Rieccoci qui, 90 giorni dopo che il Garante della Privacy aveva imposto ai gestori dei siti web di adeguarsi al provvedimento secondo cui Google Analytics 3 non era a norma con il GDPR. Oggi, dunque, tutte le aziende che utilizzano ancora questa soluzione devono agire al più presto, per evitare di incorrere in sanzioni importanti.
Che cos’è successo
Nell’estate del 2020 è stato presentato un reclamo al Garante Privacy per segnalare che una società aveva intenzione di trasferire a Google LLC (America) alcuni dati personali che la riguardavano. Il tutto in assenza delle garanzie del capo V del GDPR, dove si evidenziano tutte le condizioni che rendono legittimo il trasferimento dei dati nei paesi extra UE.
La società è stata invitata a fornire riscontro, ed effettivamente la sua controparte contrattuale era Google LLC. Successivamente, quest’ultima è stata sostituita da Google Ireland che continuava ad esportare i dati in America con Google LCC come subresponsabile del trattamento.
La nomina a Google come Responsabile del Trattamento (ex art. 28 GDPR) era stata stipulata con le clausole contrattuali standard. Era stata utilizzata l’anonimizzazione dell’indirizzo IP, la cifratura dei dati e non era stata utilizzata la condivisione dei dati. Dunque, sembrava fosse stato fatto tutto il possibile per rispettare e garantire i diritti degli interessati.
Il Garante, però, ha stabilito che tutto ciò non era comunque sufficiente poiché la pseudonimizzazione e la crittografia potevano essere sottoposte ad un procedimento differente, consentendo a Google di avere accesso ai dati degli utenti. Le clausole contrattuali standard non erano dunque sufficienti per impedire l’accesso degli USA ai dati.
Iscriviti al canale Telegram di Servicematica
Notizie, aggiornamenti ed interruzioni. Tutto in tempo reale.
Sanzioni e alternative
Ciò che oggi preoccupa gli addetti ai lavori e che allarma le aziende sono i valori che emergono dai dati ISTAT. L’ammontare delle sanzioni che potrebbero arrivare soltanto alle aziende lombarde è pari a 4 miliardi e mezzo di euro.
L’unica azione certa per evitare qualsiasi sanzione è rimuovere GA3. Infatti, l’aggregazione dei dati raccolti da GA3 permette di risalire all’identità di una persona. Questo è legale negli USA, ma non in UE. Come risolvere questo problema? Dovremmo tutti installare software di statistica che non trasferiscono i dati negli States, come, per esempio, Matomo (già consigliato per la PA).
Un’opzione valida è l’utilizzo di Google Analytics 4. L’ultima versione di Analytics, infatti, permette di modificare l’indirizzo IP, rendendo impossibile a Google di risalire all’identità degli utenti. La soluzione non è stata confermata dal nostro Garante della Privacy, come invece ha fatto l’omologo francese.
Se da un lato siamo certi che GA3 non rispetti il GDPR, dall’altro non ci risulta possibile affermare con certezza che GA4 sia una soluzione adeguata. È ancora troppo presto per stabilire una strada sicura da percorrere. Ma se si percorre quella di GA3, il rischio è quello di incontrare pesanti sanzioni.
Spiega Pietro Poli, docente di Marketing & Sales Communication: «Premesso che il Garante si è espresso solo su Google Analytics 3 e non su altri software che trasferiscono i dati negli Stati Uniti, l’unica azione certa per evitare le sanzioni è quella di rimuovere lo script di GA3. Si possono poi installare software di statistica che non trasferiscono i dati negli USA, ad esempio Matomo».
Prima i BIG
Gli importi delle possibili sanzioni, come previsto dal provvedimento n. 9782874 del 23/06/2022 potrebbero variare da 10 a 20 milioni di euro, dal 2 al 4% del fatturato mondiale totale annuo di un’azienda.
Anche se tutti i possessori di un sito web che GA3 sono a rischio, è molto probabile che ci si concentrerà come prima cosa sui BIG digitali.
Ad oggi, l’indagato speciale e GA3: ma non è escluso che la lista, nel futuro, si allunghi, e compaiano molti altri software.
——————————–
LEGGI ANCHE:
Avvocato, visualizza i tuoi obiettivi per raggiungere ciò che vuoi
