Cosa dobbiamo fare con Google Analytics?

Molte aziende che gestiscono siti web, anche ai fini marketing, si/ci stanno chiedendo cosa fare con il tool Google Analytics dopo la pronuncia del Garante italiano per la protezione dei dati personali dello scorso 23 giugno.

In questa sede, volutamente non entro nel merito del provvedimento, il cui contenuto - nelle ultime settimane - è stato oggetto di una attenta analisi da parte di esperti del settore. In estrema sintesi,  il Garante ha accertato che i trattamenti dei dati personali effettuati da una società operante nel settore del marketing con il tool di GA (versione 3) fossero illeciti, ai sensi dell’art. 5, par. 1, lett. a) e par. 2, all’art. 13, par. 1, lett. f), all’art. 24, e agli artt. 44 e 46, del Regolamento UE 2016/679.

Di seguito le domande più ricorrenti che le aziende si/ci pongono:

1. Ci possiamo fidare di Google, la quale sostiene che GA4 è compliant al GDPR in quanto gli indirizzi IP degli utenti vengono adeguatamente e definitivamente anonimizzati?
2. Se otteniamo il consenso degli interessati all'utilizzo dei cookies come GA, precisando che i dati personali vengono trasferiti in US, ancorché anonimizzati (secondo Google Italia), il trattamento è lecito?    
3. Esistono alternative a GA che possiamo considerare?
4. Disabilitare GA da tutti i siti web che gestiamo comporta un enorme impegno, sia in termini temporali (ore di lavoro), che di impiego di risorse aziendali. Chi sostiene questi costi?    
5. Come dobbiamo comportarci rispetto alla richiesta di cancellazione dei dati pervenuta da un certo sig. Federico Leva? Possiamo non rispondere? E' spam? E' una truffa? E' phishing?
6. Quanto tempo è necessario attendere prima che UE e US disciplinino il trasferimento dei dati personali verso gli US?

La risposta ad alcune di queste domande è tutt'altro che agevole, o meglio, necessiterebbe di una serie di approfondimenti di natura tecnico-legale. Tuttavia, cercherò di essere quanto più sintetico e pragmatico possibile.

GA è uno strumento di web analytics fornito da Google ai gestori di siti internet che consente a questi ultimi di analizzare, attraverso un codice di tracciamento di Google (GATC, Google Analytics Tracking Code), dettagliate statistiche sugli utenti nell’ottica di ottimizzare i servizi resi e di monitorare le proprie campagne di marketing.

I dati raccolti con GA consistono in: (i) identificatori online unici che consentono sia l’identificazione del browser o del dispositivo dell’utente che visita il sito web, sia del gestore stesso del sito (attraverso l’ID account Google); (ii) indirizzo, nome del sito web e dati di navigazione; (iii) indirizzo IP del dispositivo utilizzato dall’utente; (iv) informazioni relative al browser, al sistema operativo, alla risoluzione dello schermo, alla lingua selezionata, nonché a data e ora della visita al sito web.

Google Italia sostiene: (a) di avere attivato in GA (versione 4) l’opzione denominata “IP-Anonymization” che comporterebbe l’invio dell’indirizzo IP dell’utente previo oscuramento dell’ottetto meno significativo, e quindi, un dato anonimizzato; (b) che i server per "far girare" il tool di GA4 sarebbero situati in Europa, e quindi, verrebbe meno il trasferimento di dati in US.

In merito alle risposte di Google Italia, "semplicistiche" a mio avviso, è necessario considerare due aspetti:

1. il Garante privacy italiano sostiene che l’“IP-Anonymization” non consiste, di fatto, in una reale pseudonimizzazione del dato relativo all’indirizzo di rete dell’utente, in quanto il troncamento dell’ultimo ottetto non impedisce a Google LLC di re-identificare l’utente stesso, tenuto conto delle informazioni relative agli utenti del web detenute da Google. Inoltre, Google LLC ha la possibilità − qualora l’interessato abbia effettuato l’accesso al proprio profilo Google − di associare l’indirizzo IP ad altre informazioni aggiuntive già in suo possesso (quali le informazioni contenute nell’account utente). Tale operazione, pertanto, nonostante l’attivazione dell’“IP-Anonymization”, consente comunque la possibile re-identificazione dell’utente. Il Garante, rispetto all'utilizzo di GA4 (obbligatorio dal 2023), ha affermato che non ha avuto occasione di esaminare la 4° versione de tool, ma in ogni caso, per rendere il servizio conforme al GDPR non è sufficiente che gli indirizzi IP degli utenti siano cancellati da Google un istante dopo la raccolta, né che siano trasferiti nella disponibilità di Google LLC, altri dati che consentano a quest’ultima (in qualità di responsabile del trattamento) la re–identificazione dell'utente.
2. La normativa US impone agli operatori statunitensi che gestiscono Big Data (Google LLC, Meta, Microsoft, etc.) di inviare alle autorità statunitensi (CIA, NSA, etc.) anche i dati raccolti fuori dal territorio US dalle società controllate da quest'ultime in UE, come Google Italia, anche se i server non sono allocati in US.    

Rispondo alle domande:

1. Tendenzialmente, no! L’attuazione del principio di accountability (imposto dal GDPR) con riferimento ai trasferimenti di dati verso paesi terzi, pone in capo al titolare del trattamento, in qualità di esportatore, la responsabilità di verificare, caso per caso e, ove necessario, in collaborazione con l’importatore nel paese terzo, se la legge o la prassi di quest’ultimo incidano sull’efficacia delle garanzie adeguate contenute negli strumenti di trasferimento di cui all’art. 46 del GDPR. Pertanto, i titolari del trattamento - in attesa di una normativa che disciplini il trasferimento dei dati UE-US che ci auguriamo non tardi ad arrivare- non potranno più "giustificarsi" adducendo, da un lato le "rassicurazioni" tecniche fornite da Google, e dall'altro, la carenza (reale) di un potere contrattuale con Google.
2. La soluzione di raccogliere il "consenso" degli interessati, specifico all'utilizzo di GA e conseguente trasferimento dei dati all'estero, non mi convince per una serie di ragioni: (a) E' di difficile applicazione pratica, in quanto il titolare del trattamento, all'interno di un banner (soluzione ipotizzabile), dovrebbe informare adeguatamente l'interessato di tutto ciò che avviene con l'utilizzo del tool, con un quasi certo rifiuto dell'interessato. (b) Il consenso deve essere "informato", e considerando la preparazione e conoscenza "media" è difficile ipotizzare che l'interessato possa comprendere adeguatamente tutti gli aspetti e le criticità sottese a questo specifico trattamento (anche sotto un profilo prettamente giuridico) per rendere il suo consenso specifico; (c) Non credo, in ogni caso, che il consenso dell'interessato possa "superare" le criticità derivanti dalla carenza di una normativa di riferimento che disciplini e regolamenti il trasferimento dei dati tra UE e US.
3. Esistono delle alternative all'utilizzo di GA: (a) utilizzare soluzioni presenti sul mercato come Matomo, Piwik Pro, Plausible, Open Web Analytics, etc, oppure (b) creare una infrastruttura proxy che provveda all’anonimizzazione dei dati raccolti dal sito web prima di trasmetterli a Google, di modo da non rendere identificabili i visitatori del proprio sito. Quindi, il proxy dovrebbe preoccuparsi di sostituire i dati riferibili alla macchina dell’utente (sistema operativo, modello di computer, risoluzione e dimensione dello schermo, browser in uso…) con altri di fantasia, rendendo così impossibile a Mountain View di risalire all’effettiva identità di ogni visitatore. Ovviamente il server proxy deve essere compliant al GDPR ed essere collocato all’interno dello Spazio Economico Europeo.
4. Sicuramente disabilitare il tool GA da tutti i siti rappresenterà un costo, anche in termini di minore efficacia delle campagne di marketing, che tutti i titolari di siti web (titolari del trattamento) dovranno - in via precauzionale - sopportare per evitare di incorrere, sia in accertamenti da parte del Garante Privacy, che dalle eventuali (e il più delle volte, pretestuose) richieste di risarcimento di presunti danni da parte degli interessati.
5. E' assolutamente necessario (anzi, obbligatorio) che i titolari del trattamento riscontrino, adeguatamente e tempestivamente, la richiesta di esercizio del diritto di cancellazione da parte del sig. Federico Leva (persona realmente esistente), nella sua qualità di interessato. Diffidate dalle teorie "strampalate" che si leggono sul web. Difatti, tale richiesta - seppur pervenuta in maniera "massiva" a moltissimi titolari del trattamento che gestiscono siti web - necessita di adeguato riscontro, nonché di concrete attività che il titolare del trattamento deve porre in essere per adempiere alle richieste, se del caso, per il tramite del responsabile del trattamento (che gestisce il sito). Non è spam, non è una truffa (in che termini lo sarebbe, non l'ho capito, se viene richiesta soltanto la cancellazione dei suoi dati personali), e non è un'attività di phishing. Difatti, come affermato dallo stesso interessato nel corso di un'intervista, queste richieste hanno la principale finalità di "sensibilizzare" gli utenti del web sull'utilizzo improprio del tool GA da parte di Google e della possibilità di utilizzare (anche) tool open source.
6. E' difficile, per non dire impossibile, prevedere delle tempistiche per la conclusione di un accordo tra UE e US sulla gestione dei trasferimenti dei dati. Ovviamente, non è solo un problema riguardante la gestione della data protection e/o della privacy, ma una questione di prevalenza di poteri geopolitici con conseguenze e ricadute in termini macro-economici rispetto alla gestione dei Big Data.

In conclusione, suggerisco ai titolari del trattamento (ed anche ai loro responsabili del trattamento) di adottare, nel rispetto del principio dell'accountability e della privacy by design, soluzioni precauzionali, adatte e adattabili, alle strutture organizzative di riferimento al fine di garantire un legittimo e lecito trattamento dei dati personali degli interessati.