Con la piena applicazione del regolamento europeo per la protezione dei dati personali (GDPR) Google ha modificato i propri servizi al fine di conformarli alla normativa.
Il titolare del trattamento non è più Google Inc. ma Google Ireland Limited, stabilito in Irlanda (sede: Gordon House, Barrow Street, Dublin 4, Ireland). Questa modifica è per venire incontro agli utenti europei e per limitare le problematiche inerenti al trasferimento dei dati al di fuori del SEE.
Servizi pubblicitari
Nel caso di utilizzo di servizi pubblicitari (Google Ads Data Protection Terms) quali DoubleClick, Ad Exchange (Acx), AdMob, AdSense, ecc..., rispetto ai suoi clienti (cioè i titolari dei siti che usano i servizi (anche indicati come Publisher nei termini di servizio di Google) Google opera come titolare indipendente del trattamento (independent controller). Tra Google e il cliente viene, quindi, stipulato un contratto (Termini contrattuali sulla protezione dei dati applicabili al Titolare del trattamento degli Annunci di Google) che regolamenta i rapporti tra loro.
Per la conformità occorre inserire nel sito l'informativa privacy (raggiungibile tramite un link visibile in tutte le pagine) nella quale andrà specificato che il sito veicola i cookie di Google per raccogliere informazioni anche a fini di profilazione (la profilazione è a carico di Google), e quindi occorre raccogliere il consenso per i cookie di Google (tramite il banner con l'informativa breve). Anche nel banner (informativa breve) dovrà essere presente l'avviso che il sito usa cookie di terzi a fini di profilazione per fornire pubblicità.
Per utilizzare i servizi pubblicitari occorre rispettare le policy di Google (Policy di AdWords) e le norme in materia. In particolare è vietato:
- raccogliere informazioni relative a categorie sensibili;
- pubblicare annunci che raccolgono o contengono informazioni personali, a meno che non si utilizzi un formato di annuncio fornito da Google e destinato a quello scopo;
- inviare a Google informazioni precise sulla posizione degli utenti in assenza del loro consenso.
Annunci personalizzati e non personalizzati
Google consente di scegliere, nel pannello di Amministrazione di AdSense o DoubleClick (Consenti e blocca annunci), l'utilizzo di annunci personalizzati o non personalizzati.
Nella prima ipotesi gli annunci sono basati sulle informazioni di navigazione dell'utente e dei suoi interessi (pubblicità comportamentale), raccolte tramite l'uso dei cookie. In tal caso occorre selezionare i fornitori di tecnologia pubblicitaria che ricevono i dati personali degli utenti a seguito dell'uso del prodotto Google, e fornire informazioni sull'uso di tali dati. In sostanza Google condivide dati anche con partner, che possono utilizzare i dati degli utenti del Titolare (Publisher, cioè chi gestisce il sito). E' possibile selezionare un elenco di fornitori di uso comune, oppure personalizzare l'elenco. In teoria occorrerebbe indicare nell'informativa anche l'elenco dei fornitori (oltre a Google) che ricevono i dati, precisando anche il collegamento alle loro informative privacy (nell'elenco di Google è presente il relativo link), cosa purtroppo non semplice dato l'elevato numero di fornitori se l'elenco non viene personalizzato (ad esempio indicando solo Google come fornitore).
Gli annunci non personalizzati, invece, non utilizzano i cookie per raccogliere dati sulla navigazione e gli interessi degli utenti, fornendo così annunci non relativi agli interessi dell'utente, ma generici (in genere riferibili al contesto, cioè al contenuto del sito nel quale sono inseriti). Però i cookie vengono comunque utilizzati per stabilire la quota limite delle pubblicità, per generare rapporti aggregati sugli annunci e contrastare attività fraudolente e illecite. Per cui occorre comunque ottenere il preventivo consenso all'uso dei cookie per queste specifiche finalità.
Google ha fornito apposite informazioni per la personalizzazione degli annunci nei tag annuncio dei publisher di Google.
Servizi di analytics
Nel caso di utilizzo di Google Analytics (GA), Attribution, Optimize, Tag Manager o Data Studio, invece, Google opera quale responsabile del trattamento (processor) dei dati gestiti dal servizio, rispetto al cliente (gestore del sito) che è titolare del trattamento. In questo caso, come previsto dai Google Ads Data Processing Terms occorre accettare l'emendamento per la protezione dei dati personali (DPA), andando in IMPOSTAZIONI ACCOUNT dell'account di Google Analytics. Con l'emendamento in questione Google informa gli utenti che utilizzano il servizio Google Analytics (abbinabile ad altri servizi di annunci e profilazione) sulle modalità con cui gestisce dati e i servizi che trattano i dati provenienti da Google Analytics per finalità commerciali. Per completare l’accettazione dell’emendamento occorre inserire i dati relativi alla persona giuridica (se si agisce quale persona giuridica) e il relativo contatto (cliccando su Gestisci Dettagli DPA). Il bottone per accedere alla sezione di inserimento si trova sotto il pulsante “Esamina emendamento” in un’area di colore grigio.
Analytics senza servizi pubblicitari
Per utilizzare Analytics senza i servizi pubblicitari, si deve procedere all'anonimizzazione di analytics, al con blocco dell'incrocio dei dati tra i vari servizi, e alla disattivazione dei Google Signals.
Impostato in questo modo il servizio, nell'informativa privacy pubblicata sul sito andrà precisato che Google Analytics raccoglie ed elabora dati, e andrà inserito il link all'apposita pagina di Google "Modalità di utilizzo dei dati da parte di Google quando si utilizzano siti o app dei nostri partner". Dovranno, inoltre, essere fornite chiare informazioni sul fatto che il sito veicola i cookie di Google per raccogliere informazioni, ma In questo caso non occorre raccogliere il consenso all'utilizzo dei cookie di Analytics, poichè con l'anonimizzazione i dati sono solo aggregati. Non occorre nemmeno indicare i servizi Google Analytics nel banner-informativa breve.
Analytics insieme ai servizi pubblicitari
Analytics può essere integrato con i servizi pubblicitari di Google (se non viene anonimizzato opportunamente), in particolare tramite i Google Signals che consentono di popolare le "audiences" coi dati provenienti dai servizi di analytics, così abilitando il remarketing, i rapporti cross devices (su più dispositivi), i rapporti sui dati demografici e gli interessi degli utenti. In tale caso entrambi i servizi (analytics e pubblicitari) dovranno essere considerati come servizi di profilazione degli utenti e trattati di conseguenza. Cioè, occorrerà inserire le apposite informazioni nell'informativa, compreso il link alla pagina Requisiti delle norme per le funzioni pubblicitarie di Google Analytics. Occorre inoltre menzionare la presenza del servizio nell'informativa breve (banner) e quindi, tramite esso, raccogliere il consenso ai cookie per conto di Google, non solo di analytics, ma anche dei servizi pubblicitari.
Google Analytics è conforme al GDPR?
Per le informazioni sulla confomità del servizio di Analytics di Google rispetto alle normative europee si veda l'articolo specifico: Google Analytics e la protezione dei dati personali.
Data Retention e servizi pubblicitari
Il regolamento europeo pone particolare attenzione al periodo di conservazione dei dati. che può essere impostato anche in Google Analytics. Nella sezione "Amministrazione" dell'account di Google, e "Impostazione proprietà" è possibile impostare un periodo specifico di Data Retention, scaduto il quale i dati vengono cancellati.
Come spiegato nella pagina di supporto di Google Analytics, il periodo di conservazione dei dati non riguarda i dati aggregati, tale impostazione si rende necessaria solo se si utilizzano le funzioni avanzate come l'applicazione di segmenti personalizzati ai rapporti, o la creazione di rapporti personalizzati insoliti. Cioè, se si anonimizza correttamente Google Analytics non è necessaria questa impostazione.
Video YouTube con opzione privacy avanzata
Nel caso si vogliano utilizzare video da YouTube occorre tenere presente che Google memorizza le informazioni relative ai visitatori delle pagine dove sono presenti i video embeddati. Per limitare tale effetto è possibile impostare l'opzione "privacy avanzata (no cookie)". In tal modo la pagina non veicola cookie. Solo quando gli utenti cliccano e riproducono volontariamente il video (con ciò fornendo un consenso implicito) Google potrà raccogliere dati personali.
Quindi non occorre più bloccare i relativi cookie (nè richiedere il consenso tramite banner), ma occorre solo informare correttamente gli utenti della presenza e della finalità di tali cookie. Ad esempio si può impostare un placeholder al posto del video (come con l'esempio qui sotto) con le informazioni dovute. In questo caso, inoltre, solo cliccando il placeholder si attiva il relativo widget, per cui la raccolta dei dati personali avviene in base a consenso specifico dell'utente, per cui anche il trasferimento dei dati negli Usa dovrebbe essere lecito (purché non sia sistematico).
Google Fonts
I font di Google sono spesso usati sui siti web. Si tratta di un servizio che è progettato per limitare la raccolta di dati dagli utenti finali a quanto è necessario per servire i caratteri in modo efficiente, laddove l'utilizzo è in genere basato sul legittimo interesse del titolare del trattamento ad una presentazione uniforme e accattivante dei servizi online. Google Fonts non utilizza cookie ma raccoglie il dato indirizzo IP che viene inviato ai domini fonts.googleapis.com o fonts.gstatic.com. Il problema dei Google Fonts è però dato dal fatto che il dato indirizzo IP viene inviato negli Usa, quindi si deve correttamente inquadrare in un trasferimento di dati extra UE.
A tal proposito il tribunale di Monaco è pervenuto ad una sentenza (19 gennaio 2022) di condanna per un titolare del trattamento che utilizzava i google fonts, imponendo altresì l'interruzione dell'uso dello strumento tramite API. Questo significa che in assenza di un consenso all'uso del servizio, l'unico utilizzo conforme alle norme europee sta nello scaricare i fonts e installarli direttamente sul server del sito web. Ad analoga conclusione è pervenuto il Tribunale distrettuale di Charlottenburg (20 dicembre 2022).
