Google Analytics, il trasferimento dati negli Usa viola il Gdpr

Google Analytics è uno strumento importante per molte attività presenti sul Web, dalle piccole e medie imprese alle partite Iva. Ma qualche giorno fa il Gdpg, l’autorità Garante per la Protezione dei Dati Personali (già nota come Garante per la Privacy), ha stabilito che l’uso di Google Analytics da parte di un sito Web può violare la privacy e può essere sanzionato. Il Gdpg è giunto a questa conclusione dopo un’istruttoria definita avviata sulla base di una serie di reclami.

Un’indagine definita come “complessa” e portata avanti in coordinamento con altre autorità privacy europee. Ne è emerso che i gestori dei siti web che utilizzano Google Analytics “raccolgono, mediante cookie, informazioni sulle interazioni degli utenti con i predetti siti, le singole pagine visitate e i servizi proposti”, ha spiegato il Garante. Tra i dati raccolti ci sono anche  l’indirizzo IP del dispositivo, informazioni sul browser usato dall’internauta, dettagli sul sistema operativo, sulla risoluzione dello schermo, e ancora informazioni sulle sue attività online come la lingua selezionata, la data e l’ora della visita al sito web.

Dagli accertamenti è risultato che è possibile che questi dati vengano trasferiti negli Stati Uniti e questo è un trattamento che viola il Gdpr, il regolamento europeo che tutela i dati personali. L’indirizzo IP, infatti, viene considerato dal Garante alla stregua di un dato personale. “Anche nel caso fosse troncato non diverrebbe un dato anonimo, considerata la capacità di Google di arricchirlo con altri dati di cui è in possesso”, ha specificato l’autorità di tutela della privacy.

Dunque Google Analytics non si può più utilizzare? Per evitare il rischio di sanzioni, è necessario assicurarsi che nessun dato venga trasferito verso gli Stati Uniti. Se il Garante individua una violazione, l’azienda o la persona titolare del sito Web riceve una notifica, avendo poi novanta giorni di tempo per “adottare misure adeguate per il trasferimento, pena la sospensione dei flussi di dati effettuati, per il tramite di GA, verso gli Stati Uniti”. Allo scadere dei novanta giorni, il Garante potrà procedere a “verificare la conformità al Regolamento Ue dei trasferimenti di dati effettuati dai titolari”.

La responsabilità di rispettare il Gdpr, evitando il trasferimento di dati personali negli Stati Uniti, spetta quindi ai gestori dei siti Web e non a Google. In alternativa, esistono sul mercato soluzioni per gli analytics dei siti Web che già garantiscono aderenza al Gdpr, come per esempio Piwik Pro, Simple Analytics e Plausible.

Il passaggio a Google Analytics 4 (GA4)
Va detto comunque che Google è consapevole di doversi muovere in direzione di una maggior tutela della privacy, come dimostra il piano di dismissione della Universal Analytics, versione del servizio ancora in uso ma già superata dalla successiva Google Analytics 4 (GA4). A partire dal primo luglio del 2023 la Universal Analytics smetterà di raccogliere ed elaborare dati, e al suo posto continuerà a funzionare esclusivamente la più recente GA4, che include misure più tutelanti per la privacy come la misurazione senza cookie e l’uso di modelli che analizzano il comportamento degli utenti e le conversioni sui siti Web.

Gli account di Google Analytics creati prima del  14 ottobre 2020 utilizzano, probabilmente, la piattaforma Universal Analytics, mentre è probabile che le successive siano già basate su GA4. Google, in ogni caso, invita gli utenti a effettuare una verifica (qui i dettagli della procedura).