprio Google Analytics, in particolare GA3. 

“L’ammonimento è avvenuto perché è stato riconosciuto come illecito il trattamento dei dati degli utenti che venivano trasferiti fuori dall’Unione Europea, in particolare negli Stati Uniti.”

Un’azione che deriva (indirettamente) proprio dalle lamentele proprio di NYOB, che nel 2020 aveva segnalato al Garante che un’azienda aveva trasferito i suoi dati personali a Google USA, andando contro la normativa prevista dal GDPR.

L’azienda oggetto di segnalazione aveva, tuttavia, risposto che anche se in quel momento la sua controparte contrattuale fosse effettivamente Google USA, sarebbe stata ben presto sostituita con Google Ireland. Inoltre l’impresa aveva garantito l’anonimizzazione dell’indirizzo IP, usando la cifratura dei dati e non aderendo alla condivisione dei dati. 

Nonostante quindi l’azienda in esame avesse fatto tutto il possibile per rispettare i diritti degli utenti del suo sito web, il problema non risolse in quanto:

Anche Google Ireland esporta i dati negli Stati Uniti.

Già all’epoca Il Garante della Privacy aveva dichiarato che queste precauzioni prese non sarebbero bastate perché:

Sia la crittografia che la pseudonimizzazione potevano essere reversibili e quindi permettere a Google di avere accesso ai dati degli utenti.

Quanto accaduto nel 2022 riporta quindi l’attenzione sui problemi, segnalati da NYOB fin dal 2020, di GA3 con la gestione dei dati degli utenti europei, mettendo così in seria difficoltà chiunque utilizzi per il proprio sito Google Analytics.

Google Analytics e GDPR

Google Analytics è uno degli strumenti più utilizzati nell’ambito digital perché in grado di offrire alle aziende moltissimi dati a supporto delle campagne di marketing online.

Capire i comportamenti degli utenti di un sito web attraverso l’acquisizione e analisi dei dati risulta fondamentale per sviluppare azioni di digital marketing consapevoli e data driven.

Attraverso Google Analytics si riescono a leggere, in modo intuitivo e semplice, una serie di dati dettagliati rispetto al comportamento di navigazione di un utente all’interno di un sito web. Questi dati sono utili per creare strategie di marketing in grado di permettere al possessore del sito di migliorare la qualità del suo servizio e il coinvolgimento dell’utente, ad esempio con contenuti su misura.

Il modo in cui Google Analytics gestisce il trattamento dei dati presenta delle criticità. 

Nonostante i dati vengano anonimizzati prima di venir archiviati nei server, una piattaforma come Google Analytics 3 può ricostruire la provenienza di ciascuno dato, profilando di conseguenza l’utente in maniera dettagliata, anche in zone extra UE come, appunto, gli Stati Uniti.

La normativa europea di per sé permette il trasferimento di dati personali verso Paesi non appartenenti allo Spazio Economico Europeo o verso un’organizzazione internazionale, a condizione che la loro adeguatezza sia riconosciuta tramite decisione della Commissione europea.

Al momento UE e Google non hanno ancora trovato un accordo affinché il trasferimento dei dati possa avvenire in modo lecito rispetto alla GDPR.

Quando NOYB, nel 2020, denunciò per primo ai Garanti le problematiche di GA3, il suo obiettivo era quello di mettere in evidenza una criticità che vede strumenti come Analytics o anche Facebook Connect non rispettare il GDPR, acquisendo essi dati sui server americani.

Inoltre una volta che i dati atterrano su questi server sono soggetti a legge americana, la quale permette a terzi di investigare su di essi, cosa assolutamente contro i principi della normativa europea.

Perché Analytics viola il GDPR 

Per comprendere al meglio i motivi dietro le violazioni, dobbiamo capire che il tutto parte da un problema formale di nomina.

Il problema “formale”

Google, facendo tracciamento dei dati degli utenti del sito web, diviene Responsabile del Trattamento, conformemente all’art. 28 del GDPR, e dovrebbe essere nominato e adeguatamente istruito relativamente alle modalità di trattamento.

L’impossibilità per qualsiasi titolare europeo di imporre a Google, o a una qualsiasi Big Tech, le proprie istruzioni documentate, è uno dei principali cortocircuiti del GDPR, come denunciato da Wojciech Wiewiórowski, in una recente conferenza (17/06/22 Bruxelles) sullo stato di salute del Regolamento Europeo.

Nei fatti Google si autonomina Responsabile del trattamento attraverso i “Google Analytics Terms of Service” e i “Google Ads Data Processing Terms”, documenti propri, realizzati in “pro domo”. Essi vengono dati senza alcuna possibilità di discussione ad ogni soggetto che necessiti di utilizzare i suoi applicativi, con una chiara e manifesta sproporzione di forza fra le parti.

Tali accordi definiscono Google Ireland Limited come Responsabile del trattamento, come da art. 28 del GDPR e annoverano tra i subfornitori l’americana Google LLC, innescando un problema, come vedremo a breve, di trasferimento internazionale di dati Oltreoceano.

Il problema “sostanziale”

In secondo luogo c’è un problema sostanziale.

I siti web raccolgono, mediante i cookies trasmessi al browser degli utenti, informazioni sulla modalità di interazione di questi ultimi con il sito web, nonché con le singole pagine e con i servizi proposti.

I dati raccolti consistono in:

• Identificatori online unici che consentono sia l’identificazione del browser che del dispositivo dell’utente che visita il sito web
• Indirizzo, nome del sito web e dati di navigazione;
• Indirizzo IP del dispositivo utilizzato dall’utente, che come sappiamo è un dato personale;
• Informazioni relative al browser, al sistema operativo, alla risoluzione dello schermo, alla lingua selezionata, nonché a data e ora della visita al sito web.

L’aggravante è data dal fatto che l’utente del sito web può essersi loggato al proprio account Google, e che quindi i dati citati possano essere associati ad altre informazioni presenti nell’account, quali l’indirizzo email (che costituisce l’user ID dell’account), il numero di telefono ed eventuali ulteriori dati personali, tra cui il genere, la data di nascita o l’immagine del profilo.

Le violazioni segnalate dal Garante 

Da tutta questa vicenda emerge che chiunque su suolo europeo utilizzi Google Analytics viola la normativa di protezione dati prevista dal GDPR trasferendo i dati degli utenti negli Stati Uniti, paese che, secondo gli standard europei, non dà abbastanza garanzie a livello di gestione dei dati.

Utilizzando in particolar modo GA3, ogni sito web ricava, attraverso i cookie, comportamenti dettagliati degli utenti, riuscendo a ricostruire precisamente il comportamento di ogni singolo utente. 

L’anonimizzazione che Google promette di fare, viene ritenuta dal Garante non sufficiente perché, come detto, grazie alla mole di dati raccolti, risulterebbe (per Google o per terzi) molto semplice risalire ad una profilazione dettagliata dell’utente.

È facile comprendere come tra le preoccupazioni principali del Garante ci sia la possibilità che enti governativi americani, come l’intelligence, possano accedere in qualsiasi momento e facilmente ai dati degli utenti che Google conserva nei suoi server americani, violandone la riservatezza.

Secondo quanto emerge dalle indicazioni del Garante europeo Google non garantisce una protezione adeguata dei dati, al di là di dove essi vengano archiviati.

Nel provvedimento recente, il Garante della Privacy ha accertato che il trasferimento dei dati fatti dall’azienda ammonita verso Google LLC, attraverso Google Analytics viola alcuni articoli del Regolamento, nello specifico:

• Gli articoli 44 e 46  che trattano dei principi generali di trasferimento, ovvero i dati possono essere trasferiti soltanto se il titolare del trattamento e il responsabile del trattamento rispettano le condizioni previste dal GDPR.
• L’art. 5, par. 1, lett. a) e par. 2 che sancisce il principio per il quale i dati devono essere “trattati in modo lecito, corretto e trasparente nei confronti dell’interessato”. Inoltre il responsabile del trattamento dati dovrà essere competente riguardo la materia ed essere in grado di comprovarlo. 
• L’art. 13, par. 1, lett. f), sancisce che, in caso di raccolta presso l’interessato di dati che lo riguardano, il titolare del trattamento dovrà fornire all’interessato, nel momento in cui i dati personali sono ottenuti, l’intenzione del titolare del trattamento di trasferire dati personali a un paese terzo o a un’organizzazione internazionale. Dovrà inoltre indicare l’esistenza o meno di una decisione di adeguatezza della Commissione o il riferimento alle garanzie appropriate o opportune e i mezzi per ottenere una copia di tali garanzie o il luogo dove sono state rese disponibili.
• L’art. 24, che tratta nello specifico la responsabilità del titolare del trattamento che dovrà mettere in atto misure tecniche e organizzative adeguate al fine di garantire e dimostrare che il trattamento è effettuato conformemente al Regolamento.

Quali dati tratta Google Analytics

Al centro delle contestazioni ci sono specifici dati trattati dall’azienda ammonita, come:

• Indirizzo IP dell’utente
• Informazioni su sistema operativo utilizzato per navigare
• Tipologia di Browser
• Lingua scelta per la navigazione
• Risoluzione dello schermo utilizzato (computer o mobile)
• Data e ora della visita al sito

Inoltre, come sottolineato dal Garante, se un utente accede ad un sito attraverso il proprio account di Google, risulta molto semplice associare altre informazioni, come il numero di telefono o l’indirizzo email, alla navigazione dell’utente.

L’anonimizzazione dell’IP

Prima di tutto è necessario chiarire la differenza fondamentale tra due concetti chiave:

La pseudonimizzazione è il trattamento dei dati personali fatto in modo tale che non sia più possibile attribuire gli stessi a una persona fisica, senza avere a disposizione ulteriori informazioni.

In pratica, la pseudonimizzazione consiste nel sostituire i dati direttamente identificativi (cognome, nome, ecc.) in un set di elementi con dati indirettamente identificativi (alias, numero sequenziale, ecc.).

L’anonimizzazione, invece, consiste nell’utilizzare un insieme di tecniche in modo tale da rendere impossibile, in pratica, l’identificazione della persona con qualsiasi mezzo e in modo irreversibile. I dati anonimizzati non sono più soggetti al GDPR.

Chiarito ciò, la soluzione implementata da Google Analytics, si chiama impropriamente “IP-Anonymization”. Lo strumento oscura l’ottetto meno significativo, ovvero le ultime cifre dell’IP, rendendolo virtualmente anonimo e quindi non più elemento che lo renda soggetto al GDPR. Tale strumento non sempre è implementato, essendo una personalizzazione lasciata agli utenti, che sovente ignorano l’esistenza della soluzione.

Il Garante ha rilevato che Caffeina Media Srl non ha attivato l’IP-Anonymization e che se anche l’avesse fatto non sarebbe stato sufficiente per garantire l’anonimizzazione.

Il nome della stessa soluzione è fuorviante, poiché non si tratta di una reale anonimizzazione ma di una pseudonimizzazione. In sostanza il troncamento dell’ultimo ottetto non impedisce a Google LLC di re-identificare l’utente, tenuto conto delle informazioni sugli utenti – non ultimi, i dati contenuti nell’account Google – complessivamente raccolte dall’azienda.

Il caso Federico Leva

È bene chiarire che Google Analytics permette il filtro e quindi l’esclusione di un IP dalla visualizzazione dei dati. Questo però non garantisce che l’IP non venga ancora gestito, in background, dalla piattaforma.

Inoltre Google Analytics permette di eliminare l’ID Cliente, che però non riguarda l’indirizzo IP dell’utente, ma si riferisce al device utilizzato, come computer e smartphone, e al browser con il quale l’utente si collega al sito.

L’eliminazione dell’ID Cliente da Analytics non garantisce l’eliminazione dell’indirizzo IP dalla piattaforma.

Rispetto alla richiesta di rimozione dati di Federico Leva, nel caso in cui si volesse procedere con una risposta alla sua email e quindi iniziare con la procedura indicata qui sopra, è bene sapere che questa sarà comunque parziale.

Per operare la rimozione di quanto possibile, con gli strumenti offerti dalla piattaforma, sarebbe necessario chiedere a Federico Leva – o ad altri utenti che dovessero richiedere la rimozione dei loro dati personali e di navigazione da Google Analytics – l’invio dei seguenti dati: 

• Indirizzo IP
• ID Cliente
• Data e orario di accesso al sito

I provvedimenti del Garante della privacy

In tutta questa storia, quello che bisogna tenere conto è che il Garante della Privacy ha solo ammonito l’azienda, senza dare nessuna sanzione, concedendo al titolare del trattamento dati 90 giorni di tempo per adeguarsi al provvedimento.

Il Garante inoltre sottolinea come spetti al titolare del trattamento dati stesso verificare se i dati vengono protetti nella maniera corretta e se tutte le precauzioni prese siano sufficienti per proteggere la privacy degli utenti.

Proprio per questo motivo non è stato emanato nessuno divieto di trasferimento dati, ma solo una sospensione fino a che il titolare non trovi delle soluzioni aggiuntive in grado di proteggere gli utenti e rispettare il GDPR.

È importante inoltre ricordare che uno degli elementi più importanti del GDPR è il principio di accountability. Esso permette a chi si occupa del trattamento dei dati di potersi muovere in maniera libera tra gli strumenti da utilizzare per garantire agli utenti che tutti i principi del GDPR vengano messi in atto.

Il Garante non indica le misure da adottare e che la decisione viene rimessa nelle mani del titolare del trattamento dati.

Alla luce dei fatti e dei provvedimenti presi, GA3 così come è implementato (a oggi) non può essere a norma di legge.

Quali conseguenze per le aziende che continuano ad utilizzare Google Analytics

Le aziende che sono Titolari del trattamento e i soggetti che agiscono quali Responsabili del trattamento sono sottoposte alla controllo del Garante della Privacy. 

Al Garante, in forza dell’articolo 55 e successivi del GDPR, sono attribuiti vari compiti e poteri, tutti diretti ad assicurare il rispetto delle norme tese alla tutela del corretto trattamento dei dati personali e, più in generale, del rispetto della privacy dei singoli. 

La violazione delle norme poste dal GDPR, come accade per Google Analytics che consente il trasferimento di dati in paese extra UE, espone l’azienda alla possibilità di indagine e correttivi, assunti di propria iniziativa, da parte del Garante. Questo è esplicitato nell’articolo 58 del GDPR, che identifica tutte le azioni e i poteri in possesso del Garante.

Le aziende possono essere segnalate dagli utenti attraverso lo strumento del reclamo al Garante (ex artt. 77 e successivi del GDPR).

Quali sanzioni per le aziende che utilizzano Google Analytics e non risultano conformi al GDPR

Un’azienda che non rispetta le norme del GDPR e che quindi viola le regole di condotta che il Titolare del trattamento e il Responsabile del trattamento devono rispettare, può ricevere da parte del titolare dei dati che vengono trattati la richiesta di risarcimento danni, come indicato nell’articolo 82 del GDPR.  

Dal punto di vista amministrativo, invece, l’art. 83 GDPR prevede il potere inflittivo di sanzioni amministrative pecuniarie in capo al Garante della Privacy nei confronti del Titolare del trattamento e del Responsabile del trattamento che abbiano violato la normativa in materia. 

Soluzioni alternative a Google Analytics

È bene ricordare che quello preso nei confronti dell’azienda fa parte di un provvedimento quindi non spetta al Garante predisporre soluzioni alternative all’uso di Google Analytics.

Detto questo quali sono le alternative che possiamo adottare per poter trattare i dati degli utenti dei siti web senza andare contro la legge? Vediamoli insieme.

Software ad hoc

È sicuramente una soluzione alquanto costosa che però le aziende più grandi  possono pensare di adottare conservando così i dati all’interno dell’azienda senza operare alcun trasferimento.

Questa è sicuramente una soluzione che metterebbe d’accordo tutti, a condizione che le sedi si trovino nello spazio europeo, anche se porrebbe la questione della sicurezza interna e dell’eventuale vulnerabilità dei singoli sistemi, che potrebbero essere hackerati.

Software con hosting proprietario

Anche questa potrebbe essere una soluzione in grado di risolvere il problema del trasferimento dei dati all’estero. Sarà compito del titolare del trattamento dati a doverli gestire sulla propria piattaforma.

Software con server in UE

Questa è sicuramente la soluzione migliore (costi-benifici) perché permette l’utilizzo di software in grado di fornire analisi dati comparabili a quelle di GA senza trasferire dati fuori dal continente europeo.

Tra i migliori software con server “europei” c’è sicuramente Matomo, in grado di anonimizzare l’IP degli utenti e con un costo di licenza su Cloud Server (consigliato per siti sopra le 100.000 mila pageviews/mese) di 69€/mese.

Lo strumento permette di:

• Conoscere le visite in tempo reale

• Analizzare il numero di utenti e di sessioni in un determinato periodo

• Studiare la provenienza geografica delle visite

• Osservare il Bounce Rate (frequenza di rimbalzo)

• Capire quali sono le pagine più visitate

• Comprendere quale dispositivo, browser e motori di ricerca sono stati utilizzati per raggiungere il sito

• Tracciare le conversioni

• Fissare gli obiettivi (Goal)

• Avere report personalizzati
• Visualizzare i dati con data studio

È in fase di verifica anche la possibilità di trasferire lo storico dati da Google Analytics.

Come alternativa a Matomo, esistono anche:

• Mouseflow: con la soluzione gratuita questo strumento permette di monitorare un sito con 500 sessioni al mese, con i dati che rimangono salvati per 30 giorni. Con la soluzione a pagamento a 24 € si hanno 5000 sessioni mensili per un sito con 3 mesi di salvataggio dei dati. Per soluzioni enterprise, il costo è di 159 € e permette di salvare i dati per un anno.
• Plausible: è uno strumento semplice e intuitivo, adatto per SEO strategist o web designer che permette di importare i dati per avere uno storico delle sessioni. Plausible è uno strumento solo a pagamento che parte da 9 € al mese permettendo di tracciare 50 siti con 10.000 visualizzazioni di pagina mensili. Il piano dal 19 € al mese, invece, permette 100.000 visualizzazioni, con due mesi in omaggio se si sceglie il pagamento annuale.
• Mixpanel: soluzione ottima e semplice che permette con il piano gratuito di tracciare 100.000 utenti mensili con uno storico che risulta illimitato.
• WP Statistic: se si utilizza WordPress questo strumento gratuito potrebbe essere molto utile e risulta in linea con il regolamento del GDPR. Bisogna però utilizzare un’accortezza, ovvero fare attenzioni alle opzioni di anonimizzazione dell’indirizzo IP che non è attiva di default.

Google Analytics 4 è a norma di GDPR?

Su GA4 non si hanno risposte certe e sicure. Al momento infatti se Google non troverà un accordo con l’Unione Europea, anche i dati che verranno archiviati da Analytics 4 risulterebbero gestiti in maniera non consona rispetto al GDPR.

Intervento di Guido Scorza, membro del Garante per la protezione dei dati personali, in data 5 luglio 2022

Gli uffici del Garante non hanno avuto occasione di esaminare la versione 4 di Google Analytics semplicemente perché il titolare del trattamento oggetto del provvedimento non la utilizzava, né sin qui tale versione è venuta in rilievo in altri procedimenti analoghi.

Impossibile in queste condizioni, pertanto, dire se essa sia o meno in grado di risolvere il problema e consentire l’uso di Google Analytics in conformità alla disciplina europea sul trasferimento dei dati personali negli USA.

Quello che, tuttavia, si può certamente dire è che per rendere il servizio conforme alle regole europee non basta né che gli indirizzi IP degli utenti siano cancellati da Google un istante dopo la raccolta, né che non siano raccolti se, al loro posto, sono comunque raccolti e trasferiti nella disponibilità di Big G – responsabile del trattamento – altri dati che consentano a quest’ultima di identificare o re-identificare un utente.

Scenari futuri

Il primo auspicio – semplicemente perché solo così il problema sarebbe risolto alla radice – è che nelle prossime settimane i Governi di Bruxelles e Washington facciano seguire all’accordo politico annunciato a marzo, un accordo giuridicamente vincolante che consentirebbe la naturale ripresa dell’esportazione di dati dall’Europa agli Stati Uniti.

Se questo non accadesse, prima di tirare su un muro tra i due continenti bisognerà verificare se ci sia un modo – che sia l’upgrade alla versione GA4 o altro – per continuare a usare il servizio di Analytics di Big G nel rispetto delle norme europee.

Se tale accordo non dovesse arrivare in tempi brevi, l’unica soluzione sarà interrompere l’utilizzo di Google Analytics. E valutare delle alternative.