Il Garante della Privacy Italiana ha pubblicato sul proprio sito ufficiale il giorno 23 giugno 2022 una nota in cui dichiara che l’utilizzo di piattaforme che forniscono servizi di profilazione, come ad esempio Google Analytics 3, sono illegali in Europa in quanto trasferiscono i dati raccolti negli Stati Uniti, Paese privo di adeguate protezioni in materia di trattamento dei dati personali secondo il Regolamento UE.
Il provvedimento si estende non solo a Google Analytics ma anche a tutti quegli (eventuali) strumenti che fossero installati sul proprio sito e che inviano dati personali negli Stati Uniti.
Leggi il documento
La dichiarazione nasce da un esposto fatto mesi prima da una associazione europea (NOYB) che ha sollevato il problema presso tutte le autorità Garanti dei Paesi europei, le quali (al momento figurano il garante europeo della protezione dei dati GEPD, l’italiana GPDP, la francese CNIL e l’austriaca DSB) hanno confermato l’illiceità nell’uso di tali strumenti, anche in caso di anonimizzazione dei dati raccolti.
Cosa fare nell'immediato?
Al momento non c’è una risposta definitiva a questa domanda, dal momento che l’indagine è ancora in corso. Il provvedimento del Garante italiano ha stabilito un tempo limite di 90 giorni entro il quale i siti web che installano Google Analytics 3 devono adeguarsi. Google ha rilasciato già da tempo una versione 4 di Analytics per cercare di fare fronte ad alcune di queste problematiche ma per ora non c’è modo di sapere se l’uso di Google Analytics 4 sarà considerato sufficiente dalle Autorità europee.
Pertanto, al fine evitare il rischio di incorrere in sanzioni da parte del Garante e a titolo cautelativo, abbiamo deciso di disabilitare e/o disinstallare Google Analytics 3 e 4 da tutti i siti da noi gestiti, almeno fino a quando non si avranno nuove garanzie sul suo utilizzo e/o nuovi accordi bilaterali fra i Paesi.
Quali sono le prospettive future?
Al momento la situazione è in divenire. Il Presidente degli Stati Uniti Biden, durante l’ultimo incontro europeo con la Presidente Von Der Leyen, ha dichiarato la volontà di trovare un accordo giuridico/legislativo comune (Privacy Shield) che risolva la questione, ma al momento non si è ancora passati dalle parole ai fatti. Ciò significa che potrebbero passare mesi o addirittura anni prima di raggiungere un accordo che soddisfi la Corte Costituzionale europea, oppure nella peggiore delle ipotesi, l’accordo potrebbe anche non arrivare mai.
Ci sono alternative?
Il Garante in qualità di Autorità ufficiale non fornisce soluzioni alternative, pertanto è a carico del Titolare del trattamento dei dati del sito decidere autonomamente se utilizzare piattaforme alternative che garantiscano la protezione dei dati.
Qualora si ravvisi l’assoluta necessità di disporre di dati di navigazione del sito per fini commerciali, le soluzioni possibili potrebbero essere due:
- Installare autonomamente un server su cui attivare software di profilazione
- Utilizzare servizi analoghi a Google Analytics con sede legale in Europa
Al momento autorevoli società italiane che si occupano di web marketing hanno individuato tre possibili piattaforme alternative:
Sono piattaforme analoghe a Google Analytics (forniscono più o meno la stessa tipologia di servizi) ma hanno la particolarità di avere i propri server e la sede legale sul territorio europeo, e quindi conformi al GDPR.
E i siti che non utilizzano Analytics?
Per quei casi in cui il sito non sia provvisto o non necessiti di strumenti di profilazione come Analytics, non cambia nulla.