Iubenda logo
Inizia la generazione

Documentazione

Indice dei contenuti

Google Analytics è illegale in Europa? Ecco cosa devi sapere

Le Autorità per la protezione dei dati: Google Analytics viola le normative sulla privacy perché mancano le misure di sicurezza per il trasferimento dei dati.

🎯 Ultimo aggiornamento sull’uso di Google Analytics in Europa

Diverse Autorità per la protezione dei dati europee, il Garante Privacy italiano, la CNIL francese, la DSB austriaca e il Datatilsynet danese, hanno scoperto che l’uso di Google Analytics potrebbe risultare in un trasferimento di dati illegale al di fuori dell’Europa, perché mancano le misure di sicurezza fornite dal Regolamento UE. Queste decisioni sono state prese in merito a Google Analytics 3.

Vai a Cosa devo fare adesso→

Punti chiave

👉 Le autorità hanno emanato le loro decisioni sull’uso di Google Analytics e hanno affermato che le misure tecniche di conformità di Google Analytics 3 sono insufficienti.

👉 Le indagini hanno rivelato che le organizzazioni che usano Google Analytics raccolgono, attraverso i cookie, dati su come gli utenti interagiscono con i siti web, incluse le specifiche pagine visitate e i servizi utilizzati.

👉 L’indirizzo IP del dispositivo dell’utente, i dettagli del browser, il sistema operativo, la risoluzione dello schermo, la lingua selezionata e la data e l’ora della visita al sito web rientrano nei dati raccolti.

Trovi maggiori dettagli sulle decisioni qui.

Cosa devo fare adesso?

Garante Google AnalyticsNon c’è una risposta definitiva a questa domanda, dal momento che l’indagine è ancora in corso. Alcune autorità, come il Garante italiano, hanno affermato che se scegli di continuare a utilizzare Google Analytics, sono necessarie delle misure di sicurezza aggiuntive.

Dal momento che il problema principale riguarda il trasferimento di dati europei negli Stati Uniti e tutti i potenziali rischi associati, potrebbe essere una buona idea:

  • passare a un servizio di analytics con sede in Europa, o
  • se scegli di continuare a utilizzare Google Analytics, dovresti aggiornarlo a GA4* e applicare delle misure aggiuntive utilizzando le impostazioni disponibili (maggiori informazioni nel paragrafo successivo).

*Tuttavia, tieni presente che, dal momento che le indagini delle APD si sono basate su Google Analytics 3, non possiamo ancora sapere con certezza se le autorità riterranno sufficiente l’utilizzo di GA4.

Riguardo Google Analytics 4

In parte dovuto a questa discussione riguardo l’uso di Google Analytics, Google ha rilasciato Google Analytics 4 per cercare di far fronte ad alcune di queste problematiche.

  • Google Analytics 4 inizialmente utilizza gli indirizzi IP per determinare dove conservare i dati personali degli utenti (il server o il centro dati dipende dall’IP dell’utente). Elimina poi completamente gli indirizzi IP per cercare di mitigare il problema del trasferimento dei dati europei negli Stati Uniti.
  • Google Analytics 4 permetterà anche dei controlli a livello nazionale e delle opzioni di personalizzazione che ti permettono di minimizzare la raccolta dei dati di uno specifico utente.

Nota

A oggi, non sono state emanate sanzioni economiche per l’uso di Google Analytics.

FAQ

Le Autorità per la protezione dei dati hanno scoperto che il sistema legale degli Stati Uniti non garantisce lo stesso livello di protezione dell’UE.

Questa situazione deriva da una serie di leggi statunitensi che permettono alle organizzazioni governative di richiedere accesso ai dati personali di servizi con sede negli Stati Uniti, a prescindere da dove si trovino i centri dati o i server.

Alla luce di ciò, NOYB ha presentato 101 reclami alle ADP europee, per dimostrare l’illegalità del trasferimento dei dati di utenti europei negli Stati Uniti. Le decisioni, che hanno verificato l’illegittimità dei trasferimenti, si concentrano sull’analisi di misure tecniche, contrattuali e organizzative aggiuntive.

Per due motivi:

  1. L’azienda in questione non aveva fornito le informazioni necessarie nella sua privacy policy, violando l’articolo 13 del GDPR. Gli utenti devono essere informati di ogni intenzione di trasferire i dati personali verso paesi non-UE, così come della giustificazione legale per il trasferimento e di ogni garanzia a riguardo.
  2. Il modo in cui l’azienda utilizzava Google Analytics per trattare i dati personali degli utenti è illegale perché viola gli Articoli 44 e 46 del GDPR, che governano il trasferimento dei dati al di fuori dell’UE.
  • Il Garante ha ammonito l’azienda e ha chiesto loro di adeguarsi al Capo V del GDPR entro 90 giorni, per continuare a trattare i dati personali degli utenti con Google Analytics.
  • Il Garante dovrà essere notificato delle misure adottate e fornirà un riscontro entro i novanta giorni. Inoltre, la direttiva specifica che il mancato riscontro potrebbe risultare nella possibile applicazione della sanzione amministrativa stabilita nell’Articolo 83(5)(e) del Regolamento.

L’uso di una chiave di crittografia da parte dell’azienda coinvolta è stato giudicato insufficiente, perché la chiave era di proprietà di Google LLC. Da ciò deriva che finché la chiave di crittografia è accessibile all’importatore (in questo caso, Google Analytics), le misure adottate non possono essere considerate appropriate.

Inoltre, le misure contrattuali e organizzative non sono state valutate, poiché quest’ultime sono sempre considerate insufficienti se mancano le misure tecniche.

Al momento, le autorità hanno solo dichiarato che sono necessarie delle misure tecniche di sicurezza se si continua a utilizzare Google Analytics. Trovi maggiori dettagli qui.

La decisione menziona iubenda indirettamente perché l’azienda in questione, nei suoi argomenti di difesa, ha affermato di utilizzare il servizio automatizzato di iubenda per gestire la sua privacy e cookie policy.

L’autorità ha scoperto che la versione precedentemente disponibile dell’informativa non descriveva a dovere tutti gli elementi, in conformità con l’Articolo 13 del GDPR sul trasferimento dei dati verso paesi non-UE. Il Garante ha anche notato che le informazioni presenti nell’informativa sono state aggiornate il 23 marzo 2022, rendendola così conforme.

In particolare, l’autorità ha determinato che la versione della privacy policy utilizzata prima del 23 marzo 2022 non era conforme perché non conteneva le informazioni sul trasferimento richieste dagli Articoli 44 e 46 del GDPR:

  1. l’intenzione di trasferire i dati personali verso un paese terzo;
  2. l’esistenza o assenza di una decisione di adeguatezza della Commissione Europea;
  3. se necessario, un riferimento alle appropriate o adeguate misure di sicurezza, ai mezzi per ottenere una copia di queste misure di sicurezza, o dove fosse possibile reperirle.

Il Garante ha determinato che la versione aggiornata della privacy policy risulta conforme a seguito delle modifiche. L’azienda continua a utilizzare i servizi di iubenda.

Sulla base delle decisioni emanate finora, possiamo dedurre che le possibili conseguenza legali siano le seguenti:

  1. L’ordine di identificare delle misure tecniche aggiuntive entro 60 giorni (CNIL) o 90 giorni (Garante).
  2. L’ordine di smettere di utilizzare il servizio e sostituirlo con un’alternativa.

A oggi, non sono state emanate sanzioni economiche per l’uso di Google Analytics.

  • Ultimo aggiornamento

Vedi anche: