Google Analytics è illegale? Facciamo chiarezza.

Da qualche settimana, le notizie che hanno coinvolto Google Analytics sul fronte GDPR e le ultime disposizioni del Garante della Privacy hanno letteralmente animato il web.

Titolari di siti, esperti di marketing online, analisti web, programmatori, avvocati del digitale e consulenti in materia di privacy hanno dato il via ad un dibattito decisamente accesso, tra notizie poco chiare, prospettive non rosee, preoccupazioni e tentativi di trovare soluzioni certe.

A scatenare il tutto, il provvedimento del Garante Privacy del 23 giugno 2022 nei confronti di Caffeina Media Srl, seguito ai provvedimenti di autorità giuridiche estere (Francia, Danimarca, Austria) nei confronti di altri attori, con il quale è stato decretato l’utilizzo di Google Analytics non conforme al GDPR.

Vediamo nel dettaglio la questione, cercando di portare chiarezza laddove il caos sembra regnare sovrano.

Google Analytics, privacy e GDPR.

Per entrare nel vivo della discussione con le giuste aspettative, dobbiamo fare alcune precisazioni importanti:

• Il Garante si è pronunciato con un provvedimento diretto ad una specifica società, Caffeina Media Srl, in riferimento ad un reclamo risalente al 2020.
• Il provvedimento non ha avuto natura sanzionatoria, ma ha ammonito l’azienda per l’utilizzo non conforme alle normative di Google Analytics, invitandola a mettere in atto delle azioni che sanassero la situazione contestata come non compliant al GDPR, entro 90 giorni dal pronunciamento.
• La versione di Google Analytics coinvolta in questo provvedimento è la numero 3, ossia Universal Analytics. Oltre a questo, va sottolineato come il Garante, nel valutare l’utilizzo di Analytics, si sia occupato di analizzare la specifica configurazione adottata dalla società nel 2020.

Tutto ciò che significa?

Innanzitutto, che non è il caso di alimentare gli allarmismi cui abbiamo assistito di recente, perché il Garante si è pronunciato su una specifica configurazione (i settaggi adottati dalla società) di una specifica versione (Universal Analytics o GA3) del servizio Google Analytics.

È tuttavia evidente che il provvedimento abbia impatti su più larga scala, date le motivazioni dell’illegalità. Di fatto, viene dichiarato non conforme al GDPR l’utilizzo di Google Analytics 3, ponendo l’accento sull’aspetto del trasferimento dati negli USA.

Utilizzare lo strumento non è di per sé illegale, lo diventa il fatto che i dati personali raccolti siano trasferiti negli Stati Uniti, paese giudicato non in grado di garantire un’adeguata sicurezza in tema di trattamento dei dati secondo gli standard richiesti dalle normative europee. L’elemento principale della scarsa tutela dei dati risiede nella possibilità da parte delle autorità americane di richiedere accesso ai dati raccolti dalle aziende americane. Gli organi governativi USA possono infatti fare richiesta ed entrare in possesso dei dati personali raccolti dalle aziende sotto la loro giurisdizione in qualsiasi momento. Questo aspetto, secondo le autorità europee, non garantisce il pieno rispetto del GDPR e dunque la tutela per i cittadini europei di adeguati livelli di sicurezza.

In questo scenario, i responsabili della NON-compliance sono ovviamente tutti coloro che decidono di utilizzare lo strumento — i proprietari dei siti web –, in quanto titolari del trattamento e non le aziende (Google in questo caso) che forniscono il servizio.

Attenzione in tutto ciò a non generalizzare: non è detto che qualsiasi trasferimento dati in USA sia illegale. Ogni singolo strumento, applicativo, servizio, software, dovrebbe essere analizzato singolarmente per poter stabilire la conformità con il GDPR. E, come evidenziato in più occasioni da diversi esperti, uno stesso strumento potrebbe essere conforme o meno a seconda della tipologia di configurazione con cui è impostato.

Quali spunti di riflessione ci offre questo provvedimento?

Come hanno fatto notare molte personalità di rilievo in ambito giuridico, in realtà la questione, a partire dal caso specifico, si allarga a tutti i trasferimenti Extra UE e a centinaia di altri software e strumenti presenti sul mercato, che andrebbero valutati caso per caso.

Analytics ci offre un “pretesto” per ragionare su un tema di più ampio impatto: è necessario portare avanti la stipulazione di accordi che consentano di allineare le normative dei diversi paesi per garantire adeguati livelli di privacy.

Storicamente l’Europa ha mostrato un livello di attenzione e sensibilità nei confronti dei temi privacy maggiore rispetto ad altre realtà geopolitiche. In un contesto totalmente globale come quello del web, è necessario e fondamentale promuovere iniziative che consentano ai diversi paesi di trovare accordi funzionali a garantire la sicurezza dei dati.

Appare dunque chiaro come il tema richieda una risoluzione e degli interventi ad un livello più alto. La questione pone in luce la necessità che ci siano degli accordi politici e giuridicamente vincolanti tra i diversi Stati affinché la compliance sia effettiva. E questa è la direzione che stanno cercando di perseguire le autorità.

Ferma restando la responsabilità all’accountability in capo ai titolari del trattamento dati (i soggetti che utilizzano Google Analytics sui propri siti), alcuni avvocati esperti in ambito privacy e internet hanno fatto notare come nella realtà quotidiana sia evidente un divario di potere tra aziende proprietarie dei software e utilizzatori degli stessi. Di fatto, per gli utenti che utilizzano servizi come Analytics non c’è alcun modo di contrattare sulle modalità di raccolta, trasferimento e trattamento dei dati: si accettano dei contratti standardizzati per tutti gli utilizzatori.

Questo ovviamente non solleva chi decide di utilizzare Analytics come sistema di tracciamento per i propri applicativi dalle proprie responsabilità (accettando le clausole contrattuali di utilizzo di fatto ci si dichiara consapevoli delle modalità di trattamento), ma apre un ulteriore tema di dibattito di competenza probabilmente dell’Antitrust: l’evidente disparità di potere tra fornitori dei servizi (i grandi colossi come Google, Amazon, ecc.) e loro usufruitori, che di fatto non sono nelle condizioni di contrattare. L’unica scelta è tra avvalersi di questi servizi a queste condizioni e decidere di utilizzare altri servizi terzi.

A proposito di quest’ultima considerazione, una domanda sorge spontanea: esistono delle alternative valide che siano con certezza 100% compliant al GDPR? E non parliamo ovviamente solo di Google Analytics. Perché se il tema è il trasferimento dati all’estero (USA nello specifico), ad oggi la gran parte degli strumenti in ambito web, digital marketing è di proprietà di aziende americane: basti pensare ai principali strumenti di promozione online, come Google Ads, Facebook Ads, ma anche soluzioni CRM o strumenti di email marketing. Ad oggi, bisogna essere obiettivi, il panorama tech non offre alternative così efficaci e complete da parte di realtà europee.

Un ultimo punto di dibattito: cosa si può fare di fronte a strumenti che si dichiarano in linea con il GDPR ma poi di fatto non lo sono? La via delle sanzioni è davvero efficace? Qui il tema è quello di cercare di risolvere il problema alla fonte invece che “accanirsi” contro le realtà che usufruiscono dei servizi; ma quanto fatto finora è parso insufficiente. Le eventuali sanzioni comminate a Google, Amazon, Meta e gli altri colossi spesso rappresentano solo una voce di bilancio aggiuntiva, peraltro irrisoria rispetto ai fatturati miliardari. Pertanto, queste multinazionali non sono minimamente spaventate dalle azioni sanzionatorie, che non possono rappresentare la soluzione definitiva al problema.

In tutto questo contesto è evidente come la poca chiarezza regni sovrana. Sono tanti gli spunti di riflessione che lasciano altrettanti punti aperti.

Cosa fare, dunque? GA4 è la soluzione?

Una precisazione finale in merito al clima di panico che si è generato nelle ultime settimane. Di fatto, la situazione dal punto di vista giuridico, come ricordava in un recente evento online l’avvocato Guido Scorza, membro dell’autorità Garante Privacy, è la stessa da ormai due anni.

Da quando una sentenza della corte europea ha invalidato il Privacy Shield, la normativa americana di riferimento in ambito privacy, in quanto legge che non garantisce un adeguato livello di sicurezza nel trattamento dei dati.

La domanda che si stanno ponendo tutti coloro che utilizzano Google Analytics è: cosa fare ora? È necessario abbandonare Analytics e trovare alternative?

Il consiglio non è certamente quello di allarmarsi e procedere a una migrazione verso altri servizi — aspetto che richiederebbe investimenti cospicui in termini di risorse, economiche e non, soprattutto per grandi aziende — ma di iniziare a valutare delle soluzioni alternative.

Nelle prossime settimane dovrebbero essere portate avanti delle iniziative sul fronte accordi tra USA e EU, per muoversi nella direzione di risolvere la compliance a livello legislativo. C’è quindi l’eventualità che la questione privacy possa chiarirsi e, almeno parzialmente, risolversi. Ma, nel caso in cui non si riescano a trovare degli accordi vincolanti efficaci, è bene essere pronti avendo già fatto scouting di soluzioni alternative. Avere pronto il famigerato Piano B.

Il consiglio che ci sentiamo di dare è comunque quello di abbandonare la versione UA di Analytics, che peraltro smetterà di funzionare da luglio 2023, iniziando a utilizzare l’ultima versione, Google Analytics 4.

La soluzione GA4 (strumento di per sé più attento agli aspetti privacy), con anche una configurazione server side, offre maggiori garanzie di tutela, ma non la certezza di una totale adeguatezza al GDPR. Come ha ricordato sempre il team del Garante Privacy, ogni caso andrebbe valutato a sé e lo si farà in caso di segnalazioni che richiedano l’intervento a pronunciarsi del Garante stesso. Nel frattempo, non possiamo che cercare di minimizzare i rischi, in attesa di una risoluzione positiva di tutta la questione.