Un recente parere del Garante della Privacy impone uno stop all’uso degli Analytics di Google: dati trasferiti negli Usa senza adeguate garanzie. Scopriamo cosa significa tutto questo.
Il parere del Garante è scaturito da un caso del 2020, ed è relativo ad un sito che aveva implementato la vecchia versione di Google Analytics senza adeguati accorgimenti tecnici atti a prevenire il trasferimento di dati personali negli USA.
All’inizio si era parlato molto di fake news, ma adesso il parere sembrerebbe essere chiaro, anche se occorre precisare il perimetro della decisione del Garante e cosa può comportare.
Scopriamo dunque come è intervenuto il Garante della Privacy italiano e cosa può significare questo.
Il Garante per la privacy, a conclusione di una complessa istruttoria avviata sulla base di una serie di reclami e in coordinamento con altre autorità privacy europee, è giunto alla seguente conclusione.
Il sito web che utilizza il servizio Google Analytics (GA), senza le garanzie previste dal Regolamento Ue, viola la normativa sulla protezione dei dati perché trasferisce negli Stati Uniti, Paese privo di un adeguato livello di protezione, i dati degli utenti.
Dall’indagine del Garante è emerso che i gestori dei siti web che utilizzano GA raccolgono, mediante cookie, informazioni sulle interazioni degli utenti con i predetti siti, le singole pagine visitate e i servizi proposti.
Tra i molteplici dati raccolti:
Tali informazioni sono risultate oggetto di trasferimento verso gli Stati Uniti.
Nel dichiarare l’illiceità del trattamento è stato ribadito che l’indirizzo IP costituisce un dato personale e anche nel caso fosse troncato non diverrebbe un dato anonimo, considerata la capacità di Google di arricchirlo con altri dati di cui è in possesso.
Il Garante ha evidenziato, in particolare, la possibilità, per le Autorità governative e le agenzie di intelligence statunitensi, di accedere ai dati personali trasferiti senza le dovute garanzie, rilevando al riguardo che, alla luce delle indicazioni fornite dall’EDPB (Raccomandazione n. 1/2020 del 18 giugno 2021), le misure che integrano gli strumenti di trasferimento adottate da Google non garantiscono, allo stato, un livello adeguato di protezione dei dati personali degli utenti.
Con l’occasione l’Autorità richiama all’attenzione di tutti i gestori italiani di siti web, pubblici e privati, l’illiceità dei trasferimenti effettuati verso gli Stati Uniti attraverso GA.
E invita tutti i titolari del trattamento a verificare la conformità delle modalità di utilizzo di cookie e altri strumenti di tracciamento utilizzati sui propri siti web, con particolare attenzione a Google Analytics e ad altri servizi analoghi, con la normativa in materia di protezione dei dati personali.
Tuttavia va precisato che, secondo quanto riportato in uno studio di Digital Pills, la nuova versione di Google Analytics (4), se correttamente configuratam può prevenire il trasferimento di dati personali negli USA.
Una versione che nonostante sia stata lanciata nel 2019, tuttavia, è stata solo di recente implementata dal colosso di Mountain View (Marzo 2022) e che ancora opera in regime di transizione con i vecchi Analytics (Universal Analytics).
Un regime di transizione che durerà probabilmente fino a Luglio 2023, data in cui GA4 sarà l’unica versione rilasciata in uso.
Occorre dunque vedere come e in quale modo si muoveranno i soggetti che utilizzano Google Analytics dopo questa pronuncia, soprattutto in ambito pubblico.
Ricordando che esistono alternative a Google Analytics sia in ambito pubblico che privato.
I problemi principali potrebbero pertanto, a prescindere, riguardare le Pubbliche Amministrazioni italiane che, secondo la comunità MonitoraPa, “usano illecitamente Google Analytics“.
Si tratterebbe di circa 8000 Pubbliche Amministrazioni che usano gli Analytics di Google per monitorare i propri siti web istituzionali.
Allo stato attuale, comunque, le PA che usano Google Analytics sono sensibilmente diminuite, e vedremo cosa succederà dopo la pronuncia del Garante della privacy.
Infatti, per i siti web della PA in realtà esisterebbe il citato sistema Web Analytics Italia (https://webanalytics.italia.it/).
Questo sistema di analisi e monitoraggio di dati, sessioni e visualizzazioni del sito web è quello indicato (attenzione però suggerito, non “imposto”) nel Piano triennale dell’informatica 2021-2023 di AgID.
Come funziona questo sistema? In breve:
Questa piattaforma è ovviamente riservata esclusivamente alle Pubbliche amministrazioni italiane, quindi per potersi registrare alla piattaforma occorre che un referente di un’amministrazione presente su IndicePA avvii la procedura di registrazione del sito istituzionale, accedendo alla piattaforma tramite una identità SPID.
Non ci sono particolari indicazioni sul referente ma è bene sapere che il Responsabile per la Transizione al Digitale (RTD) sarà tenuto informato rispetto alla registrazione della propria PA e all’aggiunta di nuovi siti web.
Quindi, in buona sostanza, si tratta di una responsabilità in capo al Responsabile per la Transizione al Digitale (RTD) o di che ne fa le veci all’interno dell’Ente pubblico di riferimento.
Ovviamente tra i compiti dell’RTD, oltre quello sopra citato, rientrano una moltitudine di adempimenti legati alla trasformazione digitale della PA.
In questo contesto la Golem Net, software house specializzata in soluzioni dedicate alle PA, si propone di dare un supporto ed un ausilio nella risoluzione delle criticità e dei nodi più complessi che Comuni e Enti locali, ed Ordini Professionali, si trovano dinnanzi nello svolgimento del percorso di transizione al digitale.
Golem Net ha pertanto messo a punto un servizio dedicato agli Enti del territorio, questi i principali asset:
In questo form potete richiedere maggiori informazioni e un preventivo, oppure potete in alternativa scrivere un messaggio WhatsApp al numero: 342 014 7374.
Mentre invece in questo documento potete consultare la brochure con tutti i dettagli di questo servizio.