Studio Legale Chiricosta & Crea
Quel “pasticciaccio brutto” di Google Analytics
Il nostro Garante della privacy, sulla scia di quanto già pronunciato dai suoi omologhi francese, austriaco e danese, e soprattutto dopo la pronuncia della Corte di Giustizia Europea (C-311/18, del 16 luglio 2020 -c.d. Schrems II) il 9/6/2022 ha pronunciato un primo provvedimento sanzionatorio contro l’utilizzo di Google Analytics, che potete leggere al seguente link:
https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9782890.
Invito tutti a leggere chiaramente il provvedimento, perché sui social rimbalza la (falsa) notizia che il garante abbia sanzionato Google Analytics: niente di più lontano dalla realtà. Il Garante ha sanzionato una società perché verificava il traffico dati sul proprio sito a mezzo appunto di Google Analytics, che “traccia” il traffico internet a mezzo dei cookies e di altri strumenti analoghi, producendo dati massivi (e anonimi) a disposizione del webmaster e soprattutto del titolare del sito.
La sanzione nasce da fatto che, in ipotesi, Google potrebbe “fisicamente” conservare tali dati (facendo uno sforzo di immaginazione per la fisicità di tali dati) nei propri server situati negli Stati Uniti anziché in quelli situati in Europa; se immaginate Google come un enorme computer in America vi sbagliate: Google possiede dei Server (in pratica enormi edifici con all’interno centinaia di computer, ciascuno grande come un armadio, e tutti collegati tra loro) in ogni continente, e nonostante Internet dia l’impressione di funzionare in tempo reale, tra un server in Europa e un server negli Stati Uniti c’è un tempo di latenza di svariati secondi, che moltiplicato per miliardi di sessioni fa una grande differenza.
Tutto ciò vuol dire che, nella stragrande maggioranza dei casi, i dati dei siti italiani si trovano nei server europei di Google (ce ne sono sei, ma nessuno in Italia), anche se Big G si riserva di effettuare un “trasloco” (cosa che in effetti è realmente successa nel singolo caso trattato dal Garante, e comunicata ufficialmente da Google), e, sempre in ipotesi, tali dati potrebbero essere ottenuti dalle autorità governative americane senza passare dalle autorità giudiziarie, e/o comunque senza le tutele previste dagli ordinamenti GDPR europei ed italiano in particolare.
E, sempre in ipotesi, Google ha gli strumenti tecnici per identificare i singoli indirizzi IP, e con quelli i numeri di cellulare, oltre a svariati dati sensibili (per esempio a tutto quello che pubblichiamo sui nostri social, per dire…).
Il problema è quindi la possibilità che i nostri dati (soprattutto cookies e indirizzi IP) vengano trattati in violazione del GDPR, ma ad essere sanzionata, ricordiamo, è stato il singolo sito internet, non Google che, avendo sede negli Stati Uniti, non è tenuta al rispetto delle norme europee e soprattutto non è sanzionabile dal nostro garante.
Perché questa pronuncia ha fatto così tanto rumore?
Perché Google Analytics è lo strumento più utilizzato dai webmaster (ma si usa ancora questo termine?) di tutto il mondo, perché è estremamente raffinato, performante, ma soprattutto completamente gratuito. Le alternative valide esistono, ma sono tutte a pagamento, mentre gli strumenti gratuiti non sono lontanamente paragonabili allo strumento di Google.
Ma anche per il tempo impiegato per utilizzarlo. Nel caso di un piccolo sito web, un webmaster improvvisato (ossia quando non si disponga di un team di IT…) ha dovuto: studiare un programma (in inglese) di settimane, con tanto di esame finale da superare necessariamente a pieni voti; il collegamento del proprio sito a Google Analytics (operazione che può portar via un paio di giorni); la personalizzazione di Analytics alle proprie esigenze (sperimentazione che può durare settimane o anche mesi); analisi periodica dei risultati. Dopo tutto ciò, è comprensibile come leggere on line titoli come “Google Analytics illegale in Italia…” abbia letteralmente gettato nel panico migliaia di sviluppatori, che avrebbero sprecato mesi di lavoro per dover ricominciare da capo.
Ma naturalmente Google è a conoscenza della situazione da tempo, tanto è vero che il prossimo aggiornamento (Google Analitics 4) prevede degli strumenti per “anonimizzare” i dati, e rendere comunque impossibile risalire ai singoli indirizzi IP, oltre a prevedere (ma su questo non sono sicuro) la possibilità di impedire la conservazione a lungo termine dei dati sui server americani. La pronuncia del nostro Garante va quindi presa come riferimento per poter continuare a gestire i dati sul traffico con uno strumento di analisi (che può benissimo essere Google Analytics 4), ma nel rispetto delle direttive indicate. Invito gli interessati (sviluppatori web) a leggersi il provvedimenti del Garante al link da me indicato, prima di cancellare il proprio profilo e a ricominciare tutto da capo.
Scrivi commento