Trattamento dati nell'utilizzo del servizio di Google Analytics

Google Analytics è un servizio di web analytics, fornito da Google, che consente di analizzare delle dettagliate statistiche sui visitatori di un sito web; ad es. al fine di misurare il numero di visite degli utenti del sito stesso.

La funzionalità di Google Analytics consente inoltre ai gestori di siti Web di monitorare e mantenere la stabilità del proprio sito Web, ad esempio tenendoli informati di determinati eventi come un picco di audience o l'assenza di traffico. 

In questo contesto, Google Analytics raccoglie, tra le altre cose, la query (i.e., l'interrogazione di una base di dati da parte di un utente), http dell'utente e informazioni sul browser e sul sistema operativo dell'utente. […] una richiesta http, per qualsiasi pagina, contiene i dettagli del browser e del dispositivo che effettua la query, come il nome di dominio e le informazioni sul browser come il tipo, il referer (il referer è semplicemente l'URL di un elemento che conduce all'elemento corrente: ad esempio, il referer di una pagina HTML può essere un'altra pagina HTML. In sostanza, esso rappresenta la fonte dalla quale un utente è venuto a conoscenza di una pagina. Google Analytics memorizza e legge i cookie sul browser dell'utente per valutare la sessione dell'utente e altre informazioni sulla query. (Fonte: Wikipedia)

Lo strumento è utilizzato per osservare vari tipi di statistiche come la durata della sessione, la provenienza della visita, il numero di pagine visitate, le pagine più viste, la posizione geografica, ecc.

Google Analytics funziona includendo un pezzo di codice JavaScript nelle pagine di un sito web.

Quando un utente visita una pagina Web, questo codice attiva il caricamento di un file JavaScript e quindi esegue l'operazione di tracciamento per Google Analytics. L'operazione di tracciamento consiste nel recuperare i dati relativi alla query attraverso vari mezzi e inviare tali informazioni ai server di Google Analytics.

A ciascun visitatore, pertanto, viene assegnato un identificatore univoco. Questo identificatore (che di per sé costituisce un dato personale) e i dati associati vengono trasferiti da Google negli Stati Uniti.

1) Il punto sul rispetto del GDPR sul trasferimento dei dati negli Stati Uniti

Alla luce della sentenza "Schrems II" della Corte di giustizia dell'Unione europea (CGUE)   del 16 luglio 2020, che ha invalidato il Privacy Shield, la CGUE aveva evidenziato il rischio che i servizi di intelligence americani accedano ai dati personali trasferiti negli Stati Uniti se i trasferimenti non fossero adeguatamente regolamentati.

Ebbene, suddetti trasferimenti negli Stati Uniti non sono attualmente sufficientemente regolamentati. Infatti, in assenza di una decisione di adeguatezza in merito ai trasferimenti negli Stati Uniti (che stabilisca che questo Paese offre un livello di protezione dei dati sufficiente rispetto al GDPR), il trasferimento dei dati può avvenire solo se sono previste garanzie adeguate. 

Ad oggi, sebbene Google abbia adottato misure aggiuntive per regolamentare i trasferimenti di dati nell'ambito della funzionalità di Google Analytics, queste non sono sufficienti per escludere l'accessibilità di questi dati per i servizi di intelligence statunitensi.

Nelle more di una presa di posizione ufficiale da parte del Garante per la protezione dei dati personali, si registrano le pronunce adottate da altre Autorità europee che, sebbene non abbiano valore prescrittivo in Italia, certamente influiranno a livello comunitario

La Autorità di controllo Francese (CNIL), al termine della sua istruttoria ha concluso che: “Pertanto, si deve concludere che la società non può invocare nessuno degli strumenti previsti dal Capo V del Regolamento per giustificare il trasferimento di dati personali dei visitatori del proprio sito web, ed in particolare identificatori univoci, indirizzi IP, dati del browser e metadati, a Google LLC negli Stati Uniti. Di conseguenza, con questo trasferimento di dati, la società compromette il livello di protezione dei dati personali degli interessati come garantito dall'articolo 44 del GDPR.”. (il link al quale collegarsi per leggere il testo in forma integrale è il seguente:  https://www.cnil.fr/en/use-google-analytics-and-data-transfers-united-states-cnil-orders-website-manageroperator-comply)

 La Autorità di controllo austriaca (DSB), in merito alla decisione adottata da Google di ricorrere all’anonimizzazione dei dati, nella decisione del 22/04/2022 ha affermato che “l’anonimizzazione da sola non è sufficiente” e ciò in quanto “l’indirizzo IP completo viene elaborato sul server di Google LLC per un certo periodo di tempo, anche se molto breve. Questo breve periodo di trattamento dei dati è sufficiente per soddisfare i requisiti dell’articolo 4, paragrafo 2, del GDPR.” E ancora afferma che “anche supponendo che l’indirizzo IP sia stato trattato solo da server nel SEE durante il periodo di tempo, si deve notare che Google può comunque essere obbligato dai servizi segreti statunitensi a consegnare l’indirizzo IP in base alla legge statunitense in materia”. (il link al quale collegarsi per leggere il testo in forma integrale è il seguente: https://www.dsb.gv.at/download-links/bekanntmachungen.html)

I Suddetti dati vengono quindi trasferiti negli Stati Uniti in violazione degli articoli 44 e segg. del GDPR. 

Si rende quindi necessario chiedere al gestore del sito web di rendere conforme tale trattamento al GDPR, interrompendo l'utilizzo della funzionalità di Google Analytics (alle condizioni attuali) o utilizzando uno servizio simile che non comporti un trasferimento al di fuori dell'UE. 

In attesa di una presa di posizione del Garante italiano, si suggerisce ai Titolari del trattamento di agire nei seguenti modi: 

• Sospensione del servizio di Google Analytics; per violazione dell’art. 44 (Principio generale per il trasferimento) del GDPR.
• Eventuale utilizzo, in alternativa a Google Analytics, del servizio Web Analytics Italia, offerto da AgID come Software as a service (SAAS: trattasi, in estrema sintesi, di un modello di servizio del software applicativo dove un produttore di software sviluppa, opera e gestisce un'applicazione web. Con l'utilizzo di SaaS, il software utilizzato non è installato localmente, ma viene messo a disposizione dei clienti tramite una connessione Internet. Tale soluzione è indicata come priorità nelle linee di indirizzo della digitalizzazione pubblica amministrazione, e basata sul software opensource in riuso Matomo. 
• Compiere un censimento/monitoraggio finalizzato ad accertare se siano presenti applicazioni di Google Analytics, o similari, negli applicativi forniti ed in uso all’interno della organizzazione facente capo al Titolare del trattamento, da parte dei Fornitori.