il provvedimento

Google Analytics “illegale” secondo il Garante Privacy: e ora?

Il provvedimento odierno del Garante Privacy “condanna” l’uso di Google Analytics, ammonendo ma non sanzionando la società Caffeina Media Srl. Presa di posizione importante, ma la confusione sul futuro resta. Ecco perché

23 Giu 2022
Manuel Salvi

DPO GRC Team

Il Garante Privacy italiano dichiara illegale Google Analytics. Lo si può interpretare anche così il provvedimento di oggi, anche se riguarda una società specifica, Caffeina Media Srl.

Google Analytics illecito in Italia: l’altolà del Garante privacy, ecco perché

Il provvedimento è notevole perché, a seguito di un reclamo, il Garante ha preso una sua prima posizione ufficiale su una faccenda spinosa: la liceità del trasferimento dati verso gli Stati Uniti dopo che la Corte di Giustizia Ue ha invalidato il privacy shield e nell’attesa di un nuovo accordo Usa-Europa sulle garanzie per il trasferimento dati.

Cosa ha chiesto il Garante a Caffeina Media

In particolare, Caffeina Media Srl è stata ammonita (non sanzionata) e ora ha 90 giorni per “per introdurre adeguate misure per il trasferimento dei dati, in caso contrario si provvederà (da parte del Garante, ndr) alla sospensione dei flussi di dati verso gli USA”, si legge nella nota del Garante.

WEBINAR
23 Settembre 2022 - 10:00
DIGITAL360 Semestrale 2022: scopri tutte le novità
Acquisti/Procurement
Amministrazione/Finanza/Controllo

Ricordiamo che Google Analytics è lo strumento di web analytics fornito da Google ai gestori di siti internet, che consente la generazione di dettagliate statistiche sugli utenti. Lo strumento è utilizzatissimo da chi fa digital marketing per ottimizzare le proprie attività on line.

Caffeina Media S.r.l., la società cui è arrivata il provvedimento del Garante, è una delle tantissime realtà italiana, sui cui sistemi è installata la versione gratuita di Google Analytics.

La questione però come detto è generalizzata. Il Garante ha chiesto a tutte le società di valutare attentamente il trasferimento dati estero con strumenti come Analytics.

Può essere insomma il primo passo – atto dovuto dopo le denunce ricevute dal Garante – per una possibile escalation, sempre che l’Europa e gli USA non si accordino prima.

I problemi di Google Analytics

Ma perché Analytics viola il GDPR, per il Garante? C’è innanzitutto un problema formale di nomina.

Il problema “formale” di nomina

Google, facendo tracciamento dei dati degli utenti del sito web, diviene Responsabile del Trattamento, conformemente all’art. 28 del GDPR, e dovrebbe essere nominato e adeguatamente istruito relativamente le attività di trattamento.

L’impossibilità per qualsivoglia titolare europeo di imporre a Google o a una qualsiasi Big Tech, le proprie istruzioni documentate, è uno dei principali cortocircuiti del GDPR, come denunciato da Wojciech Wiewiórowski, in una recente conferenza (17/06/22 Bruxelles) sullo stato di salute del Regolamento Europeo.

Nei fatti Google si autonomina con i “Google Analytics Terms of Service” e i “Google Ads Data Processing Terms”, propri documenti fatti pro domo sua, e dati senza alcuna possibilità di discussione ad ogni soggetto, che necessiti di utilizzare suoi applicativi, dall’alto di una palese e manifesta sproporzione di forza fra le parti.

Tali accordi definiscono Google Ireland Limited come Responsabile del trattamento, come da art. 28 del GDPR e annoverano tra i subfornitori l’americana Google LLC, innescando un problema, come vedremo a breve, di trasferimento internazionale di dati oltre oceano.

Il problema “sostanziale”

In secondo luogo c’è un problema sostanziale.

I siti web raccolgono, mediante cookies trasmessi al browser degli utenti, informazioni in ordine alle modalità di interazione di questi ultimi con il sito web, nonché con le singole pagine e con i servizi proposti.

I dati raccolti consistono in:

  • identificatori online unici che consentono sia l’identificazione del browser o del dispositivo dell’utente che visita il sito web;
  • indirizzo, nome del sito web e dati di navigazione;
  • indirizzo IP del dispositivo utilizzato dall’utente, che come sappiamo è un dato personale;
  • informazioni relative al browser, al sistema operativo, alla risoluzione dello schermo, alla lingua selezionata, nonché a data e ora della visita al sito web.

L’aggravante è data dal fatto che l’utente del sito web può essersi loggato al proprio account Google, e che quindi i dati poc’anzi citati possano essere associati ad altre informazioni presenti nel relativo account, quali l’indirizzo email (che costituisce l’user ID dell’account), il numero di telefono ed eventuali ulteriori dati personali, tra cui il genere, la data di nascita o l’immagine del profilo.

Infine, vi è appunto la sentenza della Corte di Giustizia Europea che ha cancellato il “Privacy Shield”. Il fatto che, a distanza di due anni, le diplomazie transatlantiche non siano ancora riuscite ad accordarsi su un compromesso, che possa mettere tutti d’accordo, implicitamente dimostra che la questione non è così semplice da dipanare.

La soluzione (errata) dell’IP-Anonymization

La soluzione errata portata avanti da Google Analytics, si chiama impropriamente “IP-Anonymization”. Lo strumento oscura l’ottetto meno significativo, le ultime cifre dell’IP per intenderci, rendendolo virtualmente anonimo e quindi non più elemento che lo renda soggetto al GDPR. Tale strumento non sempre è implementato, essendo una personalizzazione lasciata agli utenti, che sovente ignorano l’esistenza della soluzione.

Il Garante ha detto che Caffeina Media Srl non l’ha attivato e che se pure l’avesse fatto non sarebbe stato sufficiente per l’anonimizzazione.

Il nome della stessa soluzione è fuorviante, poiché non si tratta di una reale anonimizzazione ma di una mera pseudoanonimizzazione. In sostanza il troncamento dell’ultimo ottetto non impedisce a Google LLC di re-identificare l’utente medesimo, tenuto conto delle informazioni complessivamente detenute dalla stessa relative agli utenti del web.

Sussiste, inoltre, in capo alla medesima Google LLC la possibilità, qualora l’interessato abbia effettuato l’accesso al proprio profilo Google, di associare l’indirizzo IP ad altre informazioni aggiuntive già in suo possesso (quali le informazioni contenute nell’account utente).

MonitoraPA e le sue 7833 e-mail

Per gli addetti ai lavori il tema di Google analytics è particolarmente scottante, dopo che un collettivo di hacker – attivisti della privacy, “Monitora PA”, un mese fa ha sollevato un discreto polverone.

I telefoni hanno iniziato a squillare e le e-mail a fioccare, mentre solerti dipendenti comunali strabuzzavano gli occhi di fronte alle comunicazioni giunte a protocollo, che denunciavano l’illegale uso di Google Analytics sui siti istituzionale di ben 7833 enti comunali, intimando l’immediata disinstallazione dello strumento di tracciamento, pena una denuncia al Garante e il pubblico ludibrio, attraverso la pubblicazione sul web di tutte le amministrazioni, che perseverassero nella condotta illecita.

Google Analytics, PA fuori legge? Niente panico: ecco cosa sta succedendo

DPO e Consulenti Privacy, come il sottoscritto, hanno dovuto gestire il panico, che nel frattempo montava.

“Cosa diavolo ci siamo presi, che è sto Google Analytics?” mi hanno chiesto i più sprovveduti, convinti di aver aperto l’allegato sbagliato. La maggiorate non sapeva nemmeno si aver installato sui propri sistemi l’applicativo gratuito di analisi dei cookies, installato di default dalla maggior parte delle software house, più a proprio beneficio che non per altro. Altri hanno scoperto a distanza di sei mesi che il loro banner per i cookies era inadeguato alle Lineguide del Garante (vincolanti dal 10/02/22), altri ancora al contrario, in una reazione scomposta, lo hanno fatto installare pur non avendo cookies da tracciare.

A distanza di un mese, con una puntualità sospetta, nello stesso giorno in cui il Garante ammonisce Caffeina Media Srl , “Monitora PA” ha pubblicato un dettagliato resoconto delle proprie attività.

Così 4603 comuni, stando a quanto indicato dal gruppo di attivisti, “sembra” abbiano disattivato gli analytics dai loro siti. Il numero è eclatante e preoccupante.

Può infatti una mail di uno sconosciuto gruppo di attivisti far scattare sull’attenti così tante amministrazioni comunali lungo lo stivale?

L’Italia si allinea a Francia ed Austria

L’utilizzo di Google analytics è infatti già stata ritenuta illecito dall’EDPS, con riguardo al trattamento dei dati operato dal Parlamento europeo, dall’Autorità di controllo austriaca e da ultimo da quella francese.

I fornitori USA che rientrano nel FISA 702 e EO 12.333, secondo le leggi sulla sicurezza nazionale U.S.A., debbono permettere alle agenzie americane di accedere ai dati da essi trattati, dando loro ampissimi poteri di accesso e d’indagine.

Per il GDPR infatti questa totale discrezionalità all’accesso e uso dei dati dei cittadini è illegale. Tale discrezionalità non è consentita alle autorità pubbliche nazionali e comunitarie, soggette a una serie di vincoli e di tutele, e conseguentemente lo deve essere ancor di più per le autorità pubbliche extra europee.

Google Analytics e trasferimento dati extra UE: come adeguarsi alle pronunce delle Autorità austriaca e francese

La soluzione proposta da AgID

AgID nelle proprie “Linee guida di design per i siti internet e i servizi digitali della PA” suggerisce di sostituire gli analytics di Google con una versione opensource italiana denominata “Web Analytics Italia”.

Il Garante in merito non si è ancora espresso ed anzi commentando la bozza di Linee guida poc’anzi menzionata solleva alcune critiche.

I nodi privacy delle Linee guida Agid per i siti della PA: perché il Garante approva con riserva

Conclusioni

Insomma, la situazione è in divenire il provvedimento odierno contribuisce solo in parte a chiarirla, e in parte aumenta le incertezze perché non è chiaro cosa possa succedere adesso a chi continua a usare Analytics. Certo dovrebbero valutarne la sostituzione, ma oltre a questo non si può dire altro.

Il Garante in effetti non ha infierito e non ha comminato sanzioni, quasi giustificando in parte Caffeina Media S.r.l. dichiarando: “stante l’asimmetria di potere contrattuale derivante dalla primaria posizione di mercato assunta da Google nel settore dei servizi di web analytics– [il trasgressore] ha erroneamente assunto come idonee, sulla base delle informazioni rese da Google, le misure supplementari adottate da quest’ultima senza esercitare alcun potere decisionale in merito alle stesse.

Il Garante, infine, nelle sue conclusioni “ordina la sospensione dei flussi, verso Google LLC con sede negli Stati Uniti”.

A complicare o semplificare il tutto, c’è Google che è già corsa ai ripari e già ha lanciato il nuovo servizio Google Analytics 4 (GA4), che stando a quanto ci dicono risolverà a monte il problema, in attesa che nuovamente un Garante europeo ci metta il naso.

Concludo riagganciandomi alle parole pronunciate ormai due anni fa da Max Schrems il quale ammoniva le organizzazioni europee ad utilizzare software e strumenti extra UE, poiché così come Google Analytics, è in violazione al GDPR, in misura analoga lo potrebbero essere molti strumenti di Amazon, Microsoft o altre Big Tech, come già evidenziato dal Garante Europeo relativamente agli applicativi di Microsoft nel luglio 2020.

WHITEPAPER
I 5 vantaggi di un ERP di ultima generazione, li conosci?
ERP
Software
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Analisi
PA
Salute digitale
News
Fondi
Formazione
Ecologia
Digital Economy
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Incentivi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Incentivi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articolo 1 di 4