28 Marzo 2024

Google Analytics illegale anche per il Garante Privacy italiano?

Alla fine è successo. Nell’arco di 24 ore ho letto qualcuno che si è detto meravigliato dalla decisione ma a mio modesto parere, è proprio nulla di cui meravigliarsi. Con provvedimento del 23 giugno 2022, Il Garante Privacy italiano si è allineato al CNIL (il garante francese) e al Datenschutzbehörde (DSB, il garante austriaco) e ha dichiarato illegittimo il trasferimento di dati fuori dallo Spazio Economico Europeo (SEE) che Analytics attua durante il suo uso. Questo provvedimento altro non è che la risposta a una segnalazione effettuata nei confronti di un titolare di trattamento dati ma, più in senso lato, è una delle numerose conseguenze della decisione della Corte di Giustizia Europea conosciuta come “sentenza Schrems II“. Per chi non fosse avvezzo ai meandri della normativa del settore e per chi non ricordasse di cosa si tratta, la sentenza Schrems II ha provocato l’abolizione del cd. “Privacy Shield” cioè l’accordo stipulato tra Unione Europea e Governo degli Stati Uniti d’America affinché i dati dei cittadini europei fossero tutelati circa allo stesso livello di quanto avviene nel territorio europeo. Si riteneva che detto accordo fosse un giusto compromesso per permettere soprattutto ai big della tecnologia di continuare a lavorare (e profittare) con clienti residenti nell’Unione Europea; detto accordo, però, si è rivelato piuttosto debole e sul versante americano è entrato in conflitto con alcune normative locali che consentono l’accesso ai dati personali trattati alle diverse agenzie governative impegnate nella lotta al terrorismo. La decisione della Corte di Giustizia ha accolto il ricorso promosso da Noyb attraverso Max Schrems (presidente onorario di Noyb) e ha evidenziato come USA e UE siano su piani diversi per ciò che riguarda la tutela dei dati personali. Da questa decisione, quindi, è iniziata una cascata di conseguenze, la più evidente delle quali è proprio quella di cui scrivo oggi. Il problema non è Google Analytics in sé ma il trasferimento dei dati fuori dall’Unione Europea, e questo è un dettaglio che accomuna tutti i servizi di Google – almeno quelli disponibili gratuitamente. Basti pensare che persino l’uso di Google Fonts ha provocato una sanzione da parte del Garante tedesco nei confronti del titolare di un sito web (e qualcosa di simile è accaduto a un sito web istituzionale italiano).

Cosa succederà da ora in poi?

Il Garante ha dato 90 giorni di tempo per uniformarsi al provvedimento (solo al titolare oggetto della segnalazione ma consideratelo un ammonimento per tutti) per sostituire Analytics con una soluzione conforme al GDPR. Ascoltando diversi pareri di esperti tecnici del settore, mi sembra che vi sia una convergenza verso l’adozione di Matomo installato localmente. Matomo rappresenta una valida alternativa orientata alla tutela dei dati analizzati ma molti hosting provider preferiscono offrire, ancora a metà 2022), il classico AwStats che, sebbene di produzione francese, non sembra essere perfettamente in linea con il GDPR come, al contrario, è Matomo. Ritengo opportuno consultare il proprio hosting provider, soprattutto se abbiamo uno spazio in un server condiviso e con possibilità di gestione limitate; bisogna verificare se il server attraverso cPanel o Plesk o simili, consenta l’installazione di Matomo attaverso Softacolous, altrimenti sarà necessario valutare un’opzione alternativa ma che sia sempre conforme al GDPR.

In conclusione.

Questo provvedimento del Garante deve indurci a ripensare completamente i siti web che si possiedono e che si progettano per terze parti. Avere un servizio marchiato Google, in assenza di una disciplina normativa che legittimi il trasferimento di dati extra-UE, è di fatto illegale da oggi. Lo stesso, dunque, può dirsi anche per Gmail, dato che parecchi professionisti hanno il pessimo vizio di usare Gmail per il lavoro perché è gratuito. Gratuito sì ma non conforme al GDPR e vi espone al rischio di una segnalazione al Garante. Un professionista che propone Gmail come propria casella di posta elettronica non fa una bella figura: è opportuno registrare un proprio nome a dominio .IT e usare la casella di posta associata a quel dominio. L’indirizzo e-mail dovrebbe rientrare nella strategia di marketing della propria professione e, pertanto, dovrebbe essere considerato come una specie di bigliettino da visita. La differenza tra

avv.matteo.riso.74@gmail.com

e

avvocato@matteoriso.it

è enorme ed evidente: il secondo indirizzo è più professionale ma soprattutto, è garanzia che i dati trasmessi saranno trattati conformemente al GDPR, attraverso un server collocato sul suolo dell’Unione Europea, e secondo quanto previsto dal trattamento dei dati di cui sono titolare. Pertanto, in attesa che USA e UE realizzino un nuovo accordo sul trattamento dei dati, il miglior consiglio che possa darsi è sviare dall’uso di Google Analytics per trovare nuove soluzioni. Sono sicuro, però, che identica cosa possa dirsi anche per tutti gli altri servizi online di Google e non solo. Chi vivrà vedrà.  

About Author