- Ma fermi un attimo, se quando navigo su un sito qualche traccia del mio passaggio finisce in America, dov’è il problema?
- Allora perché adesso Google Analytics è illegale in Italia?
- Quindi devo rimuovere Google Analytics dal mio sito?
- E se invece….
- Spengo tutto e metto Matomo (o altro che abbia server in EU)?
- Chiedo il consenso col banner prima di far partire Analytics?
- Sistemo tutto subito, sono a posto?
“Il garante della Privacy dichiara che Google Analytics è illegale in Italia”.
E adesso che succede? Dunque, se hai letto questo titolo o qualcosa di simile sui social, nelle notizie recenti o da qualche altra parte, la prima cosa che ci teniamo a dirti è: occhio alle bufale e non andare nel panico!
Ma iniziamo dal principio e facciamo un passo indietro per spiegare l’accaduto. Il 17 Agosto 2020 il sig. XX entra nel sito di Caffeina Magazine e si rende conto che i suoi dati vengono inviati a Google Analytics, che è in America, quindi invia una segnalazione al Garante della privacy italiano che si vede costretto a intervenire sulla vicenda.
Ma fermi un attimo, se quando navigo su un sito qualche traccia del mio passaggio finisce in America, dov’è il problema?
Il problema è questo: se in Europa un’autorità volesse leggere questi dati dovrebbe andare da un giudice con una motivazione valida e solo dopo l’approvazione potrebbe effettivamente mettere le mani su quei dati e usarli per gli scopi richiesti.
Negli USA, invece, l’intelligence può entrare ovunque senza chiedere il permesso a nessuno e leggere e usare i dati come meglio crede in maniera del tutto legale.
Proprio per regolamentare quali dati dei cittadini europei era possibile esportare verso gli USA, nel 2016 è nato il Privacy Shield. Il nome shield, scudo, non è certo casuale: si tratta di una vera difesa per i cittadini europei contro il rischio di essere troppo esposti.
Allora perché adesso Google Analytics è illegale in Italia?
Come dicevamo all’inizio, occhio alle bufale: non è Analytics ad essere illegale ma soltanto quella particolare configurazione di quel preciso sito, che utilizzava la vecchia versione di Google Analytics (GA3), tra l’altro in dismissione il 1° giugno 2023.
Negli ultimi due anni il sito in questione ha provveduto ad anonimizzare l’IP nascondendone una parte - come richiesto all’epoca dal garante italiano - e implementando la gestione del consenso tramite Iubenda.
Purtroppo però, nel corso delle “indagini”, il garante ha capito che tecnicamente non è più sufficiente rendere “anonimo” l’IP, perché anche così è possibile ricondurre l’attività fatta dal sig. XX sul tuo sito arrivando ad identificarlo come Mario Rossi (nome di fantasia).
Il garante per la privacy si è anche reso contro che ci sono altri segnali che, raccolti durante la navigazione nei vari siti web, permettono ad Analytics (e non solo) di ricomporre il puzzle. E quindi giovedì 9 giugno 2022 il garante è tornato sui suoi passi dichiarando che tale specifica implementazione non rispetta la GDPR.
Quindi devo rimuovere Google Analytics dal mio sito?
Se utilizzi ancora GA3 assolutamente sì! E dovresti farlo il prima possibile perché dal 9 giugno 2022 chi ce l’ha è “fuorilegge”. Eh sì, perché non è proprio possibile impostare questo strumento obsoleto in maniera tale da garantire gli adeguati livelli di sicurezza volti ad impedire alla società americana di fornire i dati a terzi.
Se invece utilizzi GA4 con le dovute impostazioni volte a “non trasmettere al di là dell’oceano nessun elemento che potrebbe concorrere a identificare in maniera univoca un utente” (Avv. Guido Scorza - Componente del GPDP) allora la risposta è NO, probabilmente sei a posto… ma solo in parte!
Perché solo in parte? Primo: perché il provvedimento riguarda un caso specifico e quindi va analizzata, caso per caso, l'implementazione effettuata.
Secondo: perché il principio alla base si applica a tutti gli altri strumenti che hai sul tuo sito (e non solo) che inviano dati al di fuori dell’Europa. Ad esempio, Il Garante Privacy bavarese ha dichiarato illegittimo il trasferimento di dati extra UE tramite Mailchimp, un noto ed utilizzatissimo servizio di newsletter. Ma che dire allora di Ads, Hotjar, del pixel di Facebook o dei CRM? Dove salvano i dati?
Stiamo seguendo giorno per giorno la situazione molto da vicino per capire come si evolverà, sperando che nel più breve tempo possibile Europa e America facciano “tana libera tutti” aggiornando il Privacy Shield. Per il momento, però, possiamo dirti di non andare nel panico e di limitarti ad intraprendere le azioni strettamente necessarie richieste dal garante italiano.
E se invece….
Spengo tutto e metto Matomo (o altro che abbia server in EU)?
Forse è un po’ drastica come soluzione, ma se non hai interesse a collegare strumenti utili alle tue analisi o altri tool di marketing, come ad esempio Google Ads, allora va bene.
Sappi che costa 200$ anno oppure lo puoi installare sul tuo server in maniera gratuita, ma il server deve essere a prova GDPR perché se qualcuno riuscisse a entrare e rubare i dati allora l’illecito sarebbe molto peggiore che inviare qualche cookie in America.
Chiedo il consenso col banner prima di far partire Analytics?
Teoricamente una delucidazione sul banner in cui dici che i dati potrebbero andare negli USA potrebbe bastare, ma rimane il fatto che sarebbe strano chiedere a un utente “Sei d’accordo con me nel commettere questo reato?”...
Quindi l’Avv. Guido Scorza ha precisato: “Solo se il dato è dotato di tecniche organizzative tali da abbattere il rischio di un accesso da parte delle agenzie di intelligence americane o altri terzi” va bene chiedere il consenso, “perché di fatto il consenso non basta a superare il carattere insicuro di come viene trattato il dato in quel paese” ovvero gli USA.
Sistemo tutto subito, sono a posto?
Parliamo di retroattività. Probabilmente ti stai chiedendo se ti potrebbero perseguire per vecchi trasferimenti di dati.
Teoricamente sì, ma come ha espressamente detto l’Avv. Guido Scorza: “Se si è consumato un illecito ormai l’illecito c’è […] l’intento del GPDP è preoccuparsi più del futuro che del passato, preoccuparsi più di bloccare il trasferimento verso gli USA che non andare a sanzionare chi si è ritrovato più vittima che carnefice”.
Quindi chi si muove subito per sistemare il proprio stato con idonee misure tecniche non deve “aspettarsi un accanimento sanzionatorio né da parte dell'Italia né da parte dell’Europa”.
In ogni caso, se hai bisogno di aiuto - o semplicemente vuoi fugare qualsiasi dubbio - non esitare a contattarci. Siamo sempre aggiornati sugli ultimi sviluppi e ci rendiamo perfettamente conto che la questione è piuttosto complessa per chi non è del mestiere.
Proprio per questo ti consigliamo di non improvvisare, ma di rivolgerti a chi si occupa delle questioni legali della tua azienda e della gestione della privacy nello specifico. Magari è già tutto a posto così com’è, o magari devi intervenire velocemente. Una volta che hai capito se, come e dove, noi siamo qui, e di questioni tecniche ce ne intendiamo un bel po’!