Sulla spinta dei 101 reclami presentati da NOYB – European Center for Digitale Rights (organizzazione non governativa fondata da Maximilian Schrems, www.noyb.eu), l’anno 2022 ha visto diversi Garanti europei pronunciarsi sul tema di Google Universal Analytics (GA3), qualificandolo non conforme al Regolamento europeo n. 679/2016 (GDPR).
La società statunitense ha immesso nel mercato Google Analytics 4 (GA4), che non è una semplice evoluzione di GA3, ma un prodotto completamente nuovo.
Gli addetti ai lavori sono ancora oggi divisi tra chi lo ritiene conforme al GDPR e chi no. Nel frattempo, solamente Datatilsynet, il Garante danese, ha preso posizione sul tema pubblicando delle FAQ (Frequently Asked Questions), reperibili all’indirizzo https://www.datatilsynet.dk/english/google-analytics.
Quali dati tratta e trasferisce Google?
Una delle principali soluzioni presentate da Google per garantire la conformità di GA4 al GDPR è la mancata registrazione dell’indirizzo IP dell’utente-interessato: secondo la società statunitense, non vi sarebbe più un trasferimento di dati personali in quanto l’utente non sarebbe più identificabile.
Le pronunce dei Garanti europei su GA3 avevano evidenziato come il troncamento dell’ultimo ottetto dell’indirizzo IP non fosse un trattamento di pseudonimizzazione adeguato. Infatti, Google ha il controllo di numerosi dati che, analizzati nel loro insieme, permettono di re-identificare l’utente. Questo è ancora più vero nel caso in cui l’utente navighi utilizzando il proprio profilo Google, ipotesi frequente nella realtà odierna: la società statunitense può incrociare i dati raccolti dal servizio di Analytics con l’identità del profilo dell’utente che sta navigando nel sito (o app) sottoposto ad analisi.
La soluzione prevista da GA4 di non procedere alla registrazione dell’indirizzo IP potrebbe sembrare efficace. L’indirizzo IP viene infatti elaborato solamente per poter localizzare l’utente al fine di indirizzare i flussi di dati verso il server più vicino, ma non viene conservato.
Tuttavia, tale soluzione non risulta sufficiente e adeguata.
Infatti, Google procede alla raccolta di identificativi univoci degli utenti, oltre ad altri dati che ne permettono comunque la re-identificazione, come ad esempio il giorno e l’orario della visita del sito internet e la localizzazione approssimativa dell’utente. Inoltre, si consideri ancora una volta la situazione di chi naviga collegato al proprio profilo Google. Da ultimo, anche se si ammettesse che senza l’indirizzo IP Google non sia in grado di risalire all’identità dell’utente, sarebbe comunque capace di identificarlo all’interno di un gruppo. Questo è sufficiente a far sì che vi sia un trasferimento di dati personali verso gli Stati Uniti:
Ma quali dati riferibili agli utenti tratta Google, oltre agli IP?
La funzione Google Signals permette di tracciare i dati di sessione provenienti dai siti e dalle app che Google associa agli utenti che hanno eseguito l’accesso ai propri account Google e che hanno attivato la personalizzazione degli annunci. Si tratta quindi di: città, latitudine e longitudine della città, versione secondaria del browser, stringa dello user agent del browser, marca e modello del dispositivo, nome del dispositivo, versione secondaria del sistema operativo e della piattaforma, risoluzione dello schermo.
Disattivando la raccolta dei dati granulari su località e dispositivo, tuttavia, GA4 non procederà alla raccolta di questi dati. Il Garante danese ha però precisato che, anche se si disattivassero sia Google Signals sia la raccolta granulare dei dati, tutte le problematicità esposte nel presente paragrafo persisterebbero.
Nessun trasferimento di dati personali verso gli Stati Uniti?
Analizzando ora la descrizione del servizio di GA4 offerta da Google, si rileva che l’indirizzo IP viene elaborato al fine di localizzare l’utente affinché i relativi dati vengano indirizzati verso il data center più vicino. Per questo motivo i dati degli utenti europei non verrebbero trasferiti al di fuori del SEE.
Tuttavia, come segnala il Garante danese, tale trattamento non è conforme al GDPR in quanto non tiene conto degli utenti che accedono da aree esterne al SEE (siano essi cittadini europei, o meno) a siti o app di Titolari del trattamento con sede nel SEE. Il GDPR si applica, ai sensi dell’art. 3, par. 1, ai Titolari e Responsabili del trattamento che hanno il proprio stabilimento nell’Unione Europea. Tali soggetti sono quindi tenuti in ogni caso a rispettare il GDPR e a non trasferire dati personali al di fuori del SEE, a prescindere dalla località da cui si connettono gli utenti. Il titolare di un sito che implementa Google Analytics, quindi, potrebbe essere ritenuto responsabile di una violazione del GDPR.
Da queste considerazioni emerge che la strategia di Google di trasferire i dati al data center più vicino alla localizzazione dell’utente-interessato non è adeguata, poiché non esclude il trasferimento di dati personali verso Paesi terzi, tra cui gli Stati Uniti, ad opera di siti di Titolari stabiliti nel SEE e che dovrebbero quindi rispettare il GDPR.
La pseudonimizzazione: il proxy secondo la CNIL
Sulla scia di queste considerazioni, nelle FAQ dedicate a GA4 il Garante danese suggerisce, quali misure di sicurezza adeguate, la crittografia dei dati e la loro pseudonimizzazione ad opera di soggetti diversi da Google, con sede nel SEE (o uno stato terzo o organismo internazionale che presenti adeguate garanzie).
Già nel luglio del 2022, il Garante francese (CNIL) aveva rilasciato un comunicato stampa proponendo l’utilizzo di un proxy come soluzione che garantisce una corretta pseudonimizzazione dei dati personali e che permetterebbe quindi di utilizzare Google Analytics in modo conforme al GDPR. Tale presa di posizione riguardava nello specifico GA3, ma può essere applicata anche a GA4, tanto che lo stesso Garante danese l’ha espressamente menzionata.
Il proxy è un server posto tra quello del sito (o app) che l’utente visita e il server di Google Analytics. La sua funzione è quella di impedire una diretta comunicazione tra i due server, permettendo così una corretta pseudonimizzazione dei dati.
La CNIL ha quindi individuato una serie di caratteristiche che il proxy deve avere per garantire il rispetto dei criteri elaborati dall’EDPB, ma queste non sembrano agevolmente implementabili.
Infatti, se dal punto di vista strettamente tecnico l’installazione di un proxy come delineato dalla CNIL è possibile, si deve considerare che l’implementazione di GA4 in tale contesto richiede la scrittura di un apposito codice o l’installazione di un plugin nella piattaforma utilizzata che rispetti tutti i punti elencati dalla CNIL. Tutto ciò deve essere poi costantemente monitorato nel suo funzionamento e tempestivamente adeguato alle eventuali modifiche e revisioni del protocollo di scambio dati attuate da Google. In altre parole, se prima era sufficiente copiare e incollare il codice fornito dalla società statunitense all’interno del codice del sito, ora bisogna scriverlo da zero o modificare il codice di un plugin esistente e adattarlo alle proprie necessità: un carico di lavoro che prima era delegato a Google stessa, potrebbe gravare oggi su chi sviluppa il sito del Titolare del trattamento. Piccole e medie imprese possono riscontrare difficoltà nel sostenere tutti questi nuovi costi.
Inoltre, si deve considerare che, ad oggi, anche se si volesse contenere tali costi sfruttando piattaforme già pronte, moltissime di queste sono offerte da società statunitensi: bisogna valutare, anche attraverso la consulenza di un esperto, se le loro policy sono compatibili con il GDPR e le specifiche richieste dalla CNIL.
Da ultimo, qualora si implementasse il proxy come descritto dalla CNIL (o analoghe misure che garantiscano un trasferimento di dati verso gli Stati Uniti conforme), le analisi di Google Analytics ne risentirebbero fortemente.
Cosa fare oggi con GA4?
Oggi non è possibile garantire che l’uso di GA4 non esponga Titolari e Responsabili del trattamento a possibili contestazioni da parte di interessati e Autorità garanti.
Per questo motivo, i Titolari del trattamento dovrebbero valutare innanzitutto i benefici derivanti dall’utilizzo di GA4 per il proprio business e bilanciarli con i rischi che in ogni caso si corrono, come evidenziato nei paragrafi precedenti.
Occorre altresì tenere presente che funzionalità molto simili a quelle di GA4 sono offerte anche da altri servizi, come ad esempio Matomo, Piwik PRO o Plausible, che non prevedono (o permettono di non prevedere) alcun trasferimento verso gli Stati Uniti.
Ove non risulti possibile rinunciare all’utilizzo di GA4, il consiglio è quindi quello di attuare una serie di misure tecniche e organizzative al fine di tutelare il più possibile i diritti e le libertà degli interessati e di diminuire il rischio di incorrere in sanzioni. Tali misure devono poi essere accuratamente documentate, in ossequio al principio di accountability.
Puoi rivolgerti al nostro Studio Studio legale Soccol per una consulenza specifica su questi aspetti e adatta alle tue esigenze.
