Google e la conformità al GDPR

Google e la conformità al GDPR

Con la piena applicazione del regolamento europeo per la protezione dei dati personali (GDPR) Google ha modificato i propri servizi al fine di conformarli alla normativa. 

Il titolare del trattamento non è più Google Inc. ma Google Ireland Limited, stabilito in Irlanda (sede: Gordon House, Barrow Street, Dublin 4, Ireland). Questa modifica è per venire incontro agli utenti europei e per limitare le problematiche inerenti al trasferimento dei dati al di fuori del SEE. 

 

Servizi pubblicitari

Nel caso di utilizzo di servizi pubblicitari (Google Ads Data Protection Terms) quali DoubleClick, Ad Exchange (Acx), AdMob, AdSense, ecc..., rispetto ai suoi clienti (cioè i titolari dei siti che usano i servizi (anche indicati come Publisher nei termini di servizio di Google) Google opera come titolare indipendente del trattamento (independent controller). Tra Google e il cliente viene, quindi, stipulato un contratto (Termini contrattuali sulla protezione dei dati applicabili al Titolare del trattamento degli Annunci di Google) che regolamenta i rapporti tra loro. 

Per la conformità occorre inserire nel sito l'informativa privacy (raggiungibile tramite un link visibile in tutte le pagine) nella quale andrà specificato che il sito veicola i cookie di Google per raccogliere informazioni anche a fini di profilazione (la profilazione è a carico di Google), e quindi occorre raccogliere il consenso per i cookie di Google (tramite il banner con l'informativa breve). Anche nel banner (informativa breve) dovrà essere presente l'avviso che il sito usa cookie di terzi a fini di profilazione per fornire pubblicità. 

Per utilizzare i servizi pubblicitari occorre rispettare le policy di Google (Policy di AdWords) e le norme in materia. In particolare è vietato: 
- raccogliere informazioni relative a categorie sensibili; 
- pubblicare annunci che raccolgono o contengono informazioni personali, a meno che non si utilizzi un formato di annuncio fornito da Google e destinato a quello scopo;
- inviare a Google informazioni precise sulla posizione degli utenti in assenza del loro consenso. 

 

Annunci personalizzati e non personalizzati

Google consente di scegliere, nel pannello di Amministrazione di AdSense o DoubleClick (Consenti e blocca annunci), l'utilizzo di annunci personalizzati o non personalizzati.

 adsenseannunci

adsense annunci

Nella prima ipotesi gli annunci sono basati sulle informazioni di navigazione dell'utente e dei suoi interessi (pubblicità comportamentale), raccolte tramite l'uso dei cookie. In tal caso occorre selezionare i fornitori di tecnologia pubblicitaria che ricevono i dati personali degli utenti a seguito dell'uso del prodotto Google, e fornire informazioni sull'uso di tali dati. In sostanza Google condivide dati anche con partner, che possono utilizzare i dati degli utenti del Titolare (Publisher, cioè chi gestisce il sito). E' possibile selezionare un elenco di fornitori di uso comune, oppure personalizzare l'elenco. In teoria occorrerebbe indicare nell'informativa anche l'elenco dei fornitori (oltre a Google) che ricevono i dati, precisando anche il collegamento alle loro informative privacy (nell'elenco di Google è presente il relativo link), cosa purtroppo non semplice dato l'elevato numero di fornitori se l'elenco non viene personalizzato (ad esempio indicando solo Google come fornitore). 

adsensefornitori

adsense fornitori

Gli annunci non personalizzati, invece, non utilizzano i cookie per raccogliere dati sulla navigazione e gli interessi degli utenti, fornendo così annunci non relativi agli interessi dell'utente, ma generici (in genere riferibili al contesto, cioè al contenuto del sito nel quale sono inseriti). Però i cookie vengono comunque utilizzati per stabilire la quota limite delle pubblicità, per generare rapporti aggregati sugli annunci e contrastare attività fraudolente e illecite. Per cui occorre comunque ottenere il preventivo consenso all'uso dei cookie per queste specifiche finalità

Google ha fornito apposite informazioni per la personalizzazione degli annunci nei tag annuncio dei publisher di Google

 

Servizi di analytics

Nel caso di utilizzo di Google Analytics (GA), Attribution, Optimize, Tag Manager o Data Studio, invece, Google opera quale responsabile del trattamento (processor) dei dati gestiti dal servizio, rispetto al cliente (gestore del sito) che è titolare del trattamento. In questo caso, come previsto dai Google Ads Data Processing Terms occorre accettare l'emendamento per la protezione dei dati personali (DPA), andando in IMPOSTAZIONI ACCOUNT dell'account di Google Analytics. Con l'emendamento in questione Google informa gli utenti che utilizzano il servizio Google Analytics (abbinabile ad altri servizi di annunci e profilazione) sulle modalità con cui gestisce dati e i servizi che trattano i dati provenienti da Google Analytics per finalità commerciali. Per completare l’accettazione dell’emendamento occorre inserire i dati relativi alla persona giuridica (se si agisce quale persona giuridica) e il relativo contatto (cliccando su Gestisci Dettagli DPA). Il bottone per accedere alla sezione di inserimento si trova sotto il pulsante “Esamina emendamento” in un’area di colore grigio.  

emendamento Google

 

Analytics senza servizi pubblicitari

Per utilizzare Analytics senza i servizi pubblicitari, si deve procedere all'anonimizzazione di analytics, al con blocco dell'incrocio dei dati tra i vari servizi, e alla disattivazione dei Google Signals. 

Impostato in questo modo il servizio, nell'informativa privacy pubblicata sul sito andrà precisato che Google Analytics raccoglie ed elabora dati, e andrà inserito il link all'apposita pagina di Google "Modalità di utilizzo dei dati da parte di Google quando si utilizzano siti o app dei nostri partner". Dovranno, inoltre, essere fornite chiare informazioni sul fatto che il sito veicola i cookie di Google per raccogliere informazioni, ma In questo caso non occorre raccogliere il consenso all'utilizzo dei cookie di Analytics, poichè con l'anonimizzazione i dati sono solo aggregati. Non occorre nemmeno indicare i servizi Google Analytics nel banner-informativa breve. 

 

Analytics insieme ai servizi pubblicitari

Analytics può essere integrato con i servizi pubblicitari di Google (se non viene anonimizzato opportunamente), in particolare tramite i Google Signals che consentono di popolare le "audiences" coi dati provenienti dai servizi di analytics, così abilitando il remarketing, i rapporti cross devices (su più dispositivi), i rapporti sui dati demografici e gli interessi degli utenti. In tale caso entrambi i servizi (analytics e pubblicitari) dovranno essere considerati come servizi di profilazione degli utenti e trattati di conseguenza. Cioè, occorrerà inserire le apposite informazioni nell'informativa, compreso il link alla pagina Requisiti delle norme per le funzioni pubblicitarie di Google Analytics. Occorre inoltre menzionare la presenza del servizio nell'informativa breve (banner) e quindi, tramite esso, raccogliere il consenso ai cookie per conto di Google, non solo di analytics, ma anche dei servizi pubblicitari. 

 

Google Analytics è conforme al GDPR?

A seguito dell'invalidamento del Privacy Shield da parte della Corte di Giustizia europea, ci sono state diverse pronunce da parte di Garanti europei che hanno interessato i servizi di Analytics forniti da Google, tra i quali segnaliamo in particolare:
- Garante Austria (provvedimento 22 dicembre 2021); 
- CNIL - Garante Francia (provvedimento 10 febbraio 2022); 
- Garante Italia (provvedimento 9 giugno 2022); 
- Garante Danimarca (parere 21 settembre 2022). 

Anche se i provvedimenti dei Garanti sono specifici e non generali, occorre comunque tenere presente che sono tutti concordi tra loro nello stabilire la non conformità di Google Analytics al GDPR. In particolare il Garante italiano ha pubblicato anche un comunicato in materia dove chiarisce che "Nel dichiarare l’illiceità del trattamento è stato ribadito che l’indirizzo IP costituisce un dato personale e anche nel caso fosse troncato non diverrebbe un dato anonimo, considerata la capacità di Google di arricchirlo con altri dati di cui è in possesso". 

Infatti utilizzando Google Analytics un sito web raccoglie dei dati personali degli utenti e potrebbe inviarli anche ai server di Google negli Usa (mappa dei server di Google), con ciò innescando un trasferimento internazionale di dati personali che potrebbe essere non conforme alle norme europee. Anche l'utilizzo dell'anonimizzazione degli IP, secondo il CNIL, non renderebbe l'uso del servizio conforme, prima di tutto perché non è chiaro se l'anonimizzazione viene effettuata direttamente nel sito (quindi senza raccogliere il dato personale) oppure dopo la raccolta (e quindi nei server Usa). In realtà nelle pagine di supporto di Google è specificato che: "L'anonimizzazione/mascheramento dell'IP avviene non appena i dati vengono ricevuti da Google Analytics, prima che avvenga qualsiasi memorizzazione o elaborazione"). Ma anche anche perché l'uso di Analytics determina la raccolta anche di altri dati personali che però non sono anonimizzati: 
- identificativo del visitatore (il cookie);
- identificativo interno per gli utenti che sono loggati nei servizi Google;
- identificativo dell'ordine (se presente);
- indirizzo IP (anche se troncato). 
In particolare un utente loggato nell'account Google potrebbe essere identificato anche in caso di anonimizzazione dell'IP, e questo grazie all'uso del fingerprint del dispositivo. In sintesi siamo in presenza di una identificabilità dell'individuo con un ragionevole sforzo da parte di Google. 

Il parere del Garante Privacy della Danimarca puntualizza che l'utilizzo di Google Analytics senza misure aggiuntive deve ritenersi non conforme al GDPR. In realtà le ulteriori misure aggiuntive messe a disposizione attualmente da Google non rende comunque legale lo strumento di analisi. Questo perché Google Analytics assegna all'utente un identificatore univoco, al quale sono abbinati ulteriori dati (data e ora di accesso, dati sul browser, ecc.). Le impostazioni messe a disposizione non consentono allo stato di disabilitare la condivisione dell'identificatore univoco e dei dati ulteriori. L'identificatore non permette un'identificazione precisa (nome e cognorme per capirci) ma è sufficiente per distinguere un individuo all'interno di un grupo, e pertanto deve considerarsi dati personale. Per cui l'invio negli Usa rende Analytics non conforme, in quanto comunque le autorità americane potrebbero richiedere e ottenere questi dati da Google. 

 

Data Retention e servizi pubblicitari

Il regolamento europeo pone particolare attenzione al periodo di conservazione dei dati. che può essere impostato anche in Google Analytics. Nella sezione "Amministrazione" dell'account di Google, e "Impostazione proprietà" è possibile impostare un periodo specifico di Data Retention, scaduto il quale i dati vengono cancellati. 

Come spiegato nella pagina di supporto di Google Analytics, il periodo di conservazione dei dati non riguarda i dati aggregati, tale impostazione si rende necessaria solo se si utilizzano le funzioni avanzate come l'applicazione di segmenti personalizzati ai rapporti, o la creazione di rapporti personalizzati insoliti. Cioè, se si anonimizza correttamente Google Analytics non è necessaria questa impostazione. 

 google data retention

 

Video YouTube con opzione privacy avanzata

Nel caso si vogliano utilizzare video da YouTube occorre tenere presente che Google memorizza le informazioni relative ai visitatori delle pagine dove sono presenti i video embeddati. Per limitare tale effetto è possibile impostare l'opzione "privacy avanzata (no cookie)". In tal modo la pagina non veicola cookie. Solo quando gli utenti cliccano e riproducono volontariamente il video (con ciò fornendo un consenso implicito) Google potrà raccogliere dati personali.  

 

youtube nocookie

Quindi non occorre più bloccare i relativi cookie (nè richiedere il consenso tramite banner), ma occorre solo informare correttamente gli utenti della presenza e della finalità di tali cookie. Ad esempio si può impostare un placeholder al posto del video (come con l'esempio qui sotto) con le informazioni dovute. In questo caso, inoltre, solo cliccando il placeholder si attiva il relativo widget, per cui la raccolta dei dati personali avviene in base a consenso specifico dell'utente, per cui anche il trasferimento dei dati negli Usa dovrebbe essere lecito (purché non sia sistematico). 

placeholder

 

Google Fonts

I font di Google sono spesso usati sui siti web. Si tratta di un servizio che è progettato per limitare la raccolta di dati dagli utenti finali a quanto è necessario per servire i caratteri in modo efficiente, laddove l'utilizzo è in genere basato sul legittimo interesse del titolare del trattamento ad una presentazione uniforme e accattivante dei servizi online. Google Fonts non utilizza cookie ma raccoglie il dato indirizzo IP che viene inviato ai domini fonts.googleapis.com o fonts.gstatic.com. Il problema dei Google Fonts è però dato dal fatto che il dato indirizzo IP viene inviato negli Usa, quindi si deve correttamente inquadrare in un trasferimento di dati extra UE.

A tal proposito il tribunale di Monaco è pervenuto ad una sentenza (19 gennaio 2022) di condanna per un titolare del trattamento che utilizzava i google fonts, imponendo altresì l'interruzione dell'uso dello strumento tramite API. Questo significa che l'unico utilizzo conforme alle norme europee sta nello scaricare i fonts e installarli direttamente sul server del sito web.