Iubenda logo
Inizia la generazione

Documentazione

Indice dei contenuti

Google Analytics è illegale in Europa e Regno Unito?

📢 Aggiornamento importante: è stato approvato il quadro UE-USA per la protezione dei dati personali! 🌍🤝

Alla luce di questo importante risultato, abbiamo aggiornato la nostra documentazione includendo le informazioni più recenti. Per rimanere aggiornati sul nuovo accordo sulla privacy tra UE e USA e sulle sue implicazioni, ti invitiamo a leggere il nostro ultimo articolo.

🔍 Scopri le ultime novità sul: trasferimento dei dati personali tra UE e USA

Grazie per il tuo continuo supporto e per affidarti a noi per affrontare importanti questioni globali!

Potresti aver letto che Google Analytics è stato dichiarato illegale in Europa o che violi il GDPR. Come per tutto ciò che riguarda argomenti di questo tipo, non è sempre così semplice. Abbiamo scritto questo articolo per spiegarti meglio di cosa si tratta, cosa è stato deciso finora e come ciò potrebbe incidere sul tuo uso di Google Analytics in Europa.

Risiedi nel Regno Unito? Allora questo articolo è anche per te, visto che il GDPR si applica ancora al Regno Unito come “UK GDPR.” 

In breve

👉 Cosa è successo: Diverse Autorità per la protezione dei dati europee hanno rilevato che il trattamento dei dati di utenti europei da parte di Google Analytics potrebbe risultare in un trasferimento di dati illegale al di fuori dell’Europa. Le Autorità hanno giudicato le misure di conformità di Google Analytics insufficienti, a seguito di un’indagine che ha riguardato l’uso di Google Analytics 3. Ecco perché →

👉 La risposta di Google: In parte a seguito di questa situazione riguardante Google Analytics, Google ha rilasciato Google Analytics 4 per cercare di far fronte ad alcune di queste problematiche.

👉 Devi smettere completamente di utilizzare Google Analytics?Non c’è una risposta definitiva a questa domanda, dal momento che l’indagine è ancora in corso. Alcune Autorità per la protezione dei dati personali, come il Garante italiano, hanno affermato che per continuare a utilizzare Google Analytics, sono necessarie delle misure di sicurezza aggiuntive. Google Analytics 4 cerca di far fronte alle problematiche principali, ma dato che l’indagine delle Autorità si è basata su Google Analytics 3, per ora non c’è modo di sapere se l’uso di GA4 sarà considerato sufficiente. Qui trovi maggiori informazioni su cosa fare → 

Qual è la motivazione giuridica alla base della decisione su Google Analytics?

Per capire le recenti decisioni che hanno riguardato Google Analytics 3, dobbiamo tornare alla sentenza Schrems II, emessa dalla Corte di Giustizia dell’Unione Europea nel luglio del 2020.

Schrems II ha dichiarato non valido il “Privacy Shield“. Il Privacy Shield permetteva e legittimava il trasferimento dei dati tra Stati Uniti e Unione Europea. Visto che il framework è stato invalidato, qualsiasi trasferimento di dati tra UE e USA è proibito, a meno che i partecipanti (come i titolari o i responsabili del trattamento) non implementino misure aggiuntive per adeguarsi agli standard europei (per la protezione dei dati).

Ora potresti chiederti: come mai i trasferimenti di dati senza precauzioni aggiuntive sono proibiti tra UE e USA? Il motivo risiede nel CLOUD ACT, che richiede alle aziende con sede negli Stati Uniti, come Google Analytics, di trasmettere i dati in loro possesso, custodia o controllo alle agenzie governative degli Stati Uniti, indipendentemente dal fatto che i dati siano conservati dentro o fuori gli Stati Uniti.

Le Autorità per la protezione dei dati di Francia, Austria, Danimarca e Italia hanno rilevato che il trattamento dei dati degli utenti europei eseguito da Google Analytics potrebbe risultare in un trasferimento illegale al di fuori dell’Europa. Le Autorità europee hanno svolto le loro indagini a seguito di una serie di reclami.

Di conseguenza, le Autorità hanno giudicato le misure di conformità di Google Analytics 3 insufficienti.

Panoramica per paese

Segui lo svolgimento di questo caso e rimani aggiornato sulle ultime decisioni:

Continueremo ad aggiornare questo articolo con l’evolversi della situazione. Ultimo aggiornamento: 27 giugno 2022

Il 23 giugno 2022, il Garante per la protezione dei dati italiano si è allineato con le Autorità di Francia, Austria e Danimarca, rilasciando un provvedimento che ordina all’organizzazione coinvolta di verificare che il suo uso di cookie e altri strumenti di tracciamento sia conforme con le normative per la protezione dei dati, con particolare attenzione a Google Analytics 3 e altri servizi simili.

I siti web che utilizzano Google Analytics 3, senza le garanzie previste dal Regolamento Ue, violano la normativa sulla protezione dei dati perché trasferiscono i dati negli Stati Uniti, paese privo di un adeguato livello di protezione.

Punti chiave

👉 Il Garante ha pubblicato questa decisione a seguito di un’accurata indagine.

👉 L’indagine ha rivelato che le organizzazioni che usano Google Analytics 3 raccolgono, attraverso i cookie, dati su come gli utenti interagiscono con i siti web, incluse le specifiche pagine visitate e i servizi utilizzati.

👉 L’indirizzo IP del dispositivo dell’utente, i dettagli del browser, il sistema operativo, la risoluzione dello schermo, la lingua selezionata e la data e l’ora della visita al sito web rientrano nei dati raccolti. Nella decisione del Garante è stato enfatizzato che l’indirizzo IP costituisce dato personale e che, anche se anonimizzato, Google sarebbe comunque in grado di risalirvi, grazie ai dati e alle capacità a sua disposizione. Ecco perché il trattamento è stato dichiarato illegale.

L’Autorità per la protezione dei dati francese (CNIL) ha rilasciato un provvedimento il 10 febbraio 2022, ordinando a un gestore di un sito francese di adeguarsi al Regolamento generale sulla protezione dei dati (GDPR) e di interrompere l’uso di Google Analytics 3.

La CNIL ha recentemente pubblicato delle FAQ sull’argomento. La CNIL ha pubblicato questo documento per chiarire qualsiasi dubbio riguardo la sua decisone del 10 febbraio. Tuttavia, non è stato aggiunto niente di nuovo rispetto a quello che era stato già annunciato nella decisione dell’Autorità.

Punti chiave

Per quanto riguarda le FAQ, non ci sono particolari cambiamenti rispetto a quello che l’Autorità aveva già dichiarato nella sua decisione del 10/02/22. Semplicemente, le argomentazioni sono state riportate in maniera più schematica:

👉 Le misure aggiuntive messe in atto da Google Analytics 3 non sono sufficienti per prevenire l’accesso ai dati da parte delle agenzie governative statunitensi secondo il CLOUD Act;

👉 Il gestore del sito ha un mese di tempo per smettere di utilizzare il servizio e trovare un’alternativa che sia conforme;

👉 Può essere considerato l’utilizzo di server proxy che permettono, quando configurati correttamente, di inviare solo dati pseudonimizzati ai server localizzati al di fuori dell’UE.

L’Autorità per la protezione dei dati austriaca (DSB) ha pubblicato una decisione il 22 aprile 2022, in cui stabilisce che un gestore di un sito web europeo stava violando l’Articolo 44 del GDPR.

Punti chiave

👉 La DSB ha spiegato che, utilizzando Google Analytics 3, il gestore del sito web ha dato accesso a Google LLC alle informazioni sul browser, gli indirizzi IP e gli identificatori univoci dell’utente.

👉 Sebbene il gestore del sito web abbia dimostrato l’esistenza di clausole contrattuali standard (CCS) con Google LLC, la DSB ha comunque stabilito che queste CCS non garantivano un livello di protezione adeguato, come richiesto dall’Articolo 44 del GDPR.

👉 La DSB ha stabilito che il Capo V del GDPR non poteva essere soddisfatto utilizzando Google Analytics 3. Il gestore del sito web ha smesso di utilizzare il servizio prima della conclusione della procedura di reclamo, quindi non sono state necessarie ulteriori azioni da parte dell’Autorità.

In un comunicato stampa, l’Autorità per la protezione dei dati danese (Datatilsynet) ha dichiarato,

se si utilizza Google Analytics, è necessario predisporre un piano per rendere il proprio uso (di Google Analytics) conforme, attraverso delle misure di sicurezza aggiuntive.

L’autorità ha menzionato l’uso della pseudonimizzazione come esempio di misura tecnica adeguata. La Datatilsynet rimanda anche alle linee guida create dall’Autorità francese, per quelle organizzazioni che desiderano utilizzare una pseudonimizzazione efficace tramite la cosiddetta reverse proxy.

Punti chiave

👉 L’Autorità per la protezione dei dati danese preparerà un testo riassuntivo a partire dalla sentenza austriaca e dalle altre future decisioni riguardo l’uso di Google Analytics.

👉 La Datatilsynet ha sottolineato la necessità per tutte le Autorità europee di avere una visione comune sulla decisione, dal momento che riguarda una serie di norme condivise.

Cosa cambia con Google Analytics 4?

In parte a seguito della discussione riguardante Google Analytics, Google ha rilasciato Google Analytics 4 per cercare di far fronte ad alcune di queste problematiche.

  • Google Analytics 4 inizialmente utilizza gli indirizzi IP per determinare le informazioni sulla posizione (paese, città, latitudine e longitudine della città) e poi li elimina prima di inserire i dati in qualsiasi centro dati o server, come descritto da Google qui.
  • Google Analytics 4 permette anche dei controlli a livello territoriale e delle opzioni di personalizzazione che consentono di minimizzare la raccolta dei dati degli utenti.

Per maggiori informazioni su Google Analytics 4 consulta questa guida.

Cosa devo fare adesso?

Dato che è ancora difficile valutare l’impatto della decisione riguardo Google Analytics, ogni organizzazione dovrà decidere autonomamente come comportarsi.
Dal momento che il problema principale è il trasferimento di dati europei negli Stati Uniti e tutti i potenziali rischi associati, potrebbe essere una buona idea:

  • passare a un servizio di analytics con sede fuori dagli Stati Uniti, o
  • se scegli di continuare a utilizzare Google Analytics, dovresti aggiornarlo a GA4*, applicando le misure aggiuntive disponibili tra le impostazioni.

*Tuttavia, tieni presente che, dal momento che le indagini delle Autorità di protezione dei dati si sono basate su Google Analytics 3, non è possibile ancora sapere con certezza se le Autorità riterranno sufficiente l’utilizzo di GA4.

Se scegli di continuare a utilizzare Google Analytics, ecco alcune cose che puoi fare per essere il più conforme possibile:

  1. Puoi limitare la raccolta di dati utilizzando i controlli della privacy di Google, che vanno dal restringere le funzioni pubblicitarie al disattivare completamente la raccolta di dati.
  2. Puoi eseguire una valutazione interna su Google Analytics per determinare se alcune o tutte le metriche sono necessarie alla tua attività. Google Analytics 4 adesso ti permette di: disattivare la raccolta di dati di Google Signals in base all’area geografica e disattivare la raccolta di dati granulari in base alla posizione
  3. Alla luce delle FAQ del CNIL sull’argomento, vale la pena menzionare i server proxy. Utilizzando un server proxy potrebbe essere possibile evitare il trasferimento illecito di dati personali.

FAQ

Le Autorità per la protezione dei dati hanno scoperto che i trasferimenti di dati verso gli Stati Uniti non hanno lo stesso livello di protezione dell’UE.

Questa situazione deriva da una serie di leggi statunitensi che permettono alle organizzazioni governative di richiedere accesso ai dati personali di servizi con sede negli Stati Uniti, a prescindere da dove si trovino i centri dati o i server.

Alla luce di ciò, NOYB ha presentato 101 reclami alle ADP europee, per dimostrare l’illegalità del trasferimento dei dati di utenti europei negli Stati Uniti. Le decisioni, che hanno verificato l’illegittimità dei trasferimenti, si concentrano sull’analisi di misure tecniche, contrattuali e organizzative aggiuntive.

L’uso di una chiave di crittografia da parte dell’azienda coinvolta è stato giudicato insufficiente, perché la chiave era di proprietà di Google LLC. Da ciò deriva che finché la chiave di crittografia è accessibile all’importatore (in questo caso, Google Analytics), le misure adottate non possono essere considerate appropriate.

Inoltre, le misure contrattuali e organizzative non sono state valutate, poiché quest’ultime sono sempre considerate insufficienti se mancano le misure tecniche.

Sulla base delle decisioni emanate finora, possiamo dedurre che le possibili conseguenza legali siano le seguenti:

  1. L’ordine di identificare delle misure tecniche aggiuntive entro 60 giorni (CNIL) o 90 giorni (Garante).
  2. L’ordine di smettere di utilizzare il servizio e sostituirlo con un’alternativa.

Nota bene: a oggi, non sono state emanate sanzioni economiche per l’uso di Google Analytics.

*Continuiamo a seguire l’evoluzione di questo caso e ti aggiorneremo con gli ultimi sviluppi. Salva questa pagina nei preferiti per rimanere sempre aggiornato!