Il provvedimento del Garante

Il sito web che utilizza il servizio Google Analytics (GA), senza le garanzie previste dal Regolamento Generale per la protezione dei dati UE/2016/679 (di seguito GDPR) in particolare quelle previste dal capo V – Trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali , viola la normativa perché trasferisce negli Stati Uniti, Paese privo di un adeguato livello di protezione, i dati degli utenti.

Per la prima volta, con il provvedimento del 9 giugno 2022, l’Autorità di Controllo italiana ammonisce una Società per l’uso dei Google Analytics, già messi al bando da precedenti sentenze emanate dall’Autorità francese per la protezione dei dati a febbraio 2022, e da quella austriaca a gennaio 2022, ribadendo l’illiceità del trasferimento di dati negli Stati Uniti senza garanzie sufficienti per i diritti degli utenti europei.

Inoltre, le Autorità di Controllo menzionate impongono alle Società attenzionate di conformarsi al GDPR e, se necessario, di evitare l’utilizzo dello strumento nelle condizioni attuali.

Il provvedimento in questione, oltre al trasferimento negli Stati Uniti ritenuto illegale, contesta altre infrazioni al GDPR quali: la corretta identificazione del Titolare e del Responsabile del trattamento, l’idonea informativa ai sensi dell’art. 13, nonché le violazioni dei principi di Trasparenza, Correttezza e Responsabilizzazione del Titolare del trattamento (Accountability).

Come realizzare e mantenere un sito GDPR compliant

Un approccio alla compliance del sito web al GDPR, corretto e responsabile, può attenuare – se non evitare – le prescrizioni del provvedimento stesso.

A tal proposito si ricorda che SOLUZIONI, lo scorso 7 giugno, ha realizzato il webinar dal titolo “SITI WEB E COMPLIANCE GDPR: amici, nemici o semplici conoscenti?”, il cui video è consultabile accedendo all’area riservata del sito, e durante il quale sono state illustrate le modalità e gli aspetti fondamentali per un approccio corretto alla compliance, funzionale a favorire lo sviluppo duraturo delle attività dell’impresa.

Vuoi saperne di più?

Sono disponibili dei contenuti gratuiti aggiuntivi nella nostra area riservata
Registrati ora!
REGISTRAZIONE

Strategia di marketing, vincoli tecnici e giuridici: a cosa servono?

Il primo punto fondamentale per definire un corretto approccio consiste nel coordinare gli obiettivi strategici di marketing con i vincoli tecnici, dettati dagli strumenti utilizzati per tradurre in azioni gli obiettivi stessi, e con i vincoli prescritti dalle normative di riferimento (tra le quali il GDPR risulta essere la principale fonte di riferimento). In sostanza, se la strategia di marketing non richiede azioni particolari di marketing digitale a pagamento (quali: Google Ads, Facebook Ad, Bing Ads con operazioni di remarketing, retargeting, segmenti di pubblico e cose simili) l’illiceità del trasferimento dei dati raccolti verso gli Stati Uniti si può risolvere con una delle possibili soluzioni alternative Home Made in UE, dove lo specifico vincolo tecnico del trasferimento non è presente.

Il problema rimane nei casi in cui gli obiettivi della strategia di marketing richiedano servizi digitali a pagamento, per il quale, ad oggi, tecnicamente non sono presenti soluzioni di qualità che permettano di evitare il trasferimento dei dati negli Stati Uniti.
Per questi specifici casi, ad oggi, non esiste una soluzione giuridica che tuteli il Titolare in modo completo, fintanto che il legislatore Europeo e quello Statunitense non definiscano un accordo sul trasferimento dei dati personali che sostituisca il Privacy Shield, invalidato dalla sentenza “Schrems II” della Corte di giustizia dell’Unione europea (CGUE) del 16 luglio 2020.

È necessario poi verificare quali dati effettivamente vengono raccolti dal sito web e se questi siano effettivamente riconducibili a quelli personali definiti dall’art. 4 del GDPR, perché, in caso di non presenza di dati personali, allora non sussiste l’obbligo di conformarsi al GDPR e, di conseguenza, di garanzie sufficienti per i diritti degli utenti europei.

Identificabilità dei dati e tracciamento degli utenti

Occorre fare attenzione alla procedura di anonimizzazione o mascheramento degli indirizzi IP suggerita da Google (https://support.google.com/analytics/answer/2763052?hl=it), in quanto da una recente analisi effettuata dall’autorità di controllo francese, tale tecnica non è stata ritenuta affidabile.
Infatti, in seguito a specifica richiesta di chiarimenti da parte dell’autorità di controllo francese, Google ha indicato di utilizzare misure di pseudonimizzazione, ma non l’anonimizzazione. Google offre una funzione di anonimizzazione dell’indirizzo IP, ma non è applicabile a tutti i trasferimenti. Inoltre, gli elementi forniti da Google non consentono di determinare se tale anonimizzazione avvenga prima del trasferimento negli Stati Uniti.

A ciò si aggiunga che il solo uso di identificatori univoci per differenziare le persone può aiutare a rendere i dati identificabili, specialmente se combinati con altre informazioni come i metadati del browser e del sistema operativo. Questi dati consentono il tracciamento preciso degli utenti, in alcuni casi su più dispositivi separati.

L’utilizzo della pseudonimizzazione, come misura aggiuntiva, è subordinata ad un’analisi volta a garantire che tutte le informazioni trasmesse non consentano in alcun modo una possibile identificazione della persona, anche tenendo conto delle ingenti risorse a disposizione di Google stessa.

Oltre a ciò, l’utilizzo di Google Analytics insieme ad altri servizi Google, compreso il marketing, può amplificare il rischio di tracciamento. In effetti, questi servizi, ampiamente utilizzati, possono consentire il controllo incrociato dell’indirizzo IP e quindi tracciare la cronologia di navigazione della maggior parte degli utenti di Internet su un gran numero di siti.

Le possibili soluzioni

  • Si può ipotizzare una soluzione che permetta di coinvolgere un server proxy (o “proxy”) per evitare qualsiasi contatto diretto tra il dispositivo dell’utente Internet ed i server di Google Analytics, ma occorre garantire che questo server soddisfi una serie di criteri per poter ritenere che questa misura aggiuntiva sia in linea con quanto previsto dal GDPR (Raccomandazioni del Comitato europeo per la protezione dei dati – EDPB – del 18 giugno 2021).
  • Un altro scenario che SOLUZIONI sta monitorando è la migrazione da Google Analytics Universal al nuovo Google Analytics 4. Infatti, Google ha annunciato che il 1° luglio 2023 le proprietà Universal Analytics standard non elaboreranno più i dati e, trascorsa questa data, si potranno visualizzare i report di Universal Analytics per un periodo di tempo. Tuttavia, i nuovi dati verranno trasmessi solo alle proprietà Google Analytics 4.
    Questa nuova soluzione di Google contiene diverse opzioni di personalizzazione che permettono di minimizzare la raccolta dei dati, non memorizza gli indirizzi IP e, soprattutto permette il controllo da parte dell’utente dei dati raccolti, uno degli aspetti fondamentali del GDPR. Purtroppo, non si ha la certezza che il trasferimento dei dati riguardi solo quelli non personali, come definito dal GDPR stesso, e tantomeno Google non ha confermato la conformità alla normativa di riferimento sulla protezione dei dati.

  • In ultima istanza, si può valutare la fattibilità del consenso esplicito degli interessati al trasferimento dei dati personali (come strumento di deroga in specifiche situazioni – art. 49 del GDPR). Tuttavia, il ricorso a una deroga non può diventare la regola generale, come indicato nelle linee guida del Comitato Europeo per la Protezione dei Dati (European Data Protection Board – EDPB); tali deroghe possono essere utilizzate solo per trasferimenti non sistematici e non possono costituire una soluzione duratura e a lungo termine.

Conclusioni

In attesa delle novità che emergeranno dalla trattativa avviata dal legislatore europeo con quello statunitense – che purtroppo richiederà tempi non brevi – per definire un nuovo accordo di adeguatezza sul trasferimento dei dati personali, si raccomanda di:

Definire bene gli obiettivi della strategia di marketing per valutare la necessità o meno di servizi digitali a pagamento.

Nel caso in cui siano necessari servizi digitali a pagamento, la soluzione non può essere uguale per tutte le situazioni o per tutti i titolari.

Consigliamo quindi di consultare il proprio consulente esperto in materia di protezione dei dati, o nei casi previsti, il DPO (Data Protection Officer) per trovare la soluzione su misura per le proprie esigenze.

Contatta un consulente

Avere cura delle esigenze del cliente è alla base dei nostri servizi di consulenza e della nostra formazione. Favoriamo la costruzione di relazioni di partnership con i clienti per gestire insieme la crescita della loro impresa.


    (*) per i campi contrassegnati da * la compilazione è obbligatoria.

    Ho letto l’Informativa sulla Privacy e la Privacy Policy e autorizzo il trattamento dei miei dati personali per le finalità descritte al paragrafo “Esecuzione di attività richieste dall’interessato” dell’Informativa
    [la mancata autorizzazione al trattamento comporta l’impossibilità di svolgere le attività richieste]

    Presto il consenso al trattamento dei miei dati personali per le finalità descritte al paragrafo “Gestione di documentazione tecnico-informativa” dell’Informativa
    [il mancato consenso impedisce l’invio di documentazione tecnica e di contenuti di aggiornamento tecnico]

    Presto il consenso al trattamento dei miei dati personali per le finalità descritte al paragrafo “Gestione iniziative di informazione tecnica, pubblicitaria e promozionale” dell’Informativa
    [il mancato consenso impedisce l’aggiornamento in merito ai nostri servizi, l’invito a nostri eventi gratuiti e la partecipazione a nostre iniziative a condizioni riservate]