Google Analytics è ufficialmente illegale: ora che si fa?

La decisione presa del Garante Privacy segue la scia di altri pronunciamenti simili, adottati negli scorsi mesi dalle Authorities di altri Paesi UE (Austria, Francia) e possiamo suppore che, nel prossimo futuro, altri seguiranno la stessa linea di condotta.
La notizia è arrivata alle nostre orecchie attraverso il provvedimento n. 224 del 9 giugno 2022 (https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9782890), seguito a ruota da un comunicato stampa ufficiale del Garante Privacy (https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9782874) che ha fugato ogni dubbio sulla questione.
Il tema è molto recente, scottante, non del tutto chiaro e soprattutto in continua evoluzione: date queste premesse direi che è il caso di provare a capirci qualcosa, vi va?

Che cos’è Google Analytics?
Per chi non ne avesse mai sentito parlare prima d’ora, Google Analytics è un servizio gratuito fornito da Google che consente di raccogliere, elaborare e analizzare una serie molto ampia di informazioni relative all’utilizzo di un Sito Web da parte degli utenti.
Google Analytics è generalmente usato per attività di marketing e ad oggi risulta essere il servizio di statistiche più usato del Web (è utilizzato per circa il 60% dei Siti Web attualmente On-Line e questo ci fa capire quanto è ampia la portata della questione).

Come funziona Google Analytics?
Poco fa abbiamo detto che Google Analytics è utilizzato per generare una serie di statistiche relative all’utilizzo di un Sito Web (es. durata della sessione di navigazione di un utente, provenienza della visita, pagine visitate, posizione geografica ecc.).
Perché ciò sia possibile occorre che la piattaforma Google Analytics raccolga una certa quantità di informazioni legate alla navigazione Web da parte degli utenti.

Ed è qui che entrano in gioco i Google Analytics Tracking Code (di seguito, GACT).
In estrema sintesi, i GACT sono dei frammenti di codice Javascript che – una volta inseriti all’interno delle pagine di un Sito Web – dialogano direttamente con i Server Google (localizzati in USA) e consentono di raccogliere mediante dei Cookies tutte quelle preziose informazioni che verranno poi elaborate da Google Analytics.

Perché Google Analytics è stato vietato dal Garante Privacy?
Per capire quello che sta succedendo occorre parlare un po’ di legalese e mettere sul tavolo qualche norma nazionale, comunitaria e internazionale in tema Privacy.

Il primo elemento da tenere in considerazione è la decisione – presa dalla Corte di Giustizia dell’UE nel lontano 16 Luglio 2020 – di annullare il Privacy Shield, ovvero quel Framework normativo che consentiva l’esportazione di dati personali verso gli USA.
La Corte di Giustizia dell’UE aveva infatti evidenziato che gli USA non forniscono ai soggetti interessati le stesse garanzie di tutela dei dati personali messe a disposizione dall’UE: ciò per via del fatto che le agenzie di sicurezza americane (es. CIA, NSA, ecc.) possono accedere con estrema facilità ai dati personali dei cittadini europei e che questi ultimi, in caso di violazioni, non possono rivolgersi a nessuna autorità in grado di tutelare i loro diritti e le loro libertà.

Venuto meno il Privacy Shield trovano quindi applicazione le norme comunitarie in materia di protezione dei dati personali ed in particolare il GDPR, secondo cui i trasferimenti di dati personali verso Paesi terzi extra-UE o verso organizzazioni internazionali sono consentiti se e solo se:
L’adeguatezza del Paese terzo extra-UE o dell’organizzazione internazionale è stata riconosciuta tramite decisione della Commissione Europea (Art. 45 del GDPR);
In assenza di tale decisione, il Titolare del Trattamento o il Responsabile del Trattamento forniscono adeguate garanzie in materia di tutela dei diritti e delle libertà dei soggetti interessati (Art. 46 del GDPR).
Date queste premesse, la questione Google Analytics può essere riassunta come segue:
Abbiamo visto che, dal punto di vista tecnico, il corretto funzionamento del servizio Google Analytics richiede il trasferimento di dati personali degli utenti verso i Server Google localizzati in USA (parliamo quindi di organizzazione internazionale con sede in un Paese terzo extra-UE);
Al trasferimento di dati personali verso gli USA – non più garantito per mezzo del Privacy Shield che, come dicevamo, è stato annullato – si applicano le regole dettate del GDPR;

Secondo il GDPR, i trasferimenti di dati personali verso gli USA sono possibili solo ed esclusivamente in conseguenza di una decisione di adeguatezza della Commissione Europea o fornendo le adeguate garanzie descritte dall’Art. 46 del GDPR;
Ad oggi la Commissione Europea non ha assunto alcuna decisione di adeguatezza in merito al trasferimento di dati personali verso gli USA e inoltre, il Garante Privacy ha espresso forti dubbi sull’effettivo rispetto delle adeguate garanzie richieste dal GDPR.

Come se non bastasse, il Garante Privacy ha sottolineato ulteriormente il rischio che le autorità di sicurezza degli USA possano accedere illecitamente alle informazioni trasferite e ha rilevato che le misure adottate da Google non garantiscono un’adeguata protezione dei dati personali degli utenti.
Scacco matto a Google Analytics, se vogliamo riassumere tutto con una battuta.

Cosa chiede il Garante Privacy ai gestori di Siti Web?
Da un punto di vista puramente letterale, il provvedimento del Garante Privacy a cui facciamo riferimento è rivolto ad un’Azienda specifica (Caffeina Media S.r.l.) alla quale è stato richiesto di correggere eventuali non conformità entro n. 90 giorni dalla data di rilevazione.
Nella pratica, però, il Garante Privacy richiama all’attenzione di tutti i gestori di Siti Web – pubblici e privati – sull’illiceità dei trasferimenti effettuati verso gli USA attraverso Google Analytics e invita tutti i Titolari del Trattamento e Responsabili del Trattamento a verificare la conformità delle modalità di utilizzo di Cookies e degli altri strumenti di tracciamento utilizzati sui propri Siti Web, con particolare attenzione a Google Analytics e ad altri servizi analoghi.

Ora che si fa?
Qui viene la parte complicata perché, allo stato attuale e secondo quanto stabilito dal Garante Privacy, non è in alcun modo possibile utilizzare Google Analytics garantendo la conformità al GDPR.

È esattamente questo il motivo per cui il provvedimento del Garante Privacy è rivolto ai gestori di Siti Web e non chiama in causa direttamente il colosso di Mountain View.

Spetta infatti ai gestori di Siti Web – in qualità di Titolari del Trattamento o di Responsabili del Trattamento – applicare il principio di Accountability e nel caso concreto, evitare di affidarsi a servizi come Google Analytics, ritenuti non conformi alle normative vigenti in materia di protezione dei dati personali.

A parere di chi scrive le soluzioni a questo problema devono essere necessariamente ricercate su tre piani distinti (normativo, tecnologico e politico) e vi avviso già da ora che non sarà semplice e nemmeno immediato trovare una valida via d’uscita.

Il piano normativo
Lo dico chiaro e tondo, fin da subito: al momento NON ESISTONO scappatoie legali che consentano di aggirare il divieto di utilizzo di Google Analytics imposto dal Garante Privacy.

Anche io – come qualsiasi altro esperto Privacy – ho raggiunto un certo livello di mal di testa prima di arrivare alla conclusione che gli strumenti offerti dal GDPR non permettono di gestire il problema Google Analytics nel pieno rispetto delle norme vigenti.

La prima ipotesi sottoposta al vaglio è la sottoscrizione di un accordo contrattuale (e quindi la nomina a Responsabile del Trattamento) con Google Ireland (con sede in UE): strada legalmente valida ma non praticabile perché l’Azienda ha nominato come proprio Sub-Responsabile del Trattamento Google LCC (con sede in USA), concedendo a quest’ultimo libero accesso ai dati personali raccolti e trattati.

La seconda scappatoia analizzata sono le clausole di protezione dei dati adottate dalla Commissione Europea e citate dall’Art. 46 del GDPR: tali clausole non possono considerarsi adeguate al caso di specie e anche se sottoscritte dal gestore di Siti Web e da Google, non consentirebbero in alcun modo di limitare l’attività delle autorità di sicurezza USA, che è il vero problema di fondo.

L’ultima alternativa presa in esame è l’uso del consenso come base giuridica per il trasferimento dei dati personali verso Google (Art. 49 del GDPR): tuttavia, anche in questo caso, la soluzione non sembra attuabile in quanto il Comitato Europeo per la Protezione dei Dati (di seguito, EDPB) ne consente l’utilizzo di questo meccanismo solo per trasferimenti occasionali o non ripetitivi.
Come dicevo, al momento NON ESISTONO scappatoie legali.

Il piano tecnologico
Anche in questo ambito, lo spazio di manovra dei gestori di siti Web è molto limitato.
Innanzitutto è bene specificare che, in questo caso, non esistono misure di protezione dei dati personali che siano effettivamente idonee a tutelare i diritti e le libertà dei soggetti interessati.
Per fare un semplice esempio, anche se Google decidesse di adottare controlli crittografici più robusti di quelli attualmente impiegati, il colosso di Mountain View sarebbe comunque tenuto a fornire alle autorità di sicurezza USA i mezzi per aggirare tali misure e svolgere i propri controlli di sicurezza.

Nemmeno le funzionalità di gestione dei Cookies e degli indirizzi IP messe a disposizione da Google Analytics possono venirci in aiuto, per alcuni semplici motivi:
Il primo è che le funzionalità di Google Analytics consentono al massimo la pseudonimizzazione (c.d. troncamento) degli indirizzi IP e non la completa anonimizzazione degli stessi, che d’altra parte renderebbe meno efficace la raccolta dei Cookies;
In ogni caso Google, facendo ricorso ai suoi potenti mezzi, potrebbe comunque ottenere con relativa facilità la re-identificazione di indirizzi IP anche parziali;

Come ciliegina sulla torta, la quantità di informazioni raccolte da Google è così grande l’indirizzo IP diventa solo uno dei molti elementi in grado di identificare (direttamente o indirettamente) l’utente.

Penso non mi serva sottolineare che anche l’utilizzo di altri servizi di analisi offerti da Aziende con sede in USA non è risolutivo: le considerazioni del Garante Privacy su Google Analytics valgono anche per servizi simili.
A questo punto, le soluzioni a cui possono ricorrere le Aziende sono, essenzialmente:
Attendere che Google renda Google Analytics fruibile dei suoi Clienti europei nel rispetto delle norme vigenti (es. attraverso l’hosting delle informazioni raccolte su Server residenti in territorio europeo, evitando qualsiasi trasferimento di dati personali verso Paesi terzi extra-UE, ecc.);

Dotare la propria infrastruttura di un Server Proxy localizzato in territorio UE che, una volta raccolti i Cookies degli utenti che visitano il Sito Web, li trasmetta a Google solo dopo aver opportunamente anonimizzato tutti i dati personali in essi contenuti (es. identificatori, indirizzo del Sito Web, nome del Sito Web, dati di navigazione. indirizzo IP dell’utente, informazioni su sistema operativo, browser utilizzato, risoluzione dello schermo e lingua scelta, data e ora della visita al Sito Web, eventuali dati personali connessi ad un Account Google, ecc.) in modo da rendere impossibile al colosso di Mountain View di risalire all’effettiva identità di ogni utente;

Passare a servizi alternativi a Google Analytics che mantengano i dati all’interno del territorio UE (es. Mapp Intelligence, Piwik Pro, Matomo, Plausible, Fathom, Simple Analytics, ecc.);

Effettuare quanto prima il passaggio al servizio GA4 (l’ultima versione di Google Analytics) che include una serie di configurazioni attivabili per garantire il rispetto del GDPR (es. parametri per la gestione dei dati personali, impostazioni Server Side, utilizzo di Server Google situati in territorio UE, ecc.).

Il piano politico
Da questo punto di vista, l’unica speranza a cui possiamo aggrapparci è che le parti in causa (il legislatore europeo e quello americano) giungano – presto o tardi – alla sottoscrizione di un accordo in grado di risolvere l’enorme vuoto normativo emerso in conseguenza dell’abolizione del Privacy Shield.

Una soluzione politica a questo problema, raggiungibile solo attraverso lo strumento delle negoziazioni internazionali, non è però da considerarsi un obiettivo realizzabile nel breve termine, soprattutto se si tiene conto delle profonde differenze che intercorrono tra le norme comunitarie e quelle americane in materia di protezione dei dati personali.
In ogni caso, ciò che ci si auspica è un progressivo adattamento del modello USA a quello UE sia per assicurare una maggiore tutela dei diritti e delle libertà dei soggetti interessati, sia per sostenere l’economia d’oltre oceano che, altrimenti, è destinata a subire gli effetti del GDPR.

Conclusioni
In attesa di ulteriori evoluzioni, il consiglio che do a tutti i gestori di siti Web in ascolto è quello di mettere da parte per un istante la ricerca di Workaround normativi e concentrare le proprie energie nel valutare l’utilizzo di servizi alternativi a Google Analytics, che siano conformi al GDPR e che non implichino trasferimenti di dati personali verso Paesi terzi extra-UE non considerati sicuri.
Nel frattempo, l’utilizzo di Google Analytics deve essere interrotto in quanto non conforme alle norme vigenti in materia di protezione dei dati personali.

P.S. Per chi non ne fosse informato, Google mette a disposizione un Plugin che – se installato da parte dell’utente – disabilita l’invio delle informazioni di navigazione raccolte da tutti i Siti Web che fanno uso di Google Analytics.
Eccovi il Link: https://tools.google.com/dlpage/gaoptout?hl=it

Una buona iniziativa (sicuramente non risolutiva) potrebbe essere quella di citare questo strumento all’interno del Banner relativo all’utilizzo dei Cookies o direttamente nella Cookie Policy: si tratterebbe di un bel gesto di trasparenza e offrirebbe agli utenti un modo per proteggere in prima persona i propri dati personali.

Prima di salutarvi, allego un paio di articoli molto interessanti sul tema:
Il primo è di Cybersecurity360, che è sempre un’ottima fonte informativa: https://www.cybersecurity360.it/legal/privacy-dati-personali/google-analytics-fuorilegge-e-soluzioni-ecco-quelle-che-non-funzionano/
Il secondo è di Vischer, che propone una configurazione di GoogleAnalytics coerente con tutti i dettami del GDPR: https://www.vischer.com/en/knowledge/blog/how-to-legally-use-google-analytics-in-europe-39512/