Il garante della Privacy, di concerto con le autorità privacy europee, ha dichiarato illecito l’uso delle Google Analytics nei siti web, in quanto esse violano la normativa comunitaria.
Cosa succederà adesso?

Google Analytics è un servizio gratuito fornito da Google per ottenere statistiche dettagliate delle visite al proprio sito web.

E’ sufficiente installare sul proprio sito un piccolo codice fornito da Google e questo inizierà a registrare dati dettagliati sulle visite al nostro sito.

I dati forniti dalle GA sono estremamente dettagliati: non comprendono infatti solo il numero di visite a ciascuna pagina, ma anche informazioni relative agli utenti (il tipo di browser utilizzato, se hanno visitato il sito da mobile o da computer, la loro lingua), informazioni relative alla provenienza dei visitatori (se cioè siano arrivati al sito tramite una ricerca su Google, tramite un link sui Social, tramite campagne pubblicitarie online od altro) all’esperienza sul sito (il percorso di navigazione le azioni compiute come click su determinati pulsanti) e molto altro ancora.

Lanciate nel 2005, le Google Analytics sono la soluzione leader nel mercato delle Analytics, con una quota di mercato stimata in circa l‘85%. I siti che utilizzano le GA sono decine di milioni (si stima che oltre la metà dei siti esistenti le utilizzi).

Il Provvedimento del Garante del 9 giugno 2022

Il provvedimento del 9 Giugno 2022 (qui il comunicato stampa del Garante) nasce al termine di una complessa istruttoria avviata sulla base di una serie di reclami e in coordinamento con altre autorità privacy europee. Il provvedimento è indirizzato a Caffeina Media S.r.l., ma si estende a tutti coloro che utilizzano le Google Analytics sul proprio sito web.

Il provvedimento del Garante esamina dettagliatamente due aspetti delle Google Analytics:

• l’efficacia dell’anonimizzazione dell’indirizzo IP;
• il trasferimento dei dati verso Paesi terzi (USA).

Cosa cambia per l’anonimizzazione dell’indirizzo IP

Il Garante della Privacy ritiene che l’anonimizzazione dell’indirizzo IP non renda “anonimo” il dato trattato dalle Google Analytics.

Nello specifico, il Garante rileva che le Google Analytics raccolgono -oltre all’indirizzo IP anonimizzato- numerose informazioni relativa all’utente, quali ad esempio browser utilizzato e sia versione, sistema operativo in uso, risoluzione dello schermo, lingua selezionata, data e ora della visita al sito web e, qualora l’utente abbia effettuato l’accesso ad un account Google, l’identificativo del suo account.

Tutti questi dati, uniti all’indirizzo IP anonimizzato permettono a Google, secondo il Garante, di identificare l’utente: le Google Analytics effettuano dunque il trattamento dei dati personali dell’utente (analizzando e profilando le sue specifiche attività) e non rientrano nel novero dei dati e cookie tecnici che possono essere trattati senza il consenso dell’utente.

Il trasferimento dei dati negli USA

Il Garante ha rilevato inoltre che i dati personali così raccolti dalle Google Analytics vengono trasferiti negli Usa, paesi in cui “le Autorità governative e le agenzie di intelligence statunitensi, [possono] accedere ai dati personali trasferiti senza le dovute garanzie“.

In sintesi, il trasferimento dei dati verso le USA non garantisce, secondo il Garante, livello adeguato di protezione dei dati personali degli utenti ed è quindi ritenuto illecito dal Garante stesso.

In conclusione

Quanto deciso dal Garante in merito all’inefficacia dell’anonimizzazione dell’indirizzo IP ha come conseguenza che le Google Analytics effettuano il trattamento dei dati personali dell’utente. Tale trattamento non è di per sé illecito: può infatti avvenire purché l’utente abbia prestato un valido consenso. Occorrerà dunque installare sui siti web che utilizzando le Google Analytics un sistema di gestione del consenso ed attivare le Analytics stesso esclusivamente per gli utenti che abbiamo espresso validamente il relativo consenso.

Più complesso è, invece, il tema del trasferimento dei dati verso gli USA, poiché il Garante ritiene tale trattamento illecito tout court, indipendentemente dal consenso espresso dagli utenti. A meno che Google con modifichi i propri termini di servizio e le modalità di erogazione del servizio di Analytics, garantendo che i dati non vengano trasferiti verso gli USA (o altri Paesi che no garantiscano un adeguato livello di protezione), l’utilizzo delle Analytics sarà illecito in Italia (e nell’Unione Europea), indipendentemente dall’eventuale consenso espresso dall’utente,

Cosa fare per adeguarsi?

Il Garante ha concesso un termine di 90 giorni (non è esattamente così; si veda l’approfondimento qui sotto) ai gestori di siti web per adeguarsi (il termine dovrebbe ragionevolmente decorrere dalla data del provvedimento, cioè dal 9 giugno 2022); c’è dunque tempo fino ad inizio Settembre per adeguarsi.

Prima di mettere in atto qualsiasi iniziativa, consiglio di aspettare la risposta (e le azioni) di Google, che probabilmente arriveranno nei prossimi giorni e settimane: qualora Google modificasse i propri termini di servizio e le modalità di erogazione del servizio stesso, incluse le modalità di trattamento dei dati acquisiti, è possibile che le Google Analytics possano ancora essere utilizzate (con l’anonimizzazione dell’indirizzo IP o altre procedure che verranno individuate).

Qualora invece Google non volesse, o potesse, adeguarsi, le soluzioni sono sostanzialmente due:

• rimuovere le Analytics dal proprio sito web *
• sostituire le Analytics con un diverso servizio “conforme” al GDPR **

* Adatta per chi non ha interesse ad avere dati ed informazioni relative ai visitatori del proprio sito web. Può sembrare strano, ma accade molto spesso che -una volta installate le Analytics- esse vengano sostanzialmente abbandonate: nessuno esamina i dati delle visite e nessuno prende decisioni (sulle strategie di marketing, sulle modifiche al sito o alle campagne pubblicitarie, sulla presenza digital aziendale) sulla base dei dati delle Analytics: in tutti questi casi le Analytics possono tranquillamente essere eliminate.

**Indicata per chi utilizza i dati relativi alle visite al sito web ed al comportamento dei visitatori per prendere decisioni di business, valutare l’efficacia delle campagne promozionali (sui social media o sui motori di ricerca) e intraprendere iniziative digitali. Esistono soluzione alternative (anche gratuite) alle Google Analytics: al momento non è ancora emerso chiaramente un “leader di mercato” in grado di rappresentare una alternativa altrettanto semplice, gratuita ed efficace. E’ comunque probabile che, nei prossimi giorni e settimane, i competitor “colgano la palla al balzo” e al tempo stesso il mercato si orienti verso una o più soluzioni.

Non resta quindi che aspettare e monitorare l’evoluzione del mercato e le contromosse di Google (e, per chi volesse mettersi “l’anima in pace” fin da subito, eliminare le Google Analytics dal proprio sito web).

Fabio Cioni
ICT Project manager @Altuofianco