Google Analytics 4: deadline 30 giugno 2023

Google Analytics viola le normative privacy?

Google Analytics viola le normative privacy?
Il Garante austriaco e quello francese, negli scorsi mesi, hanno dichiarato inadeguate le misure di Google Analytics che determinano il trasferimento dei dati personali negli USA.

Ecco l’analisi approfondita di Iubenda in merito alla situazione attuale:

Le Autorità per la protezione dei dati: Google Analytics viola le normative sulla privacy perché mancano le misure di sicurezza per il trasferimento dei dati.

Ultimo aggiornamento sull’uso di Google Analytics in Europa
Diverse Autorità per la protezione dei dati europee, il Garante Privacy italiano, la CNIL francese, la DSB austriaca e il Datatilsynet danese, hanno scoperto che l’uso di Google Analytics potrebbe risultare in un trasferimento di dati illegale al di fuori dell’Europa, perché mancano le misure di sicurezza fornite dal Regolamento UE. Queste decisioni sono state prese in merito a Google Analytics 3.

Punti chiave
• Le autorità hanno emanato le loro decisioni sull’uso di Google Analytics e hanno affermato che le misure tecniche di conformità di Google Analytics 3 sono insufficienti.

• Le indagini hanno rivelato che le organizzazioni che usano Google Analytics raccolgono, attraverso i cookie, dati su come gli utenti interagiscono con i siti web, incluse le specifiche pagine visitate e i servizi utilizzati.

• L’indirizzo IP del dispositivo dell’utente, i dettagli del browser, il sistema operativo, la risoluzione dello schermo, la lingua selezionata e la data e l’ora della visita al sito web rientrano nei dati raccolti.

Cosa devo fare adesso?

Garante Google Analytics.
Non c’è una risposta definitiva a questa domanda, dal momento che l’indagine è ancora in corso. Alcune autorità, come il Garante italiano, hanno affermato che se scegli di continuare a utilizzare Google Analytics, sono necessarie delle misure di sicurezza aggiuntive.

Dal momento che il problema principale riguarda il trasferimento di dati europei negli Stati Uniti e tutti i potenziali rischi associati, potrebbe essere una buona idea:

  1. passare a un servizio di analytics con sede in Europa, o
  2. se scegli di continuare a utilizzare Google Analytics, dovresti aggiornarlo a GA4* e applicare delle misure aggiuntive utilizzando le impostazioni disponibili (maggiori informazioni nel paragrafo successivo).

*Tuttavia, tieni presente che, dal momento che le indagini delle APD si sono basate su Google Analytics 3, non possiamo ancora sapere con certezza se le autorità riterranno sufficiente l’utilizzo di GA4.

Riguardo Google Analytics 4
In parte dovuto a questa discussione riguardo l’uso di Google Analytics, Google ha rilasciato Google Analytics 4 per cercare di far fronte ad alcune di queste problematiche.

Google Analytics 4 inizialmente utilizza gli indirizzi IP per determinare dove conservare i dati personali degli utenti (il server o il centro dati dipende dall’IP dell’utente). Elimina poi completamente gli indirizzi IP per cercare di mitigare il problema del trasferimento dei dati europei negli Stati Uniti.
Google Analytics 4 permetterà anche dei controlli a livello nazionale e delle opzioni di personalizzazione che ti permettono di minimizzare la raccolta dei dati di uno specifico utente.

Sono richieste delle misure aggiuntive se si utilizza Google Analytics 4?
Al momento, le Autorità per la protezione dei dati (APD) hanno dichiarato che se le organizzazioni desiderano continuare a utilizzare Google Analytics, devono implementare delle misure tecniche di sicurezza aggiuntive. Tuttavia, tieni presente che le APD non hanno ancora identificato queste misure tecniche aggiuntive.

Guido Scorza, uno dei membri del Garante italiano, in un’intervista ha affermato che si spera che queste misure tecniche di sicurezza siano identificate direttamente dai titolari del trattamento o applicate da Google Analytics.

Ricorda che queste misure di sicurezza aggiuntive dovranno portare gli standard di protezione al livello del GDPR.

Siccome è ancora difficile valutare l’impatto della decisione su Google Analytics, ogni organizzazione deciderà autonomamente se continuare a usare Google Analytics o affidarsi a un’alternativa con sede in UE.

Se scegli di continuare a utilizzare Google Analytics, ecco alcune cose che puoi fare per essere il più conforme possibile:

Puoi limitare la raccolta di dati utilizzando i controlli della privacy di Google, che vanno dal restringere le funzioni pubblicitarie al disattivare completamente la raccolta di dati.
Puoi utilizzare una valutazione interna di Google Analytics per determinare se alcune o tutte le metriche sono necessarie alla tua attività. Google Analytics 4 adesso ti permette di: disattivare la raccolta di dati di Google Signals in base all’area geografica e disattivare la raccolta di dati granulari in base alla posizione..
Alla luce delle FAQ del CNIL sull’argomento, vale la pena menzionare i server proxy. Utilizzando un server proxy potrebbe essere possibile evitare il contatto diretto tra il computer dell’utente e Google Analytics.
Non dimenticare di inserire Google Analytics 4 nella tua privacy policy. Puoi trovare la clausola per Google Analytics 4 all’interno del Generatore di Privacy e Cookie Policy nella tua dashboard iubenda.

Nota
A oggi, non sono state emanate sanzioni economiche per l’uso di Google Analytics.

Per approfondire la posizione di Google al riguardo puoi trovare a questo link il loro commento in risposta alle dichiarazioni delle Autorità per la Protezione dei Dati

Hai bisogno di aiuto?

Contattaci per una consulenza