GOOGLE ANALYTICS e GDPR: criticità e soluzioni dopo il provvedimento del Garante del 22 Giugno 2022!

Il provvedimento del 22 Giugno 2022 del Garante Italiano, ai danni di Caffeina Media Srl, un’azienda di marketing e comunicazione che, come tutte le web agency, utilizza GOOGLE ANALYTICS per l’analisi dei dati di traffico dei siti web, rischia di essere la punta dell’iceberg per future azioni disciplinari e sanzionatorie nei confronti di chi si avvale di provider e servizi cloud i cui dati vengono inviati, anche solo parzialmente, a server ed aziende che risiedono negli USA.

Perché l’uso di servizi come GOOGLE ANALYTICS è considerato ILLECITO per il GDPR?

In realtà la domanda corretta sarebbe: perché non è lecito inviare dati personali di residenti UE negli USA tramite Google Analytics o altre piattaforme simili?

Molti stanno infatti puntando erroneamente il dito sulla piattaforma Google Analytics come strumento di per sé illecito ma, non è proprio così.

L’illiceità nasce dal fatto che, tramite la piattaforma Google Analytics, alcuni dati come ad esempio indirizzo IP, dati relativi a dispositivo, browser, dati di geolocalizzazione, possano essere inviati, anche solo parzialmente e per un tempo limitato, a Google LLC locata negli USA.

Tutto nasce dal fatto che il GDPR stabilisce che i dati personali dei cittadini Europei non possano essere trasferiti al di fuori della UE se non a fronte di determinate condizioni.

Una di queste condizioni, tra citiamo anche il consenso, criterio sempre valido per consentire un trattamento, è che il PAESE a cui possono essere trasferiti i dati personali deve essere RITENUTO ADEGUATO dalla Commissione UE per quanto riguarda la protezione dati.

La sentenza Schrems II del 16 Luglio 2020 annulla il Privacy Shield USA UE

Fino a quella data esisteva un accordo fra UE e USA, chiamato Privacy Shield, che stabiliva le regole d’ingaggio per il trasferimento dei dati personali dal territorio UE ad organizzazioni residenti nel territorio statunitense.

Il 16 Luglio 2020 la Corte di Giustizia Europea ha stabilito che, a seguito di un’azione legale degli attivisti di NOYB, capitanati dall’Avv.to austriaco Max Schrems, tale accordo è nullo in funzione del fatto che il territorio USA non possiede più i requisiti di adeguatezza necessari per proteggere i dati dei cittadini residenti nella UE, rendendo di fatto illegali tutti quei trattamenti che prevedono il trasferimento dei dati negli Stati Uniti unicamente su questa base giuridica.

Ciò deriva dal fatto che negli USA è consentito alle agenzie di intelligence, CIA ed FBI in prima linea,  di accedere ai dati, anche sensibili, in possesso delle aziende americane per motivi di sicurezza nazionale, violando potenzialmente così la privacy di milioni di cittadini europei.

La stessa Corte riconosce anche, nella stessa sentenza, l’adozione delle Clausole Contrattuali Standard o SCC, come requisito valido per rendere lecito il trasferimento dei dati verso paesi che non sono considerati adeguati dalla UE, non specificando però sufficientemente in che modo e misura queste clausole debbano essere applicate e lasciando quindi un vuoto normativo non da poco.

Ne è derivato quindi una sorta di periodo di limbo, durante il quale aziende ed operatori di digital marketing, che utilizzavano perlopiù piattaforme e tools di produttori americani come Google, Amazon, Microsoft, Facebook, Linkedin per citare i più noti, complici anche del fatto che i Garanti Europei sono stati in silenzio per diverso tempo, hanno continuato ad utilizzare questi strumenti senza preoccuparsi più di tanto.

Il PROVVEDIMENTO del Garante Privacy in merito a Google Analytics

Ora però i nodi stanno venendo al pettine!

A fare da apripista sono stati il Garante Francese e il Garante Austriaco ai quali si aggiunge ora quello Italiano che, in data 22 Giugno 2022, ha emesso un primo provvedimento, sotto forma di ammonimento, quindi senza sanzioni, nei confronti della società di comunicazione Caffeina Media Srl che utilizzava, guarda caso, Google Analytics per analizzare il rendimento delle campagne web.

L’istruttoria del Garante Italiano è partita ben due anni fa, ovvero nell’Agosto 2020, dietro segnalazione di un attivista di NOYB, tale Federico Leva, attivo anche in questo periodo a scovare siti fraudolenti in Italia, ed è giunta a conclusione sfruttando il tempo massimo di Legge entro i quali il Garante deve esprimersi.

Le VIOLAZIONI evidenziate nel provvedimento del Garante a Caffeina Media Srl

Il provvedimento del Garante rileva: “che i trasferimenti effettuati da Caffeina Media S.r.l. verso Google LLC (con sede negli Stati Uniti), per il tramite dello strumento di Google Analytics, sono stati posti in essere in violazione degli artt. 44 e 46 del Regolamento; si rileva, altresì, che sono emerse le violazioni dell’art. 5, par. 1, lett. a) e par. 2, dell’art. 13, par. 1, lett. f), e dell’art. 24, del Regolamento”.

Attenzione: notate bene dal testo sopra che il Garante non ha puntato il dito su Google Analytics come mezzo non lecito bensì ha ammonito un’azienda che, “tramite lo strumento….” ha violato le disposizioni in materia.

Basta l’anonimizzazione dell’IP su Google Analytics per poter trasferire dati all’estero?

La società ha altresì dichiarato di non aver attivato la funzione IP-anonymization, che consente l’invio a Google LLC dell’indirizzo IP dell’utente parzialmente oscurato (ultimi 8 caratteri); a tal proposito il Garante ha però evidenziato che, anche se l’IP venisse in parte oscurato, questo non sarebbe da considerarsi completamente anonimo, poiché Google potrebbe, incrociando i dati con altre informazioni di cui è in possesso, risalire all’identità dell’utente.

Ma perché i dati vanno a Google LLC negli USA se il contratto base è con Google Ireland?

Il Garante chiarisce anche questo aspetto in quanto, anche se la maggior parte delle elaborazioni dei dati avvenisse nei DataCenter Europei di proprietà di GOOGLE IRELAND la stessa, pur aderendo alle Clausole Contrattuali Standard ed avendo nell’elenco dei suoi Responsabili anche GOOGLE LLC che ha sede in USA, non potrebbe comunque garantire che il trasferimento non avvenga, anche se solo parzialmente o per periodi limitati, in territorio americano.

Il Garante riconosce anche che, confermando il parere dei suoi colleghi Europei, non sono sufficienti le Clausole Contrattuali Standard, rendendole di fatto ineleggibili a base legittima per rendere lecito un trattamento che prevede il trasferimento dei dati in particolare verso gli USA.

Il Garante stesso, infine, in una nota pubblicata sul suo sito, fa appello agli operatori Italiani a porre la massima attenzione a quei trattamenti che implicano un trasferimento dei dati negli USA, non mettendo nel mirino quindi solo Google Analytics, bensì anche altri servizi.

La conclusione logica a cui si può arrivare da questo provvedimento è quindi che, qualora ci fossero le condizioni tali per cui il dato potrebbe essere trasferito negli USA, che lo si faccia con Google o con un altro tool poco importa.

Purtroppo, il Garante non ha dato indicazioni chiare su quali potrebbero essere queste condizioni, anche perché il caso risale a due anni fa e non è ancora stata condotta un’approfondita analisi tecnica del tool in questione.

Vediamo allora di interpretare, alla luce di quanto sopra, quali potrebbero essere le condizioni per poter effettuare trasferimenti all’estero di dati personali, in questo caso, con Google Analytics.

Quali DATI si raccolgono tramite GOOGLE ANALYTICS?

Praticamente tutti i siti web raccolgono dati mediante i “famigerati” cookies che non sono altro che delle stringhe di codice che vengono installate nei browser degli utenti il cui scopo è quello di raccogliere informazioni di vario tipo e natura tra i quali:

• identificatori online unici che consentono sia l’identificazione del browser o del dispositivo dell’utente che visita il sito web;
• indirizzo, nome del sito web e dati di navigazione;
• indirizzo IP relativo al dispositivo utilizzato dall’utente;
• informazioni relative al browser, al sistema operativo, al dispositivo utilizzato, alla risoluzione dello schermo, alla lingua selezionata, dati di geolocalizzazione, data e ora della visita al sito web.

Inoltre, l’ignaro navigatore, può essersi loggato col proprio account Google per cui i dati di cui sopra potrebbero essere facilmente incrociati con altre informazioni memorizzate nell’account ad esempio: indirizzo mail (user ID obbligatorio dell’account Google), numero cellulare, ed altri dati personali, tra cui sesso, data di nascita, immagine del profilo etc.

Capite bene quindi che non basta l’anonimizzazione parziale dell’IP per rendere completamente irriconoscibile l’utente che naviga, in quanto sarebbe facile per Google risalire all’identità con tutti i dati di cui dispone.

Le possibili SOLUZIONI per trasferire dati all’estero continuando ad usare GOOGLE ANALYTICS: CONSENSO e ANONIMIZZAZIONE

Il CONSENSO è sufficiente per trasferire dati negli USA con GOOGLE ANALYTICS?

L’utilizzo del consenso come base giuridica per avviare un trattamento dati, altrimenti vietato, è sempre da utilizzare con estrema ratio ovvero, quando non è possibile utilizzare nessuna delle altre basi giuridiche indicate all’Art. 6 del Gdpr ma, questo non è sempre valido. 

Infatti, è da sfatare il mito in base al quale basta ottenere il consenso che si può fare tutto. Ci sono casi in cui, anche con il consenso dell’interessato, non è possibile trattare dati personali come, ad esempio, la raccolta dei dati sanitari del lavoratore o il controllo a distanza tramite la videosorveglianza da parte del datore di lavoro.

Pur tuttavia il trasferimento dei dati in paesi extra UE, anche se ritenuti NON ADEGUATI (tra cui USA,  CINA, INDIA, RUSSIA etc), è comunque lecito se ottengo il CONSENSO dell’interessato in base alla prima delle deroghe previste dall’Art.49 del GDPR.

Per chi decide di scegliere questa strada sappi però che, affinché il consenso sia ritenuto valido, deve essere conforme a quanto indicato nei considerando 42 e 43 del Gdpr sintetizzati nella infografica sottostante:

Consenso valido ai fini del GDPR | Infografica

Nel nostro caso quindi dovremmo chiedere almeno 2 TIPI di CONSENSO diversi:

1. Consenso al trasferimento dei dati personali all’estero (meglio specificare dove, in questo caso USA);
2. Consenso alla profilazione ai fini marketing (in quanto è logico che se usiamo Google Analytics lo scopo è profilare l’utente in base a diversi parametri come località, età, sesso, preferenze d’acquisto, tipo di dispositivo, browser, data e ora etc).

Quindi, in definitiva dovremmo fare in modo che, all’entrata dell’utente nel nostro sito o nella Landing Page, appaia subito un bel COOKIE BANNER, che sia in primis conforme alle recenti LINEE GUIDA COOKIE del GARANTE, e che abbia tutte le funzionalità e i requisiti per rilasciare il consenso a attivare/disattivare i cookie di tracciamento che riguardano Google Analytics, un facile accesso all’informativa, la possibilità di revocare il consenso anche successivamente mediante un widget sempre presente durante la navigazione o alle visite successive.

L’ANONIMIZZAZIONE è sufficiente per poter usare GOOGLE ANALYTICS?

Una delle possibili soluzioni per continuare ad utilizzare Google Analytics è quella di anonimizzare i dati in modo tale da rendere impossibile risalire all’identità dell’utente.

Ricordiamo che, il GDPR si applica solo ai dati personali, ovvero quei dati che, da soli o in combinazione con altri, possono essere riconducibili ad un singolo individuo.

Uno dei dati più tipici che si raccolgono tramite Google Analytics è l’indirizzo IP del dispositivo dell’utente che, associato ad altri dati quali localizzazione, mail, dati di account social etc può ricondurre all’identità di chi accede al sito web.

Rendere quindi completamente anonimo l’indirizzo IP potrebbe già essere un buon goal per la compliance al GDPR ma, come fare in Google Analytics?

Google Analytics 3 e Google Analytics 4 (GA4)

La funzione IP Anonymization è una funzione già disponibile in GA3 ma, non è stata considerata sufficiente dal nostro Garante per fornire adeguate garanzie tali da poter rendere lecito il trasferimento dei dati a GOOGLE LLC negli USA e questo per due motivi sostanziali:

• L’anomizzazione su GA3 non è completa, ma solo per gli ultimi due caratteri, rendendo quindi possibile, combinando l’IP con altri dati, risalire all’identità degli utenti;
• Qualora inoltre fosse possibile anonimizzare completamente l’IP, non ci sarebbero sufficienti garanzie da parte di Google che questo processo avvenga prima che il dato venga trasferito nei server di Google LLC in USA.

La possibile soluzione a questi due problemi la potrebbe dare la nuova versione di Analytics GA4 che, tra l’altro, prenderà il posto dell’attuale GA3 rendendo obbligatoria la migrazione entro Luglio 2023.

GA4 ha una struttura completamente diversa ed innovativa rispetto a GA3 e consente, oltre all’anonimizzazione completa dell’IP, di configurare un PROXY SERVER che si occupi del processo di anonimizzazione e invio dei dati a monte del loro trasferimento.

Utilizzare un proxy consentirebbe di rendere anonimi, oltre all’IP address, anche tutti quei dati riconducibili al dispositivo dell’utente (sistema operativo, modello di computer, risoluzione e dimensione dello schermo, browser in uso…) rendendo quindi impossibile l’identificazione.

Ovviamente questo server proxy, affinchè tutto il processo possa ritenersi GDPR Compliance, dovrà risiedere all’interno del territorio UE.

Ma, se tecnicamente la soluzione ci potrebbe essere, pareri dei Garanti permettendo, dal punto di vista economico questa operazione avrebbe sicuramente dei costi di non poco conto per le aziende, soprattutto per quelle che hanno siti molto trafficati od E-Commerce.

Possibili ALTERNATIVE a GOOGLE ANALYTICS: MATOMO

Appurato che la soluzione per continuare ad utilizzare Google Analytics, non è percorribile con un semplice click a costo zero, la possibile alternativa potrebbe essere utilizzare un’altra piattaforma di analytics.

La tedesca MATOMO, per esempio, sembra essere quella che più di tutte può avere le carte in regola per sostituire Google Analytics.

Innanzitutto, c’è da dire che MATOMO è utilizzabile sia in cloud che on-premise, quest’ultima qualità apprezzabile in quanto, per chi dispone di risorse IT interne o di consulenti esterni dedicati, garantisce il controllo pieno dei dati.

Anche la soluzione cloud comunque è percorribile senza problemi dal punto di vita GDPR, in quanto i server sono locati nel territorio UE, indicando la stessa MATOMO la società Always Data come sub-responsabile che risiede in Francia.

Per quanto riguarda i costi, come tutte le soluzioni digitali, c’è la possibilità di accedere ad un livello base open source, per chi ha siti a basso traffico, con una serie di “optional” a pagamento.

E se non faccio niente COSA RISCHIO? La Mail di Federico Leva

Certo è che, nascondersi in mezzo all’enorme massa di milioni di utilizzatori di Google Analytics, per farla franca potrebbe in qualche modo rassicurare qualcuno che potrebbe pensare che le concrete possibilità di essere colpito da un’ispezione da parte del Garante per il proprio sito siano veramente remote.

In effetti sarebbe così, senonché ci ha pensato un attivista italiano di NOYB che risiede all’estero, un certo Federico Leva, a mettere tutti sulle spine.

Nei primi giorni di Luglio 2022 migliaia di aziende hanno ricevuto una mail personale dal Sig. Leva che, proprio a seguito del provvedimento del Garante del 23 Giugno e, in qualità di semplice visitatore del sito web, chiede la rimozione dei suoi dati ai sensi dell’Art.17 Gdpr, per il solo fatto che il sito è collegato a Google Analytics che risiede negli USA.

Di seguito un stralcio della Mail di Federico Leva

Questo signore, che è anche un esperto consulente IT, ha utilizzato un tool spider web per rilevare in maniera massiva la presenza di un elemento – gtag.js – normalmente utilizzato da Google Analytics ma, anche da altre piattaforme.

Molti hanno ignorato la mail pensando fosse Spam o Phishing ma, in realtà, non rispondere significherebbe potenzialmente esporsi ad un’azione di segnalazione al Garante che avrebbe come inevitabile conseguenza una ispezione (anche on-line) e relativo provvedimento sanzionatorio.

C’è inoltre da aspettarsi che azioni del genere vengano perpetrate in futuro anche per scopi meno leciti come lucro e riscatto, per cui essere in regola vuol dire mettersi un po’ al riparo da tutto questo.

CONCLUSIONI

Il recente provvedimento del Garante non deve essere sottovalutato, pur se indirizzato ad una sola azienda.

Lo stesso Garante ha temporeggiato finché ha potuto, proprio perché consapevole di sollevare un polverone che avrebbe coinvolto, non solo il mondo delle web agency ma, anche tutte quelle aziende che sul digitale contano, in parte o totalmente, per i propri profitti, pensiamo per esempio agli e-commerce.

Probabilmente il motivo è stato che, dopo la sentenza Schrems, ci si aspettava che i governi corressero ai ripari sottoscrivendo in tempi brevi un nuovo accordo.

Accordo che, in base ai recenti proclami pubblici di Byden e Ursula Von Der Leyen, sembra esserci a parole ma di cui deve ancora essere redatto il testo e, i macigni che nel frattempo stanno gravando sul mondo, come pandemia e guerre, non aiutano certo ad accelerare i tempi.

In ogni caso sarebbe sbagliato mettere alla gogna Google Analytics in quanto strumento perché, come tutti gli strumenti, è l’uso corretto o sbagliato che se ne fa a renderlo lecito o illecito.

Le alternative per continuare ad utilizzare Google Analytics ci sono e ce le fornisce la stessa Google con GA4 che sembra avere le carte in regola per risolvere il problema.

Certo è che la certezza assoluta si potrebbe avere solo a seguito di un pronunciamento ufficiale da parte delle Autorità Europee in materia che comunque dovrebbero esprimersi non solo in merito a Google Analytics ma anche per tutti quegli altri strumenti e piattaforme che vengono utilizzati nel mondo digitale.

Non dimentichiamoci che le stesse Amazon, Microsoft, Google Ads, Facebook, Linkedin, Sales Force, Active Campaign, Mailchimp e soci sono tutte aziende che hanno il quartier generale negli USA per cui, che facciamo?!…fermiamo tutto?!

In attesa che arrivi questo benedetto accordo non dobbiamo mettere la testa sotto la sabbia e sperare che tutto si risolva in una bolla di sapone perché purtroppo non sarà così, ed è quindi bene ricorrere ai ripari con tutti i mezzi disponibili fin da ora.