Google analytics, sappiamo davvero cos’è? Si tratta di uno strumento che permette a chi gestisce un sito internet, non solo di monitorare le proprie campagne di marketing, ma anche e soprattutto di accedere a statistiche piuttosto dettagliate sulle abitudini degli utenti, così da ottimizzare i servizi per una customer experience sempre migliore. Ma è davvero così sicuro?
Google Analytics: cos’è che non convince?
Google è stata negli ultimi mesi, oggetto di diversi procedimenti in materia di protezione dei dati personali. Tra le varie autorità c’è anche il Garante italiano che, a seguito di un procedimento nei confronti della società nota per il suo magazine dal taglio leggero www.caffeinamagazine.it, ha dichiarato illegittimo l’utilizzo di Google Analytics.
Secondo lo stesso, Google Analytics (GA) trasmette i dati degli utenti dei siti negli Stati Uniti, Paese con uno scarso livello di protezione.
Perchè ritenere illecito l’ultilizzo di Google Analytics?
Google Analytics raccoglie, tramite cookie, informazioni sulle interazioni degli utenti, le singole pagine visitate e i servizi proposti. Tra i molteplici dati personali raccolti, vi è anche l’indirizzo IP del dispositivo dell’utente e informazioni relative al browser e non solo. Si può risalire al sistema operativo, alla risoluzione dello schermo, alla lingua selezionata, nonché data e ora della visita al sito web.
Informazioni che arrivano agli Stati Uniti, senza adeguate misure di sicurezza.
Il problema non sussisterebbe se tali dati fossero anonimizzati prima di essere trasferiti. Solo così sarebbe impossibile identificare la persona fisica cui appartenfono i dati e non si potrebbe parlare di trasferimento di “dati personali”.
Ebbene, nonostante Google Analytics metta a disposizione un meccanismo di anonimizzazione dei dati prima del loro trasferimento, per il Garante non tutela l’anonimato degli interessati. Perchè? Rimane sempre possibile per Google risalire all’identità della persona fisica, combinando i dati in suo possesso.
Perchè è un problema trasferire dati negli USA?
La Corte di Giustizia Europea, su ricorso dell’austriaco Maximilian Schrems, ha invalidato le decisioni della Commissione Europea con le quali la stessa individuava meccanismi per il trasferimento sicuro dei dati personali verso gli USA.
L’azione intrapresa da Max Schrems fonda le sue basi nelle rivelazioni di Edward Snowden circa le invasive attività di intelligence effettuate dalle Agenzie statunitensi, tra cui la National Security Agency (NSA), compiute ai sensi della normativa statunitense emanata a seguito dell’attacco terroristico dell’11 settembre 2001 al World Trade Center di New York (le c.d. Torri Gemelle) e alla sede del Pentagono.
In particolare, il Patriot Act, emanato 45 giorni dopo il suddetto attacco, dà ampi autonomi poteri alle Autorità federali, quali, ad esempio, consentire all’FBI di acquisire la cronologia di navigazione dei browser senza il mandato di un giudice, richiedere agli enti ed organizzazioni dati personali, la cronologia di navigazione internet di persone fisiche, richiedere gli indirizzi IP, l’apertura e chiusura di un account presso un provider di servizi internet, gli indirizzi email associati ad un particolare account, i protocolli di rete, etc..
Tali poteri pressoché illimitati delle autorità statunitensi hanno fatto sì che la ECJ ritenesse inadeguato e lontano dagli standard europei il livello di tutela dei dati personali implementato dalla normativa statunitense.
Google Analytics: l’impatto della decisione del garate italiano
Dal momento che il problema è costituito dal trasferimento dei dati personali verso gli USA, al di là dello strumento attraverso il quale lo stesso avviene, ci si aspetta che il provvedimento del Garante Privacy avente ad oggetto Google Analytics sia solo il primo di una serie di provvedimenti che coinvolgeranno altri software facenti capo a società con sedi e/o server in USA (quali, ad esempio, WhatsApp, Microsoft 365, Facebook, Instagram, Apple, etc.).
Senza una decisione politico-giuridica mirata a ridurre i rischi del trasferimento dei dati negli Stati uniti, non è possibile trasferire dati in sicurezza,come secondo il GDPR.
