La sentenza del Garante Italiano su Google Analytics: GA3 vs GA4

Ma secondo il Garante Italiano, possiamo usare Google Analytics 4, allora?


Aggiornamento del 7 luglio: questa mattina ci giunge notizia che il 22 giugno il Garante tedesco ha pubblicato delle FAQ per ciò che riguarda le fan pages di Facebook, praticamente rendendo illecito l’uso dei dati raccolti tramite queste, e analizzati dagli Insight di Meta (Facebook). Per il Garante le fan pages non sono profili privati, ma degli account business, che operano similmente ai siti di proprietà, pertanto i dati personali raccolti devono sottostare alle norme del GDPR, ma in questo caso il servizio di analisi fornito da Meta non è in regola, in quanto fa trasferimento dati verso gli USA senza una base giuridica e regole che tutelino gli interessi dei “fan” delle pagine.

In più, secondo i termini di adesione alle pagine, il titolare della pagina è contitolare insieme a Meta, e questo lo rende legalmente responsabile del trattamento dati effettuato attraverso la fan page da lui costruita, senza però avere voce in capitolo sulle decisioni in merito ai trasferimenti stessi effettuati da Meta.

Come si può operare in termini legali attraverso queste? Il Garante tedesco sancisce che per ora non si può, e che se non è possibile rendere il trattamento conforme alla norma, si deve DISATTIVARE la pagina.

Queste conclusioni, o simili, si possono raggiungere anche per altri social network che offrono possibilità business ai propri fruitori.

Se dall’uso di Google Analytics 4 se ne potrebbe uscire, con i dovuti sistemi, con l’uso delle pagine, per ora, no, se Meta non correrà ai ripari in qualche modo.


Dopo mesi che, almeno noi addetti ai lavori, ce lo aspettavamo, alla fine è scoppiata la “bomba termonucleare” anche in Italia, sull’uso di Google Analytics che tratta illecitamente i dati personali degli utenti attuando un trasferimento verso gli USA senza più le adeguate garanzie di protezione richieste dal GDPR per i propri cittadini che atterrano su un qualsiasi sito o piattaforma, per i più diversi motivi.

Come già detto nel nostro precedente articolo, infatti, con sentenza del 9 giugno 2022 il nostro Garante ha sanzionato (o meglio, per il momento soltanto ammonito) la società Caffeina Media srl, titolare del sito CaffeinaMagazine, per aver trattato illecitamente i dati di un utente di ormai nota conoscenza (l’austriaco Maximilian Schrems, fondatore dell’associazione NOYB e artefice dei 101 reclami ai vari garanti europei a seguito della famosa sentenza del 16 luglio 2020 che ha preso il suo nome,  cassando l’accordo privacy tra UE e USA per il flusso transatlantico dei dati personali) attraverso l’uso di Google Analytics, dell’allora Google LLC con sede statunitense, sostituita solo dal 1 maggio 2021 da Google Ireland Limited, con sede e server in territorio comunitario.

Quindi, al momento del reclamo presentato, il 17/08/2020, si evince che il sito in questione montava la versione 3 del servizio fornito da Google.

Come si può leggere dalla sentenza, il sito stava usando il modus gratuito della versione del servizio offerto, che non aveva l’opzione della pseudonimizzazione, ed era, in quel momento, di proprietà di Google LLC, con sede in California, USA.

La società Caffeina Media, durante l’istruttoria istituita dall’autorità garante, ha esposto le ragioni in propria difesa dichiarando che

  • usava, in ogni caso, i dati aggregati, per le analisi richieste;
  • che Google affermava di usare soltanto l’indirizzo IP in forma contratta e pochi altri dati anonimizzati che non sono dati personali e per questo ha ritenuto potesse essere in regola;
  • che per l’enorme divario tra i due contraenti, non aveva modo di poter contrattare regole e clausole con il colosso tecnologico;
  • che Google dichiarava di effettuare i trasferimenti in base alle clausole contrattuali standard (SCC), formula in alcuni casi specifici accettata dal Garante, con l’aggiunta di adeguati rafforzamenti delle protezioni, seppur la società americana non abbia spiegato in che termini e di che tipo.

Caffeina, in pratica, dice di essersi fidata di Google, che secondo il contratto stipulato è anche il Responsabile dei Dati Personali (RDP), e quindi, appunto, responsabile dei dati.

La società ha creduto di non correre nemmeno grandi rischi di violazione da parte delle agenzie di intelligence statunitensi, in quanto il proprio magazine tratta solo di gossip, spettacolo, argomenti non interessanti alle finalità delle agenzie americane, tant’è che riporta anche il fatto che in 15 anni di attività dello stesso, non vi è stata nessuna richiesta da parte governativa di accesso ai dati dei propri utenti raccolti per suo conto, come dichiarato da un report di Google stesso.

Il Garante ribadisce, pertanto, che:

  1. essendo, al momento del reclamo, il servizio GA di proprietà di Google LLC, il trasferimento dei dati avveniva in palese violazione delle norme del Regolamento Europeo, vista la sede statunitense dell’importatore.
  2. per quanto Google Analytics usi dati anonimizzati, questi non sono compatibili con un trasferimento legale degli stessi, in quanto (come già affermato dal Garante Austriaco nella propria sentenza in merito all’uso di GA)
    1. l’anonimizzazione non rende impossibile l’identificazione dell’utente, sia perché, incrociandoli con l’immensa mole di altri dati in possesso da Google, specialmente se l’utente entra nel sito attraverso il proprio account Google, per quest’ultimo è molto facile riconoscere l’utente, sia perché il dato anonimizzato è reso tale dalla crittografia la cui chiave di decifrazione è in mano a Google stesso, quindi, in caso di richiesta di accesso ai dati da parte delle agenzie di intelligence, essendo sottoposta a tale accesso anche la chiave di decrittazione, si può risalire al dato in chiaro.
    1. Caffeina ha aderito all’anonimizzazione dell’IP solo successivamente, in data 30 aprile 2021, mentre all’agosto 2020 era in violazione delle norme con IP in chiaro.
    1. anche ammesso che l’IP fosse anonimizzato, questo è sempre un dato personale, come più volte ribadito dal Garante.
    1. che nonostante la reale differenza di forza contrattuale tra le due parti, il titolare deve sempre cercare di verificare l’idoneità dei termini di contratto e le relative garanzie applicati secondo quanto richiesto dalle norme del GDPR, indipendentemente dal fatto che vi sia un rischio (soggettivo) molto basso di violazione. Infatti, per il Garante non basta un rischio basso, per poter ovviare a tali garanzie, ma già soltanto la possibilità che tale violazione possa avvenire è oggettivamente un limite al trattamento dei dati personali.
    1. seppure Google sia il Responsabile dei dati, il titolare del trattamento, ovvero la società proprietaria del sito, è, e rimane, legalmente responsabile per i dati personali degli utenti del proprio sito.

In conclusione, Caffeina era in chiara violazione del GDPR con il trattamento dei dati tramite Google Analytics, ma in virtù del fatto che non sono stati trattati dati sensibili, che effettivamente esiste un enorme divario tra le due parti contrattuali, che non appena ricevuta notifica dell’istruttoria, la società si è immediatamente adoperata ad aggiornare il servizio di analisi alla versione più recente, scegliendo l’opzione dell’anonimizzazione dell’IP, e che non vi sono mai stati procedimenti precedenti, il Garante per la protezione dei dati italiano ha ritenuto di non sanzionare Caffeina, emettendo un ammonimento e dando il termine perentorio di 90 giorni (a differenza di altri Garanti che ne hanno concessi solo 30) perché la società si adeguasse alle normative, interrompendo nel frattempo qualsiasi altro trasferimento dati.

Quindi il termine ultimo è il 21 settembre 2022. Tenete bene a mente questa data.


A fronte di tutto ciò, è partita la diatriba di “Google Analytics 4: sì o no?”

Il Garante, nella persona di uno dei suoi componenti, l’avv. Guido Scorza, nelle successive interviste ha più volte detto che di sicuro la versione GA3 non è a norma con il GDPR, ma… anche il GA4 potrebbe non esserlo affatto.

Occorre vedere come impostarlo, ma soprattutto, occorre trovare un modo, che ha lasciato ai titolari del trattamento individuare, per rendere ANONIMI, e non anonimizzati, i dati. Questo, come abbiamo visto, perché seppure sia vero che Google Analytics è ora di proprietà di Google Ireland, questo si potrebbe avvalere dei servizi di Google LLC come sub-responsabile dei dati, e si ritorna alla situazione precedente in cui, un dato anonimizzato (quindi riconoscibile con il possesso della chiave crittografica), potrebbe transitare sui server americani. Senza contare il fatto che secondo le leggi statunitensi sono sottoposte all’obbligo di accesso senza richiesta di consenso anche qualsiasi società controllata di una società statunitense, come lo è G.Ireland, nonostante sede sociale e server in territorio extra USA.

L’avvocato Scorza ricorda che anche per il Garante francese, come per quello austriaco, la versione 4 del GA non è ammissibile, se non tratta dati anonimi, e che in sede di board i garanti europei hanno deciso quali saranno le linee guida delle varie sentenze che emaneranno in merito, anche se con lievi spazi di manovra di ognuno.

Quali opzioni rimangono, allora, per chi si vuole avvalere di un servizio di analisi statistica per il proprio sito?

  • Non usare G.Analytics, in nessuna versione, se non si è sicuri di poter rendere impossibile il riconoscimento dell’utente
  • Usare l’ultima versione di G.Analytics, impostando la piattaforma sull’anonimizzazione dei dati, e interponendo un sistema che renda ANONIMI i dati personali PRIMA della raccolta da parte di Google, con l’aggiunta della raccolta del consenso esplicito dell’interessato al trasferimento dei dati in territorio extra UE
  • Usare un servizio di analisi statistica con sede sociale e server in Europa che non effettua alcun trasferimento dati al di fuori della comunità europea, come l’esempio suggerito dal Garante stesso in Matomo.

Nel frattempo, come “velatamente” suggerito dal Garante, smontate GA dal vostro sito.

L’avvocato Guido Scorza ha anche ricordato due cose molto importanti:

  • con questa sentenza stiamo parlando della società Caffeina Media srl, solo perchè il reclamo è arrivato per questa (ed altre tre, come già detto nell’articolo precedente), ma ciò non toglie che in pratica si sta parlando di TUTTE quelle aziende che stanno usando Google Analytics, e le raccomandazioni fatte dal Garante sono rivolte a tutte loro, indifferentemente. Come detto sopra, ricordatevi che avete tempo fino al 21/9/2022 per mettervi in regola.
  • sempre con questa sentenza stiamo parlando di Google Analytics, ma il problema del trasferimento dati sussiste per TUTTI quei servizi erogati da società statunitensi, per cui teniamo a mente che potremmo essere sanzionabili anche usando Microsoft, Mailchimp o ActiveCampaign, tanto per citarne alcuni che sono già stati sottopposti al vaglio di vari garanti europei.

Piccola nota dell’ultimo minuto: a seguito della sentenza emessa dal Garante italiano sembra che anche noi abbiamo un novello Max Schrems intenzionato a dare del filo da torcere a migliaia di siti, come suggerito dalla mole di mail che hanno inondato in questi giorni altrettante migliaia di titolari di trattamento.

Ne vedremo delle belle.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.

Torna su
Questo sito utilizza cookie tecnici e di profilazione. Cliccando su autorizzo si accettano tutti i cookie di profilazione. Cliccando su rifiuta o la X si rifiutano tutti i cookie di Profilazione. Cliccando su personalizza è possibile selezionare quali cookie di profilazione attivare.
Attenzione: alcune funzionalità di questa pagina potrebbero essere bloccate a seguito delle tue scelte Privacy.