Google Analytics è illegale?
Lo scorso 23 Giugno il Garante della Privacy italiano ha dichiarato illecita l’implementazione di Google Analytics su un sito web.
Questo perché i dati personali degli utenti europei venivano trasferiti nei server Google situati negli Stati Uniti, non garantendo livelli adeguati di sicurezza della privacy degli utenti secondo la normativa GDPR.
Cos’è Google Analytics?
Google Analytics è un servizio di web analytics gratuito fornito da Google che consente di analizzare delle dettagliate statistiche sui visitatori di un sito web. Il servizio è usato per il marketing su internet e dai webmaster.
L’illegittimità di Google Analytics 3 deriva dal fatto che lo strumento trasferisce i dati degli utenti negli Stati Uniti. Il problema nasce in quanto, in tema di privacy, sono disciplinati da un regime giuridico diverso rispetto a quello Europeo che non garantisce un livello di protezione come quello che vige all’interno dell’Unione europea grazie al GDPR.
Perchè Google Analytics non rispetta il GDPR
I siti web raccolgono, mediante cookies trasmessi al browser degli utenti, informazioni in ordine alle modalità di interazione di questi ultimi con il sito web, nonché con le singole pagine e con i servizi proposti.
I dati raccolti consistono in:
- identificatori online unici che consentono sia l’identificazione del browser o del dispositivo dell’utente che visita il sito web
- indirizzo, nome del sito web e dati di navigazione
- informazioni relative al browser (sistema operativo, risoluzione dello schermo, lingua selezionata, data e ora della visita al sito web)
- indirizzo IP del dispositivo utilizzato
L’aggravante è data dal fatto che un utente che naviga su sito web potrebbe essersi loggato al proprio account Google, e quindi i dati precedentemente citati potrebbero essere associati ad altre informazioni presenti nel relativo account. Ad esempio, l’indirizzo e-mail (che costituisce l’user ID dell’account), il numero di telefono ed eventuali ulteriori dati personali, tra cui il genere, la data di nascita o l’immagine del profilo.
Il Garante per la protezione dei dati personali italiano ha quindi comunicato che l’uso di Google Analytics 3 non rispetta il GDPR perché prevede il trasferimento dei dati degli utenti negli Stati Uniti, Paese privo di un adeguato livello di protezione.
Qualche giorno fa il Garante della Privacy italiano ha ammonito la società Caffeina Media srl, che usava Google Analytics 3 sul proprio sito web, chiedendole di rimuoverlo entro 90 giorni. In pratica, le modalità di trattamento dei dati di Google Analytics 3 non risultano conformi ai requisiti del GDPR perché lo strumento trasferisce i dati degli utenti negli Stati Uniti senza adeguate garanzie sulla loro tutela. Tra i dati trasferiti c’è anche l’indirizzo IP dei visitatori, considerato a tutti gli effetti un dato personale.
Il garante ha ammonito questa società ma l’invito ad abbandonare Google Analytics 3 riguarda informalmente tutti i siti web che utilizzano lo strumento di Google perché il problema è generalizzato.
Quindi cosa fare?
La situazione è in divenire. Il provvedimento contribuisce solo in parte a chiarirla, e in parte aumenta le incertezze perché non è chiaro cosa possa succedere adesso a chi continua a usare Analytics.
A semplificare il tutto, c’è Google che è già corsa ai ripari e già ha lanciato il nuovo servizio Google Analytics 4 (GA4), che stando a quanto ci dicono risolverà a monte il problema.
Se non avete già provveduto a superare questo passaggio, possiamo creare per voi una proprietà di Google Analytyics 4 e consentirvi di continuare a monitorare gli eventi sul vostro sito, garantendo uno standard di privacy più elevato. Contattaci!
