Il 23 giugno scorso il Garante per la privacy ha terminato una complessa istruttoria sull’utilizzo di Google Analytics come sistema di web analytics da parte di un provider italiano, Caffeina Media srl: l’analisi ha evidenziato l’illiceità dell’utilizzo della piattaforma di proprietà di Google a causa del non adeguato trattamento dei dati personali dell’azienda di Mountain View, che viola le norme previste dal GDPR europeo.
Qui il comunicato del garante.

In che Google analytics viola la normativa italiana ed europea sulla protezione dei dati?
Analytics, tra gli altri, raccoglie l’indirizzo IP del dispositivo dell’utente e informazioni relative al browser, al sistema operativo, alla risoluzione dello schermo, alla lingua utilizzata, nonché data e ora della visita al sito web. Tali informazioni sono risultate oggetto di trasferimento verso gli Stati Uniti. Nel dichiarare l’illiceità del trattamento è stato ribadito che l’indirizzo IP costituisce un dato personale. Va inoltre considerato che le agenzie governative USA, le agenzie di intelligence e finanche alcune aziende quali Google stessa, accedono già a dati personali dei navigatori che utilizzino determinati sistemi operativi, quali Android: l’incrocio dei dati potrebbe consentire di risalire a informazioni sensibili e abitudini di navigazione collegandoli a soggetti ben individuabili.

Cosa determina questa decisione per i gestori di siti web?
La portata di questo pronunciamento trascende il singolo caso.
Per chiunque gestisca un sito web la decisione del Garante per la privacy determina che non è più possibile utilizzare Google Analytics come sistema di gestione delle proprie statistiche web. In realtà il Garante stesso ha stabilito che, per l’azienda interessata direttamente dal provvedimento ha 3 mesi di tempo, a partire dalla data di tale pronunciamento, per adeguare le proprie policy alla normativa vigente.
Decorso tale termine l’autorità inizierà una serie di verifiche a 360° (quindi anche su altri soggetti) per evitare che tale decisione venga a discriminare un solo singolo soggetto.
Ogni azienda che, a decorrere quindi dal 23 settembre, dovesse ancora utilizzare GA, rischierebbe quindi di incorrere in procedimenti ed eventuali sanzioni ad opera dello stesso garante.

In che modo Google utilizza questi dati?
Google utilizza i dati raccolti tramite i suoi applicativi e i relativi servizi (Android, Chrome, Google search, Adsense, Youtube…) per profilare ogni utente, in modo da personalizzare l’offerta di servizi che ogni utilizzatore riceve attraverso circuiti pubblicitari in differenti formati.
Attraverso l’incrocio di tutti questi dati Google è di fatto in grado di risalire all’identità di ogni navigatore, alle sue abitudini di navigazione, alle sue abitudini di consumatore, alle opinioni eventualmente espresse, eventualità assolutamente non consentita dalla normativa italiana ed europea.
Peggio ancora, secondo l’autorità garante esiste “la possibilità, per le Autorità governative e le agenzie di intelligence statunitensi, di accedere ai dati personali trasferiti senza le dovute garanzie”. L’Executive Order 12333 e l’art. 702 del Foreign Intelligence Surveillance Act comportano “deroghe alla normativa in materia di protezione di dati che eccedono le restrizioni ritenute necessarie in una società democratica”.
Ricordiamo che alcuni celebri whistleblowers, come Julian Assange o Eric Snowden su tutti, hanno reso disponibili documenti e prove che denunciano l’utilizzo distorto di dati riguardanti milioni di cittadini, di tutto il mondo, da parte dell’intelligence statunitense: uno scenario inquietante, in stile Grande Fratello, che forse non preoccupa ancora abbastanza i cittadini di tutto il mondo.

Questo è un problema che riguarda solo Google Analytics o Google in genere?
Stante la natura del problema i soggetti interessati sono potenzialmente tantissimi: tutte quelle aziende statunitensi che forniscono servizi a soggetti e siti web localizzati in Italia o nell’Unione Europea possono essere interessati da questo tipo di problematica. Ma solo e soltanto se trasferiscono dati sensibili oltreoceano e non li trattano secondo quanto stabilito in Europa.
Per questo non è pensabile che siano le autorità garanti dei dati personali di ogni singolo paese a dettare la linea da seguire: la palla passa ai governi stessi, che dovranno trovare la quadra ad una situazione sicuramente spinosa.