tablet con analisi cookie sopra un tavolo

Google Analytics 4 è conforme al GDPR?

IN QUESTO ARTICOLO

Il contesto giuridico

Dopo il provvedimento del Garante Italiano del 9 giugno scorso (doc web 9782890), Google Analytics è diventato un problema anche per le aziende del nostro Paese.

Sotto i riflettori dell’Autorità è finita una società italiana come tante, ragion per cui non ha senso citarne la ragione sociale. Dopo la sentenza del luglio 2020, infatti, la maggior parte dei servizi internet che usiamo trasferiscono dati personale negli Usa e pertanto sono fuorilegge.

In questa ipocrisia generale, che si giustifica solo col fatto che l’Europa non regge tecnologicamente il passo degli Usa, c’è una sorta di lotteria in base alla quale uno su un milione ogni tanto viene estratto dalle Autorità di Controllo dei diversi Paesi Europei.

“Il così fan tutti“, comunque, non è una buona ragione per non mettersi in regola, poiché, non solo v’è la possibilità di operare a norma di legge, ma anche possiamo in tal modo cogliere l’opportunità di innescare un cambiamento.

La sentenza di invalidamento del Privacy Shield Framework UE-USA

Prima di spendere due parole sul provvedimento del Garante Privacy, sarà bene fare un passo indietro ed andare lì dove tutto ha avuto inizio.

In principio fu la sentenza della Corte di Giustizia Europea del 12 luglio 2020, ci si passi l’espressione.

Prima di tale pronuncia, i trasferimenti di dati personali tra UE ed Usa erano perfettamente leciti, potendo trovare la loro base giuridica sul cosiddetto Privacy Shield, vale a dire su un quadro giuridico concordato tra Commissione Europea e Commissione per il Commercio Usa che, prevedendo una serie di misure a tutela della privacy, consentiva di considerare gli Stati Uniti un Paese adeguato. Affinché il trasferimento fosse lecito, infatti, era sufficiente che l’impresa statunitense, importatrice dei dati, si adeguasse al framework normativo iscrivendosi in un apposito registro che ne certificava la “compliance”.

Lo scudo UE-USA per la privacy, perché di questo si trattava,  entrato in vigore il 12 luglio 2016, in sostituzione di un accordo precedente, il Safe Harbor, è stato, tuttavia, dichiarato invalido dalla Corte di Giustizia Europea, che, in accoglimento del ricorso presentato dall’attivista austriaco Schrems, ha accertato l’inadeguatezza degli Usa sotto il profilo della privacy.

Le normative statunitensi in conflitto con il GPDR

Fondamentalmente le normative americane in conflitto con il GDPR sono tre:

  • La sezione 702 del Fisa Amendments Act del 2008
  • L’esecutive order n. 12333   dell’ ex Presidente Reagan
  • Il cloud act

La sezione 702 è una disposizione chiave del FISA Amendments Act del 2008 che consente al governo di condurre una sorveglianza mirata di persone straniere situate al di fuori degli Stati Uniti. I fornitori di servizi di comunicazione elettronica sono obbligati, secondo tale disposizione, a trasmettere, a semplice richiesta delle agenzie d’Intelligence statunitensi, tutte le informazioni in loro possesso. La Sezione 702 del Fisa ha una finalità difensiva contro soggetti stranieri, considerati ostili dal governo degli Stati Uniti.

L’ordine esecutivo 12333, risalente all’amministrazione Reagan è di fatto la base giuridica su cui il Governo Americano, dopo l’attentato alle Torri Gemelle nel 2001, ha avviato il progetto di sorveglianza di massa. Tale normativa è stata utilizzata dalla National Security Agency per la  raccolta di informazioni non crittografate presso i data center dei giganti delle comunicazioni Internet.

Il Cloud Act è una legislazione statunitense approvata nel marzo 2018 e rappresenta un’estensione dello Stored Communications Act (SCA) approvato nel 1986.
Questa legge conferisce alle autorità statunitensi il diritto di richiedere dati ai fornitori di servizi cloud statunitensi, indipendentemente dal Paese in cui tali dati siano memorizzati. Non rileva, quindi, se i clienti, cosiddetti interessati, e i dati dei clienti ricadano in un’altra giurisdizione.

L’atteso accordo tra UE ed Usa (TADPF) per il trasferimento transatlantico dei dati personali

La nuova proposta di regolamento sul trasferimento dei dati, il Trans-Atlantic Data Privacy Framework (TADPF), è in fase di negoziazione e dovrebbe essere disponibile entro la fine del 2022.

L’annuncio di un’intesa di principio è stato dato il 25 marzo scorso  in una conferenza stampa congiunta della Presidente della Commissione Europea Ursula von der Leyen e del Presidente Americano Biden.

Secondo quanto riportato da un report del “Congressional Research Service”, questo nuovo framework potrebbe prevedere l’istituzione di un’Autorità Imparziale nell’ambito del Ministero della Giustizia Americano, con il compito di supervisionare la attività di sorveglianza dell’intelligence americana avente ad oggetto cittadini europei.

Al momento, tuttavia, al di là dei buoni propositi, nessun accordo è stato formalizzato.

Il provvedimento del Garante per la Privacy Italiano del 9 giugno 2022

Va anzitutto precisato che il provvedimento del Garante Privacy ha riguardato GA3 e non GA4.

Fatta questa premessa, il Garante osserva che:

  • Il proprietario del sito agisce in qualità di titolare del trattamento e, (..) [da maggio 2021], Google Ireland Limited agisce in qualità di responsabile del trattamento dei dati raccolti tramite Google Analytics.
  • A partire dal 1° maggio 2021 è subentrata, quale controparte  “Google Analytics Terms of Service”, Google Ireland Limited che, ai sensi dei Google Analytics Terms of Service, può avvalersi di altri soggetti, in qualità di sub-responsabili del trattamento, fra cui Google LLC
  • Il predetto titolare del sito e del trattamento dei dati, attraverso i cookies di Google Analytics raccoglieva i seguenti dati personali:
    • identificatori online unici che consentivano sia l’identificazione del browser o del dispositivo dell’utente
    • indirizzo, nome del sito web e dati di navigazione;
    • indirizzo IP del dispositivo utilizzato dall’utente;
    • informazioni relative al browser, al sistema operativo, alla risoluzione dello schermo, alla lingua selezionata, nonché a data e ora della visita al sito web.
  • qualora il visitatore del sito web faccia accesso al proprio account Google –circostanza verificatasi nell’ipotesi in esame–, i dati sopra indicati possono essere associati ad altre informazioni presenti nel relativo account, quali;
    • l’indirizzo email (che costituisce l’user ID dell’account)
    • il numero di telefono ed eventuali ulteriori dati personali tra cui il genere la data di nascita o l’immagine del profilo.
  • Benché la società destinataria del provvedimento avesse attivato l’anonimizzazione dell’indirizzo IP degli interessati, dopo l’avvio dell’istruttoria,  il troncamento dell’ultimo ottetto, funzione fornita da Google, non impedisce a Google LLC di re-identificare l’utente medesimo, tenuto conto delle informazioni complessivamente detenute dalla stessa relative agli utenti del web.
  • Tanto assodato, la destinataria del provvedimento aveva sicuramente trasferito dati personali negli Usa, un Paese che, dopo la Sentenza della Corte di Giustizia Europea del luglio 2021 (cosiddetta Schrems II) non fornisce un adeguato livello di protezione dei dati personali.
Alla luce di queste premesse, la società in questione è stata diffidata a mettersi in regola entro 90 giorni, termine che andrà a scadere il prossimo 7 settembre.
Tale scadenza, anche in considerazione delle interviste successivamente rilasciate da alcuni componenti del Collegio del Garante, è stata considerata come una deadline per tutti i proprietari di siti internet. Si può ritenere, quindi, che prossimamente potrebbero essere comminate delle sanzioni. Come dire, uomo avvertito, mezzo salvato!
Il provvedimento del Garante Italiano si inserisce nel solco già tracciato da analoghi provvedimenti adottati nella prima metà del 2022 anche dal CNIL, vale a dire dal Garante Francese e dal Garante Austriaco.
Nel frattempo Google ha rilasciato Google Analytics 4, che, a detta di taluni ingenui, non molti a dire il vero, dovrebbe risolvere le criticità privacy palesate da GA3.
Ma è davvero così?

Panoramica di Google Analytics 4

Google Analytics 4 (GA4) è l’ultimo servizio di analisi di Google che consente di misurare il traffico e il coinvolgimento degli utenti con i  siti Web ed applicazioni.

GA4 è stato rilasciato il 14 ottobre 2020 e dovrebbe sostituire Universal Analytics. Il 1° luglio 2023, Universal Analytics standard smetterà di funzionare e il servizio di analisi predefinito di Google sarà GA4.

GA4 offre ai marketer e ai gestori di siti molti vantaggi che potrebbero essere impiegati per il content marketing:

  • Migliore tracciamento cross-device, che consente di tracciare i percorsi degli utenti su più dispositivi.
  • Migliore tracciamento tra app, che raccoglie i dati del sito Web e dell’app per tenere traccia delle interazioni tra siti Web e app mobili.
  • Utilizza gli eventi invece dei dati basati sulla sessione.
  • Più accurato tracciamento delle interazioni degli utenti.
  • Integrazioni dirette a piattaforme multimediali, che consentono di guidare immediatamente le azioni.
  • Machine learning, che consente approfondimenti automatici e capacità predittive.

Funzionalità privacy in Google Analytics 4

Per quanto riguarda le criticità della privacy, GA4  fornisce alcune funzionalità che, nei “desiderata” del gigante di Mountain View, dovrebbero consentire agli utenti di mettersi a norma e precisamente:

Anonimizzazione IP

La versione precedente di Google Analytics (GA) raccoglieva gli indirizzi IP degli utenti per impostazione predefinita. Ciò violava il  GDPR ed in particolare il principio della privacy by default sancito dall’art. 25 del regolamento europeo sulla protezione dei dati.

Finora Google Analytics consentiva l’attivazione della funzione di anonimizzazione dell’IP in modo da anonimizzare l’otteto dell’indirizzo IP, troncando le ultime ultime 3-4 cifre.

Peraltro, secondo le FAQ pubblicate da Google, l’anonimizzazione degli indirizzi IP non sarebbe più necessaria in quanto gli indirizzi non verrebbero registrati né archiviati.

Va, tuttavia rammentato, come, per il GDPR, la semplice attività di raccolta del dato costituisce un trattamento. In tal senso, pertanto, non solo l’anonimizzazione, contrariamente a quanto dichiarato da Google è non solo ancora necessaria, ma addirittura insufficiente.

Infatti

  • è Google stessa ad eliminare tali dati e dopo averli raccolti. E nel tempo che intercorre tra la raccolta e l’eliminazione,  potrebbe essere costretta a inviarli (all’insaputa del Titolare del trattamento), verso agenzie governative USA nei termini previsti dalle norme statunitensi applicabili;
  • anche se con GA4 Google promette di non archiviare l’intero indirizzo IP, Google, grazie alla mole infinita di dati personali già raccolti è ugualmente in grado, di identificarci, tracciarci e profilarci con le residue informazioni acquisite.

Durata della memorizzazione dei dati

Un’altra caratteristica fornita da GA4 riguarda la durata di archiviazione dei dati che è più breve rispetto a GA3. Nella versione precedente di GA i dati raccolti potevano essere archivitati per un massimo di 64 mesi.

In GA4 si dispone di due opzioni: 2 mesi o 14 mesi.

Posizione del server

L’elaborazione dei dati di Google Analytics avviene su più server, dislocati in tutto il mondo, la maggior parte dei quali negli Stati Uniti.

GA4, come i suoi predecessori, non consente agli utenti di scegliere dove verranno archiviati i propri dati.

Modalità di consenso

Ugualmente GA4, così come le precedenti versioni, utilizza i cookie per le sue elaborazioni. Per la pervasività di tali attività, per l’accuratezza delle stesse, per la possibilità di Google di incrociare i dati con altri dati personali, è sicuramente necessario acquisire il consenso.

Google Consent Mode è una funzionalità di privacy che consente di modificare il comportamento dei tag di Google su un sito Web in base alle preferenze di consenso dell’utente.

Ma anche in questo caso, si può veramente sostenere che il consenso espresso attraverso la funzionalità di GA4 corrisponde alla definizione di consenso esplicito ed informato che richiede il GDPR?

Cancellazione dei dati personali degli utenti

La maggior parte delle leggi sulla privacy, incluso il GDPR, riconoscono ai consumatori il diritto di richiedere la cancellazione dei propri dati.

In risposta a ciò, GA4 offre la possibilità di eliminare i dati di un singolo utente entro un determinato intervallo di tempo.

Sennonché il diritto all’oblio, per il GDPR, può essere espresso senza limitazioni temporali.

Regole relative alle informazioni di identificazione personale (PII)

Per rispettare la maggior parte delle leggi sulla privacy , incluso il GDPR, Google non consente agli utenti di raccogliere informazioni di identificazione personale in GA4. In effetti questa condotta viene considerata una violazione dei Termini di servizio di Google. Tutto bello, ma questa limitazione riguarda la condotta dei titolari del trattamento, mentre il vero problema è rappresentato dall’ “onnipotenza” di Google.

Condivisione dei dati con altri prodotti Google

Google  promuove la condivisione dei dati con altri prodotti Google come Google Signals o Google Ads.

A tale scopo offre determinati vantaggi, aumentando il risultato del monitoraggio.

Sennonché, la condivisione dei dati appare non poco in conflitto con la normativa privacy e, sempre secondo il GDPR, richiede un consenso esplicito, se non più di uno. Rimane anche in questo caso, la difficoltà di fornire all’interessato un’informazione chiara e dettagliata delle implicazioni di una tale condivisione, talché difficilmente il consenso potrebbe ritenersi validamente dato secondo la sensibilità della normativa privacy europea.

GA4 è davvero conforme al GDPR?

Quindi, dopo aver implementato tutte le funzionalità di GA4 per quanto riguarda la privacy degli utenti, GA4 è conforme al GDPR?

La risposta più corretta dovrebbe essere:

GA4 non è ancora conforme al GDPR.

Nonostante l’aggiunta di alcune funzionalità discutibilmente orientate alla privacy, GA4, in quanto distribuito da un’azienda controllata da una casa madre statunitense, non può essere considerato in linea con il Regolamento Europeo sulla protezione dei dati.

Allo stato, pertanto, non si può che prendere atto dal fatto che Google così come le altre big tech:

  • non è nelle condizioni giuridiche per poter proteggere  i dati dei cittadini e dei residenti dell’UE dalle leggi di sorveglianza degli Stati Uniti.
  • nemmeno GA4 dispone di alcun meccanismo per garantire l’archiviazione dei dati all’interno dell’UE o persino per selezionare un luogo di archiviazione regionale designato.
  • Google inoltre non informa gli utenti sui luoghi di archiviazione dei dati o sui trasferimenti di dati al di fuori dell’UE

Una possibile soluzione proposta dal CNIL

Volendo continuare ad usare Google Analytics 4, la soluzione proposta dal CNIL, l’Autorità Garante per la privacy francese, è quella di utilizzare un server proxy, cioè trasmettere i dati ad un server intermedio non di proprietà di Google ovviamente, al quale affidare il compito di cifrare i dati in modo da renderne impossibile l’utilizzo da parte di Google.

Più nel dettaglio, il server proxy dovrebbe garantire:

  • l’assenza di trasferimenti dell’indirizzo IP ai server di Google;
  • la sostituzione dell’identificativo utente;
  • la cancellazione delle informazioni del sito di riferimento esterne al sito;
  • la cancellazione di qualsiasi parametro contenuto negli URL raccolti;
  • la rielaborazione delle informazioni che possono partecipare alla generazione di un’impronta digitale, come gli “user-agents”, per rimuovere le configurazioni più rare che possono portare alla re-identificazione;
  • l’assenza di qualsiasi raccolta di identificatori tra siti (cross-site) o deterministici;
  • la cancellazione di ogni altro dato che possa comportare una re-identificazione.

Purtroppo, come riconosciuto  dallo stesso Garante francese, si tratta di misure di sicurezza la cui attuazione, oltre che complessa, sarebbe non immune da costi di gestione davvero rilevanti e, pertanto, tecnicamente poco praticabile.

Assolutamente no. Il problema del trasferimento dei dati extra Ue rimane insormontabile. Ma vi è di più! Quand’anche Google smettesse di trasferire i dati extra Ue e sostenesse di svolgere tutte le operazioni di trattamento all’interno dello Spazio Economico Europeo, la criticità permarrebbe. Infatti, in base alle normative americane di cui sopra, il governo americano può esigere che una società con sede negli Usa trasmetta i dati personali raccolti a prescindere dal luogo in cui gli stessi vengono conservati, quindi anche se gli stessi siano trattata e stivati in server europei.

Tool alternativi a GA4

Su tutti Matomo e Plausible.

Si tratta di due progetti europei, sviluppati da società con sede nello spazio economico europeo e server in Europa. In tal modo il problema viene risolto alla radice: ci si mette in regola smettendo di trasferire dati personali negli Usa.

Inoltre, poiché queste società non sono affiliate a nessuna casa madre americana, non vi è nemmeno il rischio dell’applicazione del Cloud Act. Nessuna Autorità Americana potrà imporre alle stesse di trasmettere dati personali al Governo degli Stati Uniti ed alle sue agenzie.

A differenza di Ga4, questi tool non sono gratuiti.

Matomo è un po’ più elaborato e necessita di alcuni settaggi per essere perfettamente in compliance con la privacy. Una volta effettuati i settaggi, lo stesso è in grado di offrire le seguenti caratteristiche:

  • non vengono utilizzati cookie di tracciamento
  • i dati non vengono utilizzati per scopi diversi dall’analisi (rispetto a GA che li utilizza per altri scopi e quindi richiede sempre il consenso)
  • i visitatori non vengono tracciati sui siti Web (rispetto a GA che tiene traccia dei visitatori su molti siti Web)
  • un utente non può essere tracciato per più giorni all’interno dello stesso sito Web (non è possibile generare profili utente quando i cookie sono disabilitati).

Plausible che, invece, anche noi di PR&A Legali abbiamo scelto per il nostro sito, è più basico e, di default, non rilascia cookie. Anche Plausible, infatti, presenta caratteristiche privacy di tutto rispetto:

  • Non ci sono identificatori persistenti.
  • Nessun tracciamento cross-site o cross-device.
  • I dati del tuo sito non vengono utilizzati per altri scopi.
  • Tutti i dati dei visitatori vengono elaborati esclusivamente con server di proprietà e gestiti da società europee e non lasciano mai l’UE.

Inoltre i codici sorgente di entrambi questi tool è disponibile su Github

Le soluzioni di analytics cookie less?

Il Cnil nel 2021 ha rilasciato un elenco di soluzioni con relative configurazioni, per le quali non necessita la gestione del consenso.

Matomo viene indicato nel citato elenco così come nel provvedimento dell’Autorità del Baden-Württemberg, secondo il quale un servizio che non invia alcun dato a terzi e raccoglie solo dati utente anonimi/pseudonimizzati, non richiede il rilascio del consenso da parte dell’interessato.

Il presupposto per questo, tuttavia, è che Matomo funzioni con “impostazioni predefinite favorevoli alla protezione dei dati”

Fate attenzione! L’utilizzo di soluzioni cookie less non esonerano di per sé l’acquisizione del consenso. Infatti molte soluzioni cookieless utilizzano comunque dei fingerprinting che consentono l’identificazione dell’utente. In tal caso, così come per i cookies, è necessaria l’acquisizione del consenso.

Conclusioni

Il 14 ottobre 2020, Google ha rilasciato Google Analytics 4 (GA4) che sostituirà Universal Analytics e aiuterà i suoi utenti a rispettare i requisiti del GDPR.

GA4 ha introdotto una serie di funzionalità per la privacy , tra cui l’anonimizzazione IP predefinita, una durata di archiviazione dei dati più breve, una modalità di gestione consenso, l’eliminazione dei dati personali degli utenti.

Il miglioramento della privacy più significativo è la funzione di anonimizzazione IP predefinita, il che significa che Google Analytics non memorizzerà più gli indirizzi IP dei dispositivi.

Tuttavia, a partire dal 2022, l’implementazione di tutte le funzionalità di privacy di GA4 non rende un sito web conforme al GDPR.

Peraltro, anche nell’ipotesi in cui Usa e Commissione Europea raggiungessero un accordo in sostituzione del Privacy Shield, sarà sempre necessario

  • Usare GA4 solo con la sua anonimizzazione predefinita;
  • Non  condividere i dati GA4 con i prodotti Google, come Google Signals o Google Ads
  • Sottoscrivere un contratto di nomina a responsabile esterno del trattamento dei dati con Google ai sensi dell’art. 28 GDPR.
  • Disabilitare la funzione di personalizzazione della pubblicità in GA4;
  • Utilizzare i dati anonimi solo a fini di report statistici aggregati;
  • Ottenere il consenso esplicito degli utenti finali all’utilizzo dei cookie di Google Analytics.

Ma è davvero questa la strada da intraprendere?

A nostro giudizio le aziende dovrebbero orientarsi verso una riappropriazione della ownership dei dati.

Se i servizi di Plasible e Matomo sono a pagamento vi è, infatti, un motivo: laddove il servizio è free significa che il corrispettivo viene percepito in altro modo, nel caso di specie attraverso i dati che condividiamo con Google.

In tal senso, la sentenza della Corte di Giustizia Europea potrebbe davvero costituire un’opportunità per cominciare a riflettere e ad agire diversamente; magari preoccuparsi che un colosso americano possa avere accesso alla maggior parte delle informazioni aziendali e poi utilizzarle.

Tanto più non ha senso investire denari in banner e soluzioni per la gestione del consenso se poi, come nel nostro caso, non si conducono campagne di marketing, ma si necessita solo di metriche per avere un feedback sull’efficacia del sito.