Google Analytics e la protezione dei dati personali

Google Analytics e la protezione dei dati personali

Google Analytics è conforme al GDPR?

A seguito dell'invalidamento del Privacy Shield da parte della Corte di Giustizia europea, ci sono state diverse pronunce da parte di Garanti europei che hanno interessato i servizi di Analytics forniti da Google, tra i quali segnaliamo in particolare:
- Garante Austria (provvedimento 22 dicembre 2021); 
- CNIL - Garante Francia (provvedimento 10 febbraio 2022); 
- Garante Italia (provvedimento 9 giugno 2022); 
- Garante Danimarca (parere 21 settembre 2022). 

Anche se i provvedimenti dei Garanti sono specifici e non generali, occorre comunque tenere presente che sono tutti concordi tra loro nello stabilire la non conformità di Google Analytics al GDPR. In particolare il Garante italiano ha pubblicato anche un comunicato in materia dove chiarisce che "Nel dichiarare l’illiceità del trattamento è stato ribadito che l’indirizzo IP costituisce un dato personale e anche nel caso fosse troncato non diverrebbe un dato anonimo, considerata la capacità di Google di arricchirlo con altri dati di cui è in possesso". 

Infatti utilizzando Google Analytics un sito web raccoglie dei dati personali degli utenti e potrebbe inviarli anche ai server di Google negli Usa (mappa dei server di Google), con ciò innescando un trasferimento internazionale di dati personali che potrebbe essere non conforme alle norme europee. Anche l'utilizzo dell'anonimizzazione degli IP, secondo il CNIL, non renderebbe l'uso del servizio conforme, prima di tutto perché non è chiaro se l'anonimizzazione viene effettuata direttamente nel sito (quindi senza raccogliere il dato personale) oppure dopo la raccolta (e quindi nei server Usa). In realtà nelle pagine di supporto di Google è specificato che: "L'anonimizzazione/mascheramento dell'IP avviene non appena i dati vengono ricevuti da Google Analytics, prima che avvenga qualsiasi memorizzazione o elaborazione"). Ma anche anche perché l'uso di Analytics determina la raccolta anche di altri dati personali che però non sono anonimizzati: 
- identificativo del visitatore (il cookie);
- identificativo interno per gli utenti che sono loggati nei servizi Google;
- identificativo dell'ordine (se presente);
- indirizzo IP (anche se troncato). 
In particolare un utente loggato nell'account Google potrebbe essere identificato anche in caso di anonimizzazione dell'IP, e questo grazie all'uso del fingerprint del dispositivo. In sintesi siamo in presenza di una identificabilità dell'individuo con un ragionevole sforzo da parte di Google. 

Il parere del Garante Privacy della Danimarca puntualizza che l'utilizzo di Google Analytics senza misure aggiuntive deve ritenersi non conforme al GDPR. In realtà le ulteriori misure aggiuntive messe a disposizione attualmente da Google non rendono comunque legale lo strumento di analisi. Questo perché Google Analytics assegna all'utente un identificatore univoco, al quale sono abbinati ulteriori dati (data e ora di accesso, dati sul browser, ecc.). Le impostazioni messe a disposizione non consentono allo stato di disabilitare la condivisione dell'identificatore univoco e dei dati ulteriori. L'identificatore non permette un'identificazione precisa (nome e cognome per capirci) ma è sufficiente per distinguere un individuo all'interno di un gruppo, e pertanto deve considerarsi dato personale. Per cui il trasferimento di tali dati negli Usa rende Analytics non conforme, in quanto comunque le autorità americane potrebbero richiedere e ottenere questi dati da Google. 

 

Google lancia GA4 per risolvere i problemi di conformità

In questo quadro Google ha rilasciato la versione 4 (GA4) di Analytics, laddove la versione precedente è stata abbandonata a luglio 2023, cercando di risolvere le problematiche evidenziate dai Garanti europei. In particolare GA4, come descritto da Google, raccoglie indirizzi IP già anonimizzati, cioè troncati, al solo fine di determinare la posizione approssimativa (paese, città...) dell'utente (tale elaborazione per gli utenti europei è effettuata su server europei). Gli indirizzi IP così raccolti in sostanza servono solo per stabilire il server ottimale (vedi i data center) sul quale effettuare l'elaborazione dei dati. Tali indirizzi IP non sono poi conservati sui server di Google. Inoltre GA4 si basa sui cookie di prima parte, mentre la versione precedente era basata su cookie di terza parte (quindi maggiormente intrusivi). 

Al momento non è dato sapere se Google Analytics 4 sia conforme alle norme europee, in quanto nessun Garante europeo ha valutato ancora questo servizio (i provvedimenti riguardano la versione precedente, cioè Universal Analytics). Tuttavia GA4 utilizza comunque dei cookie e l'identificazione dell'utente potrebbe essere possibile grazie ad un identificatore univoco che è comunque un dato personale. Questo potrebbe far propendere per una non confomità dello strumento, al pari della precedente versione. Inoltre anche se GA4 ha eliminato parte dei cookie, Google ha impostato la generazione dell'ID univoco a carico del cliente, per cui Google in teoria non sarebbe responsabile di alcuna violazione, ma l'utilizzo del servizio su un sito web potrebbe comunque non essere conforme alle norme. 

Comunque può essere utile sapere che il fatto che Google non elabori gli indirizzi IP non determina un impatto particolarmente rilevante sui report generati. In particolare non risulta differenza a livello di continente o paese, mentre vi è una riduzione di precisione (circa il 30%) per quanto riguarda la città. Vi è da rimarcare che in realtà gli indirizzi IP sono dati che non sempre sono utili per stabilire la localizzazione di un utente, in quanto sono consegnati a blocchi ai provider e ai carrier, senza tenere conto della localizzazione geografica, anche se poi finiscono per avere in genere una certa riferibilità alla locazione dell'utente. 

 

Il Data Privacy Framework del 2023

Il 10 luglio 2023 è stato pubblicato il Data Privacy Framework sul trasferimento dei dati personali verso gli Stati Uniti. Si tratta di un nuovo accordo di adeguatezza che consente il trasferimento dei dati verso gli Usa in quanto la Commissione europea ha stabilito che adesso sussistono garanzie sufficienti per la tutela dei dati personali dei cittadini dell'Unione europea trattati negli Stati Uniti. In sostanza la Commissione certifica che le concessioni del governo americano sono in grado di limitare l'invasività delle agenzie di intelligence americane. Sulla base di tale accordo è possibile trasferire i dati personali negli Usa tramite e verso imprese che aderiscono (l'adesione è volontaria) al DPF. 

 

Per una conformità di Google Analytics

In sintesi non è dato ancora sapere se Google Analytics 4 è conforme alle norme. Però l'anonimizzazione degli IP comporta che il servizio utiliuzzi dati aggregati, per cui se si impedisce la condivisione dei dati con gli altri servizi di Google, secondo una specifica procedura, il servizio dovrebbe poter essere utilizzato in base ai legittimi interessi del titolare del trattamento.