27/01/2022
Google Analytics viola il GDPR?
Il Garante Privacy austriaco ha stabilito che l’uso di Google Analytics viola il GDPR.
L’autorità garante per la protezione dei dati austriaca ha dichiarato che Google Analytics viola il GDPR (Regolamento generale sulla protezione dei dati), la principale norma europea in materia di privacy.
Tabella dei contenuti
- Aggiornamento del 23 Giugno 2022: Google Analytics è stato dichiarato illegale dal Garante Privacy italiano
- Aggiornamento del 13 Maggio 2022: Diffide via PEC alla PA
- Perché Google Analytics va contro il GDPR?
- Cos'è successo dalla sentenza Schrems II del 2020 ad oggi?
- Come mai il Garante Privacy austriaco ha dichiarato illegittimo l'utilizzo di Google Analytics?
- Cosa ne sarà di Google Analytics in Europa?
- È possibile analizzare il traffico di un sito web senza Google Analytics?
- È già delineato il futuro di Google Analytics in Europa?
- Approfondimenti
- Vuoi saperne di più sugli strumenti di analisi del traffico conformi al GDPR?
Aggiornamento del 23 Giugno 2022: Google Analytics è stato dichiarato illegale dal Garante Privacy italiano
Anche in Italia Google Analytics è stato dichiarato illegale dal Garante privacy. In particolare si è evidenziato che l'utilizzo di strumenti di analytics, anche con IP anonimizzzati, violino il GDPR qualora si configuri un trasferimento di dati fuori dall'area europea.
Per maggiori dettagli: Google Analytics è stato dichiarato illegale dal Garante Privacy italiano
Aggiornamento del 13 Maggio 2022: Diffide via PEC alla PA
Diversi Enti della Pubblica Amministrazione stanno ricevendo delle diffide via PEC con le quali un gruppo di attivisti invita a rimuovere Google Analytics dal proprio sito web, pena il rischio di essere segnalati al Garante Privacy.
Specifichiamo subito che al momento non vi è alcun ultimatum da parte del Garante Privacy Italiano per quanto riguarda l'uso di Google Analytics.
Pur comprendendo gli scopi forse etici dietro alle email inviate, queste rischiano di creare molto allarmismo su un tema delicato. Senza dubbio l'attenzione verso la protezione dei dati personali sta aumentando, fortunatamente, ed è importante informarsi su quali siano le opzioni.
Leggi anche: Matomo vs Google Analytics: cosa scegliere ai tempi del GDPR?
Anonimizzare gli IP su Google Analytics
Il nostro suggerimento è anzitutto quello di anonimizzare gli IP su Google Analytics. Dopodiché è opportuno valutare di sostituire Google Analytics con uno strumento alternativo, ad esempio Matomo, che permetta di garantire livelli di privacy conformi agli standard europei.
Da sempre la nostra azienda è particolarmente attenta alla privacy degli utenti, per questo motivo tutte le nostre installazioni di Google Analytics hanno di default gli IP anonimizzati.
Web Analytics Italia
Le Pubbliche Amministrazioni possono aderire a Web Analytics Italia, la piattaforma italiana per analizzare il traffico del sito web, basata anch'essa su Matomo.
Per informazioni o chiarimenti ti invitiamo a contattarci.
Perché Google Analytics va contro il GDPR?
Google Analytics è uno strumento per monitorare il traffico degli utenti all'interno di un sito web. I dati raccolti vengono archiviati in Europa ma vengono anche inviati agli Stati Uniti ed, in particolare, ai loro servizi di intelligence. Tale trasferimento al di fuori dell'Europa era già stato dichiarato illegittimo nel 2020 con la sentenza Schrems II.
Cos'è successo dalla sentenza Schrems II del 2020 ad oggi?
Nonostante la sentenza Schrems II avesse dichiarato illegittimo il trasferimento dei dati, l'azienda americana Google ha dichiarato di avere implementato "misure tecniche e organizzative" per proteggere la privacy degli utenti e, facendo riferimento alle “clausole contrattuali standard”, ha ritenuto di essere in regola con la normativa, continuando così a inviare dati dall'Europa verso gli USA.
Come mai il Garante Privacy austriaco ha dichiarato illegittimo l'utilizzo di Google Analytics?
Con il provvedimento di gennaio 2022, il Garante Privacy austriaco ha dichiarato che Google Analytics non è conforme al GDPR.
Il provvedimento è stato emesso a seguito di una denuncia presentata da NOYB - European Centre for Digital Rights, un'organizzazione austriaca senza scopo di lucro che ha l'obiettivo di tutelare la privacy e promuovere il GDPR.
L'esposto di NOYB fa riferimento alla precedente sentenza Schrems II del 2020 della Corte di Giustizia dell'Unione europea (CGUE).
La sentenza aveva portato all'annullamento del Privacy Shield, l'accordo EU-USA che consentiva il trasferimento dei dati ai servizi di intelligence statunitensi, in quanto non conforme al GDPR.
Il Garante per la Privacy in Austria ha sospeso il servizio di Google Analytics, fino a quando la società non adotterà delle reali misure a tutela degli utenti.
Cosa ne sarà di Google Analytics in Europa?
L'EDPS (Garante Europeo per la Protezione dei Dati) ha emesso un richiamo nei confronti del Parlamento Europeo che, in un sito web per i test del COVID, ha violato la normativa GDPR inviando dati verso gli USA.
È evidente pertanto che, se Google Analytics non si adeguerà, il servizio potrebbe diventare illegale in tutta Europa.
È possibile analizzare il traffico di un sito web senza Google Analytics?
Si, è possibile, ci sono soluzioni alternative (Matomo, AWStats...) che sono efficienti, sicure e che non violano il GDPR.
Esistono strumenti di analisi del traffico che archiviano i dati nello stesso server del proprio sito web, a differenza di Google Analytics, che richiede di mantenere i dati in un server esterno al di fuori del nostro controllo.
Matomo è un software open source e libero che analizza il traffico dati e genera report dettagliati con funzionalità comparabili a quelle di Google Analytics.
Server side tracking e client side tracking
Di default Matomo, Google Analytics, Facebook Pixel, Linkedin Insights, ecc. effettuano un tracciamento lato client, direttamente sul browser dell'utente tramite Javascript.
Un'altra valida opzione è quella di installare software di server-side tracking, cioé che effettuano il tracciamento del traffico sul server. Garantiscono alti livelli di privacy in quanto i dati sono salvati in locale e rimangono quindi sotto il controllo totale del proprietario del sito web.
È possibile a tal fine utilizzare AwStats, oppure configurare Matomo per il tracciamento lato server.
Dal 1996 siamo promotori della privacy degli utenti e della sicurezza in rete.
Installare software di server-side tracking in un momento come questo consentirebbe ai titolari dei siti web di essere Privacy Compliant e di poter continuare ad analizzare il traffico dati in caso di eventuali blocchi di Google Analytics.
È già delineato il futuro di Google Analytics in Europa?
Questo non lo sappiamo ma sicuramente ci saranno sviluppi importanti: un colosso come Google non si arrenderà facilmente.
Molto probabilmente Google adotterà misure aggiuntive per rimanere sul mercato, ma per ora non c'è nulla di certo. Una nota positiva è che il nuovo Google Analytics 4 avrà l'anonimizzazione degli IP abilitata di default.
Per rimanere aggiornato sugli sviluppi futuri seguici sui nostri canali social:
Approfondimenti
Vi consigliamo questo interessante video di Guido Scorza, Componente del Collegio del Garante per la protezione dei dati personali e Matteo Flora, Founder & Board Director di The Fool.
➔ Youtube - Usare Google Analytics è ILLEGALE per Privacy e viola il GDPR. Ma davvero? E ora?