Il Garante Danese ha pubblicato sul proprio sito delle FAQ che fungono come una sorta di mini guida in merito a Google Analytics dopo le varie sentenze dei garanti europei relative all’uso di questo strumento da parte dei siti web.
Ne riportiamo qui la traduzione integrale, insieme al link per la consultazione in originale.
Google Analytics
Pratica europea recente
Nel corso del 2022 sono state prese decisioni in diversi casi su Google Analytics in Austria, Francia e Italia.
I casi sono stati generati da reclami presentati dall’organizzazione None of Your Business (“NOYB”) a diverse autorità europee di protezione dei dati sulla scia della sentenza della Corte di giustizia denominata “Schrems II”. I reclami sono relativi all’utilizzo dello strumento Google Analytics, che secondo NOYB comporta il trasferimento di dati personali dei visitatori del sito web a Google negli Stati Uniti in violazione delle norme sulla protezione dei dati.
Google Analytics è uno strumento che consente ai proprietari di siti Web di compilare statistiche sui visitatori del sito, ad es. per poter ottimizzare i contenuti del sito stesso. Ciò avviene assegnando al visitatore un identificatore univoco al fine di generare statistiche sulle visite effettuate, sulle visualizzazioni di pagina, ecc. Oltre all’identificatore individuale, vengono raccolte informazioni aggiuntive sull’interazione del visitatore con il sito Web, sull’ora in cui viene effettuata la visita, nonché informazioni sul browser dell’utente, sul sistema operativo, ecc.
Le organizzazioni europee che desiderano utilizzare Google Analytics stipulano un accordo con Google Ireland Ltd. Come parte di questo accordo di base, Google offre di stipulare un cosiddetto contratto standard, che conferisce al registrato una serie di garanzie e diritti in relazione al trasferimento di dati personali a Google LLC negli Stati Uniti.
Tuttavia, questo contratto non può sempre garantire di per sé un livello di protezione che corrisponda essenzialmente al livello di protezione nell’UE/SEE. Ciò vale in particolare nei casi in cui le forze dell’ordine del paese terzo possono accedere ai dati personali trasferiti in misura sproporzionata e in violazione delle norme del Regolamento Europeo.
Concretamente, la questione fondamentale è che ai dati personali trasferiti negli USA in alcuni casi non viene garantito un livello di protezione che corrisponda essenzialmente al livello di protezione all’interno dell’UE/SEE. Ciò è dovuto al fatto che alcune leggi statunitensi – il Foreign Intelligence Surveillance Act (FISA) sezione 702 e l’Executive Order 12 333, insieme alla Presidential Policy Directive-28 – non soddisfano il requisito di proporzionalità del diritto dell’UE quando interferiscono con i diritti fondamentali e, nel contempo, gli interessati non hanno accesso a mezzi di ricorso effettivi. Questo è quanto è stato rilevato e su cui si è pronunciata la Corte di giustizia dell’UE nella citata causa Schrems II. Per il trasferimento di dati personali ad organizzazioni negli Stati Uniti soggette alla normativa di cui sopra, è pertanto necessario adottare ulteriori misure, in modo che il livello generale di protezione sia portato a un livello che corrisponde essenzialmente al livello di protezione nell’UE/SEE. Tali misure possono essere tecniche, contrattuali e organizzative.
Nei casi presi in esame Google ha indicato che la società aveva adottato ulteriori misure contrattuali, organizzative e tecniche. Tuttavia, le autorità di controllo hanno ritenuto che tali misure non potessero garantire un livello efficace di protezione delle informazioni trasferite, poiché le misure non erano idonee a contrastare l’accesso ai dati personali da parte delle forze dell’ordine statunitensi.
Il trasferimento di dati personali negli USA tramite Google Analytics era quindi illegale.
Domande e risposte
- È possibile configurare lo strumento Google Analytics in modo tale che i dati personali non vengano trasferiti negli Stati Uniti?
Nelle sue risposte alle autorità di regolamentazione europee, Google ha affermato che tutte le informazioni raccolte tramite Google Analytics vengono elaborate e archiviate negli Stati Uniti.
Inoltre, l’Autorità danese per la protezione dei dati personali non è a conoscenza di alcun cambiamento nell’assetto tecnico di Google dopo le decisioni, che si traducono nel fatto che Google Analytics è uno strumento che non può essere utilizzato senza trasferimento di dati personali negli Stati Uniti.
Per chiarire ciò, l’Autorità danese per la protezione dei dati personali deve indirizzare le organizzazioni che utilizzano Google Analytics a contattare Google come fornitore di tecnologia.
2. È possibile configurare lo strumento Google Analytics in modo tale che non vengano raccolti dati personali?
Le norme sulla protezione dei dati si applicano sostanzialmente al trattamento dei dati personali.
In altre parole, le norme sulla protezione dei dati non si applicano quando le informazioni raccolte ed elaborate non sono dati personali.
Dopo le decisioni, è stato discusso se sia possibile impostare Google Analytics in modo tale che non vengono raccolti dati personali. Fondamentalmente, Google Analytics funziona assegnando al visitatore un identificatore univoco.
Oltre all’identificatore individuale, vengono raccolte informazioni aggiuntive sull’interazione del visitatore con il sito Web, sull’ora in cui il visitatore fa l’accesso, e informazioni sul browser del visitatore, sul sistema operativo ecc.
a) Condivisione dei dati e Google Signals.
Inoltre, ci sono una serie di impostazioni in Google Analytics che consentono al proprietario del sito web di condividere informazioni con Google.
Si tratta delle cosiddette impostazioni di condivisione dei dati, che consentono a Google di elaborare le informazioni raccolte per l’utilizzo, ad es. sviluppo di prodotti Google e Google Signals, che consente a Google di raccogliere informazioni aggiuntive, ad es. da utilizzare nel marketing mirato.
Tuttavia, l’Autorità danese per la protezione dei dati è consapevole che è possibile disattivare queste impostazioni o non attivarle. L’Autorità danese per la protezione dei dati comprende anche che, sulla scia della decisione dell’autorità di vigilanza austriaca del gennaio 2022, Google ha iniziato a mettere a disposizione dei propri clienti impostazioni aggiuntive che consentono di configurare lo strumento – almeno Google Analytics 4 – in modo che un gran numero di informazioni aggiuntive su, tra l’altro, browser, sistema operativo, ecc. non vengono raccolte.
b) Identificativo unico.
Anche se le impostazioni di cui sopra sono disattivate, e a condizione che Google Analytics sia configurato per raccogliere il minor numero di informazioni possibile, l’opinione immediata dell’Autorità danese per la protezione dei dati personali è che le restanti informazioni raccolte tramite lo strumento costituiscono comunque dati personali degli interessati.
Questo è dovuto al fatto che l’identificatore univoco del visitatore, le informazioni sull’interazione del visitatore con il sito Web, l’ora e la posizione approssimativa del visitatore continueranno a essere raccolte.
Il fatto più rilevante è che un identificatore univoco consente di designare la singola persona a cui si riferiscono le informazioni. Ciò vale anche se non è possibile apporre un nome o un’identità specifici alla persona in questione.
Il regolamento sulla protezione dei dati sottolinea in modo specifico nel suo preambolo il fatto che le informazioni che consentono di identificare una persona costituiscono dati personali.
In generale si può quindi ritenere identificata una persona fisica, quando l’individuo in questione può essere separato da tutti gli altri in un gruppo più ampio di persone.
ùL’Autorità danese per la protezione dei dati riconosce che si tratta di un’interpretazione estensiva del concetto di dati personali e del modo in cui si applicano le norme sulla protezione dei dati.
Tuttavia, non è l’espressione di una nuova pratica, ma è stata piuttosto una posizione paneuropea dal 2007, quando attraverso l’articolo 29- il gruppo (predecessore dell’European Data Protection Board) ha adottato un parere sul concetto di “dati personali”. Il parere può essere trovato qui: https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2007/wp136_en.pdf.
Inoltre, uno degli scopi fondamentali delle norme sulla protezione dei dati è garantire una protezione effettiva e completa dei diritti e delle libertà fondamentali delle persone fisiche, in particolare il diritto alla vita privata e il diritto alla protezione dei dati. Come tutte le altre norme dell’UE, le norme sulla protezione dei dati devono essere interpretate alla luce dello scopo delle norme.
Un’interpretazione troppo restrittiva del termine “informazioni personali” comporterà il rischio che le norme non raggiungano lo scopo di garantire la completa protezione dei diritti dei cittadini.
3. Credo di aver configurato Google Analytics in modo che non vengano raccolti dati personali. Sto violando la normativa se continuo a utilizzare Google Analytics?
No, l’Autorità danese per la protezione dei dati non ha emesso un divieto all’uso di Google Analytics.
L’Autorità danese per la protezione dei dati non ha il potere di vietare determinati prodotti, ma valuta – in modo del tutto neutrale dal punto di vista tecnologico – se il trattamento dei dati personali in uno o più modi, compreso l’utilizzo di specifiche tecnologie, avvenga in conformità con le norme sulla protezione dei dati.
È sempre, come per tutti gli altri trattamenti di dati personali, l’organizzazione che ne fa uso, la responsabile dei dati, che deve essere in grado di dimostrare che le attività di trattamento dell’organizzazione sono svolte nel rispetto delle norme sulla protezione dei dati.
Se ritieni che la configurazione e l’utilizzo di Google Analytics differiscano dalle condizioni che l’Autorità danese per la protezione dei dati ha esaminato più da vicino, è necessario documentarlo ed essere in grado di dimostrare come i vari problemi individuati dall’ispezione non siano rilevanti per l’uso dello strumento da parte dell’organizzazione.
Se non hai utilizzato un assetto diverso da quello che è il punto di partenza per l’orientamento del Garante per la protezione dei dati personali, ma piuttosto una diversa valutazione giuridica delle condizioni, come organizzazione, assumerai un rischio posizionale.
Nel caso specifico, l’Autorità danese per la protezione dei dati personali effettuerà la stessa valutazione che esprimiamo qui. Tuttavia, in quanto autorità amministrativa di controllo, il Garante per la protezione dei dati personali è soggetto a controllo giurisdizionale. Alla fine, quindi, saranno i tribunali a dover decidere come le diverse condizioni devono essere valutate giuridicamente.
4. Quindi un’informazione pseudonimizzata non può essere considerata una misura integrativa efficace?
La “pseudonimizzazione” è definita nelle norme sulla protezione dei dati come “trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’uso di dati aggiuntivi”.
Tuttavia, secondo l’EDPB, vi sono una serie di condizioni che devono essere soddisfatte affinché la pseudonimizzazione sia considerata una misura complementare efficace per i trasferimenti di dati personali verso paesi terzi.
Una di queste condizioni è che l’organizzazione che desidera utilizzare Google Analytics possa dimostrare, attraverso un’analisi completa, che i dati pseudonimizzati non possono essere attribuiti a una persona fisica senza l’uso di informazioni aggiuntive.
Tale analisi tiene conto, in particolare, delle informazioni supplementari che le autorità del paese terzo interessato potrebbero possedere e utilizzare per attribuire i dati pseudonimizzati a una persona fisica. Tali informazioni, che possono essere utilizzate per assegnare informazioni pseudonimizzate a una persona fisica, riguardano, tra le altre cose, l’indirizzo IP.
a) Anonimizzazione dell’IP.
Per quanto riguarda l’indirizzo IP, una misura frequentemente evidenziata per Google Analytics (Universal Analytics) è la possibilità di anonimizzare l’IP.
Con questa misura, l’ultimo ottetto (192.168.1.XXX) degli indirizzi IP raccolti viene impostato a 0 (per gli indirizzi IPv6 questo accade per gli ultimi 80 bit). Nella sua documentazione, Google afferma, che questa anonimizzazione avvenga “non appena tecnicamente possibile” e che l’indirizzo IP non venga mai scritto su un disco.
Sulla base della risposta di Google alle autorità di vigilanza, tuttavia, non è chiaro se l’anonimizzazione (da parte di Universal Analytics) avvenga prima del trasferimento delle informazioni negli USA. D’altra parte, dalla documentazione di Google risulta che la raccolta di informazioni tramite Google Analytics avviene tramite data center regionali.
A questo proposito, Google utilizza l’indirizzo IP del visitatore del sito web per determinare dove si trova il data center più vicino. Per i visitatori che accedono al sito Web di un’organizzazione danese, questo probabilmente significherà che i visitatori si colleghino a un server europeo prima che le informazioni vengano inviate a Google negli Stati Uniti.
In pratica, tuttavia, questo può anche significare che i visitatori che accedono al sito web di un’organizzazione danese da altri paesi, ad esempio dall’Asia, non sono mai collegati a un server europeo, ma sono collegati direttamente a un server di Google negli Stati Uniti, se questo server è più vicino alla posizione del visitatore.
In altre parole, l’indirizzo IP dei visitatori può essere trasferito negli Stati Uniti prima di poter essere anonimizzato.
b) Google Analytics 4.
Per quanto riguarda Google Analytics 4, dalla documentazione di Google risulta che gli indirizzi IP vengono utilizzati per determinare la posizione approssimativa del visitatore, dopodiché l’indirizzo viene eliminato prima che le informazioni vengano registrate su un server.
Lo stesso problema di Universal Analytics è quindi presente anche per Google Analytics 4, poiché, a seconda dell’ubicazione della persona registrata, il collegamento può avvenire direttamente, ad es., sui server statunitensi prima di eliminare l’indirizzo.
Allora, qual è il problema?
La sfida di potersi connettere direttamente ai server americani è che Google, come parte delle consuete misure di sicurezza, ha presumibilmente implementato firewall che proteggono l’infrastruttura di Google e che questi firewall registrano il traffico in entrata.
Le informazioni provenienti da tali registri possono essere incrociate con le informazioni raccolte per l’utilizzo da parte di Google Analytics.
In questo modo, le informazioni sull’indirizzo IP, per esempio, potrebbero essere idonee all’identificazione, anche se queste informazioni non sono raccolte tramite Google Analytics.
Ci sono poi canali legali, come accordi di mutua assistenza legale, attraverso i quali le autorità pubbliche del paese terzo, tramite l’intervento della polizia e dei fornitori di servizi Internet, possono ottenere informazioni precise sull’effettiva persona fisica alla quale è collegato il relativo indirizzo IP.
In definitiva, ciò significa che le informazioni in questione non sono effettivamente pseudonimizzate, in quanto le forze dell’ordine del paese terzo possono accedere a informazioni aggiuntive che consentono di attribuire le informazioni di Google Analytics a una persona fisica.
5. Potete implementare voi stessi efficaci misure tecniche supplementari?
Il Comitato europeo per la protezione dei dati ha preparato una serie di raccomandazioni su misure aggiuntive che un’organizzazione può attuare in relazione al trasferimento di informazioni verso paesi terzi.
Nelle sue raccomandazioni, il Consiglio per la protezione dei dati sottolinea, tra l’altro, pseudonimizzazione e crittografia come possibili misure tecniche, che però non possono essere efficaci nel contrastare l’accesso ai dati personali da parte delle autorità statunitensi e portare così un livello di protezione sufficiente al livello europeo richiesto.
a) Crittografia
In generale, la crittografia può essere un’efficace misura tecnica supplementare. Tuttavia, richiede alcuni requisiti per l’impostazione della crittografia.
Per far sì che la crittografia possa essere considerata un’efficace misura tecnica supplementare, le chiavi di crittografia devono essere controllate esclusivamente dall’esportatore di dati o da un terzo all’interno dell’UE/SEE o in un paese terzo sicuro.
L’implementazione della crittografia da parte di Google non costituisce quindi un’efficace misura tecnica supplementare, poiché la crittografia viene eseguita da Google stessa, negli Stati Uniti.
In questo caso, a Google potrebbe essere richiesto di fornire l’accesso ai dati personali trasferiti che sono in possesso, custodia o controllo dell’azienda, comprese le chiavi di crittografia che rendono leggibili le informazioni.
Google LLC ha quindi accesso ai dati personali in chiaro e la crittografia non è quindi efficace in questo caso.
b) Pseudonimizzazione.
Un’altra possibile misura tecnica supplementare che può essere rilevante quando si utilizza Google Analytics è la pseudonimizzazione.
Tuttavia, secondo il Comitato europeo per la protezione dei dati, esistono una serie di condizioni che devono essere soddisfatte affinché questa tecnologia possa essere considerata un’efficace misura supplementare.
In questo caso, la pseudonimizzazione può essere implementata istituendo un server proxy inverso che funge da hub per il traffico Internet dei visitatori del sito web. In questo modo, un’organizzazione può ottenere il controllo su quali informazioni vengono raccolte e quali informazioni vengono successivamente inviate ai server utilizzato per fornire lo strumento per le statistiche web, ad esempio i server di Google.
Le organizzazioni che intendono istituire una delega inversa devono essere consapevoli che la delega deve essere configurata in modo tale che siano soddisfatte le condizioni per un’effettiva pseudonimizzazione.
Questo significa sostanzialmente che le autorità pubbliche del paese importatore non devono essere in grado di attribuire le informazioni pseudonimizzate a una persona identificabile né da sole né in combinazione con informazioni aggiuntive.
L’autorità francese per la protezione dei dati ha preparato una guida dettagliata per le organizzazioni che desiderano istituire un proxy inverso, che può essere trovata qui: https://www.cnil.fr/en/google-analytics-and-data-transfers-how-make-your-analytics-tool-compliant-gdpr
6. Utilizzando un approccio basato sul rischio, i titolari del trattamento possono tenere conto della probabilità che le forze dell’ordine richiedano le informazioni specifiche?
No. I dati personali trasferiti in paesi al di fuori dell’UE/SEE devono godere di un livello di protezione nei paesi terzi sostanzialmente equivalente a quello all’interno dell’UE.
In particolare, la possibilità per le autorità incaricate dell’applicazione della legge di accedere ai dati personali secondo normative e prassi legali che non soddisfano i requisiti minimi del diritto dell’UE, pregiudica i diritti e le libertà fondamentali degli interessati.
Nel caso in cui tale accesso sia possibile – e non solo quando l’accesso sia probabile – e le norme e le prassi legali che regolano tale accesso non consentano di garantire agli interessati un livello di protezione sostanzialmente corrispondente a quello europeo, è necessario adottare misure tecniche aggiuntive per rendere impossibile o inefficace l’accesso.
Non è quindi possibile applicare un approccio in cui l’organizzazione non adotti le misure aggiuntive necessarie, ma presuppone solo che è improbabile che le autorità del paese terzo richiedano l’accesso ai dati personali trasferiti.
7. È possibile utilizzare Google Analytics sulla base del consenso dei visitatori?
Secondo il Garante per la protezione dei dati personali, le condizioni generali per il trasferimento di dati personali verso paesi terzi non sono da considerarsi equivalenti tra loro, ma dovrebbero essere valutate nell’ordine in cui compaiono nelle norme sulla protezione dei dati.
Risulta al riguardo che in situazioni particolari possono essere previste eccezioni (un esempio ne è il caso dei bonifici da/verso paesi terzi).
Una delle eccezioni descritte è se l’interessato acconsente espressamente a ciò.
Tale consenso può essere prestato solo dopo che l’interessato è stato informato dei possibili rischi che tali trasferimenti possono comportare per l’interessato.
Al riguardo, è opinione delle autorità di vigilanza europee che queste eccezioni – come il consenso – devono essere intese in modo restrittivo, in modo che le eccezioni non diventino la regola principale.
L’utilizzo del consenso come base per il trasferimento è quindi, a giudizio del Garante, non compatibile con un uso abituale di Google Analytics, dove il trasferimento di tutte le informazioni che vengono raccolte quando si utilizza lo strumento, diventa la regola principale.
8. Che dire della dichiarazione di Google secondo cui l’azienda non ha mai ricevuto richieste dalle autorità statunitensi per l’accesso alle informazioni raccolte tramite Analytics?
A seguito della prima decisione in merito a Google Analytics da parte dell’autorità austriaca di controllo dei dati, Google ha affermato che nei 15 anni in cui Google ha fornito lo strumento Analytics, l’azienda non ha mai ricevuto il tipo di richiesta di conferimento dei dati personali che era al centro del caso presso la vigilanza austriaca dei dati.
L’Autorità danese per la protezione dei dati riconosce l’apertura e il desiderio di Google di creare ulteriore trasparenza sulle richieste delle autorità di intelligence che l’azienda riceve.
La valutazione se la legislazione “problematica” in un paese terzo si applichi concretamente alle informazioni che un’organizzazione europea desidera trasferire nel paese terzo, non può, tuttavia, basarsi esclusivamente sulla dichiarazione dell’importatore di dati – qui di Google –.
Di seguito risulta dalle raccomandazioni del Comitato europeo per la protezione dei dati e dalla guida dell’Autorità danese per la protezione dei dati sul cloud che tali affermazioni devono essere supportate da informazioni obiettive, affidabili e accessibili.
Per maggiori dettagli sui requisiti di come un’organizzazione può documentare la sua eventuale valutazione che la normativa “problematica” non sia applicata dalle autorità del paese terzo alle specifiche informazioni che devono essere trasferite, il Garante per la protezione dei dati personali fa riferimento alle raccomandazioni del Comitato europeo per la protezione dei dati e a quelle della guida alla supervisione sul cloud.
9. C’è un periodo di adeguamento?
L’Autorità danese per la protezione dei dati generalmente non opera con periodi di grazia per legalizzare qualsiasi attività di trattamento illegale.
Al contrario, le sentenze emesse dalla Corte di giustizia europea sono in linea di principio retroattive.
Questo perché le sentenze non sono espressione di una nuova legislazione, ma piuttosto interpretazione e comprensione della legislazione esistente.
Tuttavia, la prontezza in cui un’organizzazione adotta attivamente misure per rendere le sue attività di trattamento conformi alle norme è naturalmente inclusa nella valutazione di un caso da parte dell’autorità danese per la protezione dei dati personali.
In situazioni particolari come questa viene data importanza anche se è stato precedentemente possibile un trasferimento di dati personali sulla base di una decisione di adeguatezza della Commissione UE, che, nel caso degli USA, è decaduta con la sentenza Schrems II nel luglio 2020.
Sarà incluso nella valutazione anche quanto tempo dopo la decisione viene avviato un tale processo di legalizzazione.
Organizzazioni in Danimarca, che utilizzano Google Analytics in circostanze simili devono quindi valutare se il loro eventuale uso continuato dello strumento rientri nel quadro delle norme sulla protezione dei dati. In caso contrario, l’organizzazione ha il dovere di legalizzare l’uso dello strumento o, se necessario, di interrompere l’utilizzo dello strumento.
Per possibili strumenti alternativi per la compilazione di statistiche web, il Garante danese per la protezione dei dati personali può fare riferimento alla panoramica predisposta dall’autorità di controllo francese, CNIL.
Tuttavia, l’Autorità danese per la protezione dei dati non ha valutato gli strumenti in questione in modo più dettagliato. La responsabilità di poter dimostrare che l’uso dello strumento è conforme alle norme sulla protezione dei dati, è quindi responsabilità delle organizzazioni che desiderano utilizzare gli strumenti in questione.
10. Un nuovo accordo tra UE e USA sul trasferimento dei dati personali potrebbe essere dietro l’angolo?
Nel marzo 2022, la Commissione europea e gli Stati Uniti hanno annunciato che un nuovo quadro transatlantico sulla privacy dei dati consentirà ancora una volta di trasferire dati personali tra l’UE e gli Stati Uniti dopo Schrems II, che ha abrogato la decisione della Commissione che in precedenza rendeva tali trasferimenti possibili.
L’autorità danese per la protezione dei dati naturalmente accoglie favorevolmente gli sforzi della Commissione per raggiungere un accordo con gli Stati Uniti che consenta lo scambio di dati personali attraverso l’Atlantico e, sebbene questo possa col tempo avere una grande importanza, tale intesa, in linea di principio, finora è soltanto sulle grandi linee.
Quindi, l’accordo non è ancora così concreto, e le dichiarazioni di intenti non possono fare la differenza per le organizzazioni che trasferiscono dati personali negli Stati Uniti.
In sostanza, non esiste ancora una nuova base di trasferimento e una valutazione di adeguatezza.
L’Autorità danese per la protezione dei dati si aspetta che la Commissione europea, una volta negoziati i dettagli finali e tradotto l’accordo in documenti legali, chiederà un parere al Comitato europeo per la protezione dei dati.
Nell’ipotesi che si redigano tali documenti, l’autorità danese per la protezione dei dati parteciperà ovviamente a questo lavoro sotto gli auspici del comitato europeo per la protezione dei dati e contribuirà a valutare se l’accordo soddisfa i requisiti fissati dalla Corte di giustizia europea in relazione alla sentenza Schrems II.
Allo stesso modo, il Comitato europeo per la protezione dei dati ha dichiarato la sua disponibilità ad assistere la Commissione europea nel garantire, insieme agli Stati Uniti, un nuovo quadro che sia pienamente conforme alla legge europea di base sulla protezione dei dati.
Tuttavia, un orizzonte temporale più preciso per l’accordo rimane ancora sconosciuto.
11. Quale versione di Google Analytics ha esaminato più da vicino l’Autorità danese per la protezione dei dati personali? Universal Analytics o Google Analytics 4?
Entrambe le edizioni
Google ha annunciato a marzo 2022 che lo strumento Google Universal Analytics sarà gradualmente eliminato a luglio 2023 e che Google renderà disponibile solo lo strumento Google Analytics 4 in futuro.
L’Autorità danese per la protezione dei dati è consapevole del fatto che Google Universal Analytics e Google Analytics 4 funzionano tecnicamente e metodicamente in modo diverso.
Tuttavia, ci sono ancora alcune somiglianze cruciali.
Comune a entrambe le versioni è che al visitatore viene assegnato un identificatore univoco e che, in relazione a questo identificatore, vengono raccolte informazioni aggiuntive sull’interazione del visitatore con il sito Web, sull’ora approssimativa di accesso del visitatore e informazioni sul browser del visitatore, sistema operativo ecc.
L’Autorità danese per la protezione dei dati comprende inoltre che, sulla scia della decisione dell’autorità di controllo austriaca del gennaio 2022, Google ha iniziato a mettere a disposizione dei propri clienti impostazioni aggiuntive, che consentono di configurare Google Analytics 4 in modo che un’ampia gamma di informazioni come, ad esempio, browser, sistema operativo, ecc. non vengono raccolti.
a) Identificativo unico.
Anche se queste impostazioni vengono utilizzate e Google Analytics 4 è configurato per raccogliere il minor numero di informazioni possibile, il parere immediato dell’Autorità danese per la protezione dei dati è che le restanti informazioni raccolte tramite lo strumento costituiscono comunque dati personali degli interessati.
Questo è dovuto al fatto che l’identificatore univoco del visitatore, le informazioni sull’interazione del visitatore con il sito Web, l’ora e la posizione approssimativa del visitatore continueranno a essere raccolte.
b) Tuttavia, Google Analytics 4 non raccoglie indirizzi IP. Non è abbastanza?
Dalla documentazione di Google risulta che la raccolta di informazioni tramite Google Analytics avviene tramite data center regionali.
A questo proposito, Google utilizza l’indirizzo IP del visitatore del sito web per determinare dove si trova il data center più vicino.
Per i visitatori, l’accesso al sito Web di un’organizzazione danese significherà probabilmente che i visitatori si connetteranno a un server europeo prima che le informazioni vengano inviate a Google negli Stati Uniti.
In pratica, tuttavia, ciò può anche significare che i visitatori che accedono al sito web di un’organizzazione danese da altri paesi, ad esempio dall’Asia, non sono mai collegati a un server europeo, ma si connette direttamente a un server di Google negli Stati Uniti se questo server è più vicino alla posizione del visitatore.
In altre parole, l’indirizzo IP dei visitatori può essere trasferito negli Stati Uniti prima di poter essere anonimizzato.
Per Google Analytics 4, ciò significa che gli indirizzi IP vengono utilizzati per determinare la posizione approssimativa del visitatore, dopodiché l’indirizzo viene eliminato prima che le informazioni vengano registrate su un server.
A seconda dell’ubicazione della persona registrata, il collegamento può quindi avvenire direttamente sui server statunitensi prima che l’indirizzo venga eliminato, anche con Google Analytics 4.
Allora, qual è il problema?
La sfida di potersi connettere direttamente ai server americani è che Google, come parte delle consuete misure di sicurezza, ha presumibilmente implementato firewall che proteggono l’infrastruttura di Google e che questi firewall registrano il traffico in entrata.
Le informazioni provenienti da tali registri possono essere incrociate con le informazioni raccolte per l’utilizzo da parte di Google Analytics.
In questo modo, le informazioni sull’indirizzo IP, per esempio, potrebbero essere idonee all’identificazione, anche se queste informazioni non sono raccolte tramite Google Analytics.
Ci sono poi canali legali, come accordi di mutua assistenza legale, attraverso i quali le autorità pubbliche del paese terzo, tramite l’intervento della polizia e dei fornitori di servizi Internet, possono ottenere informazioni precise sull’effettiva persona fisica alla quale è collegato il relativo indirizzo IP.
In definitiva, ciò significa che le informazioni in questione non sono effettivamente pseudonimizzate, in quanto le forze dell’ordine del paese terzo possono accedere a informazioni aggiuntive che consentono di attribuire le informazioni di Google Analytics a una persona fisica.
Link alle FAQ del Garante Danese
https://www.datatilsynet.dk/hvad-siger-reglerne/vejledning/internet-medier-og-apps-/google-analytics
Lascia un commento