google analytics

Google Analytics: facciamo chiarezza

Posted on | by eleonora

Il Garante per la Privacy italiano si è espresso dichiarando l’irregolarità del trattamento di Google Analytics. Il comunicato stampa è arrivato in tutti i social, e la sensazione era di un divieto assoluto di tale strumento.

Ma le cose non sono proprio come sembrano. Il provvedimento non vieta completamente il trasferimento dei dati: lo ha semplicemente sospeso. Il titolare del trattamento ha 90 giorni di tempo per trovare dei meccanismi diversi rispetto a quelli attuali. Chiaramente, devono essere meccanismi idonei a proteggere i dati dei diretti interessati.

Hanno 90 giorni di tempo, dunque, anche tutte le società che si trovano nella stessa situazione

Che cos’è successo

Nell’estate del 2020 è stato presentato un reclamo al Garante Privacy per segnalare che una società aveva intenzione di trasferire a Google LLC (America) alcuni dati personali che la riguardavano. Il tutto in assenza delle garanzie del capo V del GDPR, dove si evidenziano tutte le condizioni che rendono legittimo il trasferimento dei dati nei paesi extra UE.

La società è stata invitata a fornire riscontro, ed effettivamente la sua controparte contrattuale era Google LLC.  Successivamente, quest’ultima è stata sostituita da Google Ireland che continuava ad esportare i dati in America con Google LCC come subresponsabile del trattamento.

La nomina a Google come Responsabile del Trattamento (ex art. 28 GDPR) era stata stipulata con le clausole contrattuali standard. Era stata utilizzata l’anonimizzazione dell’indirizzo IP, la cifratura dei dati e non era stata utilizzata la condivisione dei dati. Dunque, sembrava fosse stato fatto tutto il possibile per rispettare e garantire i diritti degli interessati.

Il Garante, però, ha stabilito che tutto ciò non era comunque sufficiente poiché la pseudonimizzazione e la crittografia potevano essere sottoposte ad un procedimento differente, consentendo a Google di avere accesso ai dati degli utenti. Le clausole contrattuali standard non erano dunque sufficienti per impedire l’accesso degli USA ai dati.

Problema

La legislazione americana permette alle Autorità di accedere ai dati USA, ma non garantisce dei mezzi di ricorso o garanzie per gli interessati. Per questo motivo si è arrivati alla sentenza Schrems II e all’invalidazione del Privacy Shield (l’accordo tra USA ed EU per riconoscere degli standard di protezione equivalenti a quelli europei).

Per questo motivo, il Comitato europeo per la Protezione dei Dati (EDPB) aveva emanato delle clausole contrattuali standard da utilizzare nei trasferimenti extra-UE privi di decisione di adeguatezza.

Nessun divieto di trasferimento, solo sospensione

Il Garante, ricordando come tutte le clausole siano valide ed efficaci, ha stabilito che il titolare ha il dovere di verificare se siano sufficienti o meno i meccanismi di protezione. Da qui la decisione di non vietare completamente il trasferimento, ma soltanto di sospenderlo mentre si attende che il titolare stabilisca i sistemi aggiuntivi per tutelare gli interessati.

Non è compito del Garante, tuttavia, procedere a tale valutazione di adeguatezza. La responsabilità è soltanto del titolare del trattamento.

Possibili soluzioni

Le soluzioni ci sono. A livello normativo, possiamo trarre alcuni spunti dal titolo V del GDPR.

  • L’uso di norme vincolanti d’impresa: il trasferimento extra-UE, se non sono presenti decisioni di adeguatezza o autorizzazione del Garante, è reso possibile dall’adesione a meccanismi di certificazione o codici di condotta. Possibile, inoltre, l’utilizzo di clausole contrattuali standard;
  • clausole contrattuali ad hoc: possono essere utilizzate delle clausole contrattuali, previa autorizzazione del Garante. Se approvate, il titolare dovrà essere certo che siano efficaci;
  • deroghe stabilite dall’articolo 39: secondo il GDPR, in assenza di presupposti il trasferimento può essere effettuato basandosi su deroghe stabilite dall’articolo 49, come il consenso dell’interessato, il legittimo interesse del titolare o l’esecuzione del contratto. Chiaramente, l’opzione più semplice è il consenso dell’interessato. Se l’interessato è stato adeguatamente informato dei rischi del trasferimento e decide di prestare il suo consenso, ciò sarà sufficiente a permettere il trasferimento Extra UE. Anche nel caso in cui nel Paese di destinazione non ci sia nessuna garanzia.

Google Analytics 4: è uno strumento utile?

Google Analytics 4 ha una serie di parametri che consentono la gestione dei dati personali degli utenti. Si parte dal fatto che non viene gestito l’indirizzo IP: la gestione dei dati degli utenti è dotata di un proxy, ovvero un server di Google situato in Europa che non è controllato da Google LLC.

Secondo il colosso statunitense, con Google Analytics 4 non ci sono problemi di conformità al GDPR. I server utilizzati, essendo situati in Europa, lasciano la gestione dei dati alle norme europee.

Questa risposta, per le aziende è molto rassicurante, ma secondo Pietro Biase, attivista ed informatico di Monitora PA, non dovremmo fidarci nemmeno di Google Analytics 4. La legislazione americana impone a Google (così come a Microsoft e a Meta) di inviare i dati raccolti alle autorità che lo richiedono, anche se si trovano fuori dal territorio statunitense.

Dunque, anche se il titolo del trattamento di Google Analytics 4 ha i suoi server nel territorio europeo, i dati vengono forniti comunque a CIA e NSA.

Sì, ma alla fine cosa devono fare le aziende?

Potrebbero esserci tre vie possibili.

Si potrebbe decidere di non correre alcun rischio rimuovendo Google Analytics, magari sostituendolo con altri servizi analoghi (come Matomo, Piwik, Open Web Analytics e Plausible) che permettono di avere un controllo maggiore sui dati, che restano all’interno dell’UE;

Oppure, si potrebbe continuare ad utilizzare Google Analytics, ma adottando delle soluzioni. Scegliere la soluzione più adeguata, ovviamente, dipende da come viene utilizzato Google Analytics nella propria organizzazione. Le organizzazioni che non utilizzano il servizio in maniera intensiva potrebbero valutare l’adozione di un servizio alternativo. In caso contrario, si dovrebbero individuare delle soluzioni tecniche adeguate per continuare ad utilizzare il servizio in maniera sicura.

La terza via, invece, è quella dell’attesa. Oltre alle questioni di diritto, infatti, ci sono quelle pratiche. La vicenda è talmente complessa e legata alla geopolitica che risulta improbabile che il Garante intervenga a breve. Sicuramente non lo farà prima di settembre, dato che ha 90 giorni di tempo per valutare la questione e i singoli casi.

——————————–

LEGGI ANCHE:

Studi professionali: arriva la norma UNI

Trasporti pubblici: arriva il bonus dipendenti

TORNA ALLE NOTIZIE
Servicematica

Nel corso degli anni SM - Servicematica ha ottenuto le certificazioni ISO 9001:2015 e ISO 27001:2013.
Inoltre è anche Responsabile della protezione dei dati (RDP - DPO) secondo l'art. 37 del Regolamento (UE) 2016/679. SM - Servicematica offre la conservazione digitale con certificazione AGID (Agenzia per l'Italia Digitale).

Iso 27017
Iso 27018
Iso 9001
Iso 27001
Iso 27003
Agid
RDP DPO
CSA STAR Registry
PPPAS
Microsoft
Apple
vmvare
Linux
veeam
0
    Prodotti nel carrello
    Il tuo carrello è vuoto
    Altri prodotti