l'analisi

Google Analytics, l’effetto domino del provvedimento del Garante: come superare l’impasse?

La dialettica che ha portato al provvedimento del Garante privacy su Google Analytics ha il merito di chiarire diversi aspetti che caratterizzano il rapporto fra un sito web e Google. Aspetti quasi mai considerati a sufficienza e che riguardano anche gli altri servizi della società. Le possibili vie d’uscita

13 Lug 2022
Francesco Amorosa

CTO AFA Systems, Co-fondatore UNIDPO, DPO certificato UNI 11697

ga4

Le questioni legate all’impiego di Google Analytics (GA) in quanto sofisticato strumento di analisi del traffico su siti e portali web continuano a essere di grande attualità, in particolare in seguito al recente provvedimento del Garante Privacy relativo, nello specifico, a un reclamo nei confronti di una società che fa uso di Analytics sul suo sito web.

La dialettica che ha portato al provvedimento ha il merito di chiarire diversi aspetti che caratterizzano il rapporto fra un sito web e Google. Aspetti praticamente ovvi; eppure, quasi mai considerati a sufficienza.

Google Analytics, Scorza: “Ecco cosa devono sapere le aziende”

La presa di posizione del Garante

La presa di posizione del Garante su Google Analytics, che non è del tutto inedita nel merito ma certamente lo è nei toni chiari e decisi, costituisce inevitabilmente una pietra miliare in materia. Il Garante infatti affronta un reclamo nei confronti di una società che fa uso di Analytics; dichiara illecito il trattamento dei dati personali da essa posto in essere per il tramite di Google; ingiunge l’adozione di misure supplementari adeguate; ordina l’immediata sospensione dei flussi dati verso Google LLC con sede negli Stati Uniti; la ammonisce per aver commesso diverse violazioni nel trattamento di dati personali, fra le quali il trasferimento dati via Analytics verso uno stato estero non coperto da una decisione di adeguatezza.

WHITEPAPER
Customer Data Platform: cos'è e perché apre una nuova era per i marketer
Big Data
CRM

Cosa sappiamo del rapporto tra un sito web che usa Analytics e Google

Ma, appunto, cosa sappiamo del rapporto tra un sito web che usa Analytics e Google?

Chi utilizza GA “è vincolato al testo contrattuale [“Google Analytics Terms of Service”] che deve approvare prima di iniziare a utilizzare la piattaforma (testo standard imposto dal fornitore Google)”. Il trasferimento dei dati verso Google avviene per il tramite delle Clausole contrattuali standard (SCC), corrispondenti allo schema tipo adottato dalla Commissione europea con decisione n. 2010/87/UE, integrato dalle misure supplementari adottate da Google, rispetto alle quali non vi è in effetti “alcuna possibilità di verificare l’implementazione a livello tecnico (..), ovvero di impartire specifiche istruzioni sull’effettiva implementazione delle stesse”.

Con lucidità occorre allora prendere atto che l’utilizzatore di GA “non ha né visibilità del dettaglio dei dati raccolti, né può precisamente descriverne le tipologie” e ancora che “non ha alcun livello di autonomia in merito alle scelte relative ai trasferimenti di dati verso Paesi terzi, ivi incluse l’identificazione delle tipologie di dati oggetto del trasferimento”. In questa condizione di conclamata subalternità, spesso ricorrente on-line, non si può che rimettersi alle dichiarazioni di GA in merito alla validità e all’efficacia delle “misure supplementari di protezione dei dati personali”, pseudonimizzazione, ecc.

L’adeguatezza delle misure di protezione dei dati

Sono esse adeguate? Possono essere considerate sufficienti? Questo è un passaggio chiave. Quando si procede alla valutazione della sufficienza si evidenzia tutta la distanza fra il punto di vista dell’utente e quello delle piattaforme, e anche fra i presupposti culturali e la conseguente sensibilità che noi europei abbiamo sulla privacy rispetto ad altri paesi. Per constatare quanto sia eclatante questa distanza culturale trasliamo brevemente il piano di analisi.

Numerosi recenti studi accademici[1] hanno via via dimostrato come i sistemi operativi dei nostri smartphone, senza sostanziali differenze per costruttore (nel caso di Android, ad es. Samsung, Xiaomi, Huawei, …), trasmettano significative quantità di dati al fabbricante come pure a terze parti fra le quali la stessa Google. Ciò avviene senza possibilità di configurare il dispositivo in modo diverso e ben oltre le ragionevoli necessità di telemetria e ricerca di aggiornamenti. Per evidenziare la distanza fra le sensibilità culturali è illuminante il commento sul punto di un portavoce della compagnia di Mountain View: “…non siamo d’accordo che un tale comportamento sia inaspettato: questo è il modo in cui funzionano i moderni smartphone…”. Prendere o lasciare.

Tornando al provvedimento del nostro Garante, in esso non solo si legge che non è sufficiente affidarsi alle “misure supplementari” implementate da Google, ma al tempo stesso si coglie quanto aggiungerne di ulteriori sia difficile per il gestore del sito, nella sua scomoda posizione fra la piattaforma Analitycs e il suo utente-navigatore e senza nessuna possibilità di determinare le condizioni operative e tecniche né dell’uno dell’altro.

Come superare l’impasse

Come superare allora questa impasse?

Con una nota dei primi di giugno, il Garante francese (CNIL) ha indicato efficaci strategie tecniche per utilizzare GA in conformità con il Regolamento europeo. L’iniziativa è interessante anche perché è articolata sul piano della tecnologia e di come essa viene applicata, senza limitare analisi e contromisure al solo piano del diritto. Una dimostrazione, se mai ce ne fosse ancora bisogno, di quanto la relazione dinamica fra tecnologia e diritto animi l’intero GDPR.

Un sistema di proximizzazione per evitare il “contatto diretto” fra l’utente-navigatore e i server di tracciatura

Nella sua nota la CNIL delinea un’architettura di rete e di sistemi che consente di mantenere riservati senza conferire a server esteri i dati personali dell’utente-navigatore, a partire dall’indirizzo IP, recuperando soluzioni tecniche di “anonimizzazione” (quelle che hanno generato, per intenderci, anche il browser Tor, e che sono state troppo spesso sbrigativamente considerate solo arnesi del cosiddetto mondo cyberpunk). Nel concreto, la CNIL ritiene adeguata e propone un’architettura che impieghi un sistema di proximizzazione (“proxyfication”), per evitare il “contatto diretto” fra l’utente-navigatore e i server deputati alla tracciatura e all’analisi del traffico (GA).

Come e dove collocare il sistema di proximizzazione e chi ne debba essere “titolare” resta un aspetto determinante. Nel caso frequente in cui l’utente-navigatore operi nella rete di un’azienda o di altra organizzazione, ad es. una LAN o in smart-working via VPN, il sistema di proximizzazione posto nella giurisdizione aziendale, e correttamente gestito come CNIL raccomanda, permette all’azienda di sottrarre alla tracciatura identificativa, e di riportare in conformità, l’utilizzo praticamente di ogni servizio Internet a beneficio dei propri utenti e a propria tutela. In linea di principio, e seppure con evidenti complessità tecniche e politiche, è anche possibile concepire una proximizzazione a livello nazionale o continentale. Di queste e di altre ipotesi di collocazione e sfruttamento del sistema di proximizzazione, sebbene molto interessanti, non possiamo per brevità qui discutere.

Google Analytics 4

Un’altra risposta ai problemi di protezione dei dati personali collegati ad Analytics la sta fornendo la stessa Google, con la sua nuova tecnologia denominata Google Analytics 4 (GA4). Il cuore della soluzione è un’innovativa proprietà per le misurazioni, che utilizza gli eventi anziché le sessioni e abbandona l’impiego dei cookie. La nuova tecnologia è già stata adottata da molti Content Management Systems (CMS) e sostituirà la sua omologa attuale (Universal Analytics) entro la metà del prossimo anno. Mentre GA4 si diffonderà, sarà interessante registrare la valutazione che i diversi Garanti ne daranno, anche alla luce della “visibilità del dettaglio dei dati raccolti” che Google consentirà.

La necessità di un accordo giuridico dopo Schrems II

La soluzione principe al tema del trasferimento dati, per questo caso e per tutti quelli diventati di difficile trattazione dopo la pronuncia n. C-311/18 della Corte di Giustizia dell’Unione Europea del 16 luglio 2020 (c.d.”Schrems II”), andrebbe fondata su un rinnovato accordo giuridico e sulla conseguente armonizzazione normativa con i principali paesi terzi e anzitutto con gli Stati Uniti. Lo sforzo è doveroso anche se tutto in salita perché deve coniugare una sensibilità culturale per la quale è “scontato” che uno smartphone racconti delle nostre telefonate a chi lo ha fabbricato e un’altra invece che conserva ancestrale memoria e più non vuole imbattersi in nomi e sigle terribili come Geheime Staatspolizei, OVRA e poi ancora Stasi o Milice francaise.

Conclusioni

Al momento, la soluzione più adottata dai gestori di siti e portali è quella “di ultima istanza”: rinunciare all’utilizzo di GA e di ogni altro cookie, con le ormai consuete opzioni per l’utente-navigatore: “continuare senza accettarli”, “rifiutarli tutti”, ecc., laddove in effetti sarebbero disponibili anche altre piattaforme di analytics maggiormente in linea con il GDPR, tra le quali quella dedicata alle PA dell’Agenzia per l’Italia Digitale “Web Analytics Italia”.

Un’ultima riflessione. Le conseguenze di fatto del provvedimento del Garante sono ineludibili e quasi ovvie, eppure non del tutto previste. Il loro effetto, infatti, non può non estendersi agli altri servizi di Google, che sono assoggettati alle stesse regole di funzionamento, alle stesse politiche privacy, allo stesso corredo legale, condizioni d’uso e informative che accompagnano Analitycs. Come è possibile escludere provvedimenti di censura del Garante per quegli altri servizi, alla luce del caso discusso? E per di più, se anche fossero assoggettati a differenti regole di funzionamento e corredo legale, quei servizi fanno uso di cookies proprio come Analytics e quindi di nuovo esposti a censura.

Certo è una libera e legittima scelta affidare la propria mailbox o il proprio archivio drive a una piattaforma costituita in un paese terzo non coperto da una decisione di adeguatezza. Ma la questione cambia natura e diventa critica quando con quella mailbox o con quell’archivio drive si inizia a gestire (a “trattare”) dati personali di interlocutori terzi. Pur ammettendo per ipotesi di scuola che il “titolare” della mailbox o del drive abbia edotto con un’adeguata informativa i suoi interlocutori del trasferimento, e ciò normalmente non avviene, costoro potranno sempre azionare i propri diritti e sulla base del provvedimento discusso presentare reclamo nei confronti del titolare stesso.

Note

  1. Fra gli altri:Android Mobile OS Snooping By Samsung, Xiaomi, Huawei and Realme Handsets – Haoyu Liu et. al., October 2021

    What Data Do The Google Dialer and Messages Apps On Android Send to Google? – Douglas J. Leith. Feb 2022

INFOGRAFICA
I migliori data analytics tools a confronto: CHI VINCE?
Big Data
Datacenter
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Analisi
PA
Salute digitale
News
Fondi
Formazione
Ecologia
Digital Economy
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Incentivi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Incentivi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articolo 1 di 3