• Homepage
  • Articoli
  • SEO
  • Utilizzo di Google Analytics reso illegale dall'autorità austriaca per la protezione dei dati personali

Utilizzo di Google Analytics reso illegale dall'autorità austriaca per la protezione dei dati personali

Pubblicato: 2022-01-22
Utilizzo di Google Analytics reso illegale dall'autorità austriaca per la protezione dei dati personali

L'autorità austriaca per la protezione dei dati (Datenschutzbehorde) si è pronunciata a favore dell'organizzazione no profit NOYB, in un caso storico contro l'uso di Google Analytics su netdoctor.at, un operatore di siti web austriaco.

Sebbene non sia ancora vincolante, la decisione potrebbe fornire una spinta ai difensori della privacy in Europa che stanno cercando di ritenere le società tecnologiche affamate di dati responsabili della loro gestione delle informazioni personali delle persone.

NOYB è un'organizzazione senza scopo di lucro dedicata ai diritti alla privacy in Europa, guidata da Max Schrems, (l'uomo che ha sfidato con successo l'uso di Facebook degli accordi di trasferimento dei dati).

Questa è la prima decisione sui 101 reclami tipo presentati da NOYB in risposta alla sentenza Schrems II della CGUE (che aveva invalidato lo scudo per la privacy). I 101 reclami suggeriscono che le aziende europee continuano a condividere i dati dei visitatori con le grandi aziende tecnologiche e non offrono un livello di protezione adeguato ai propri utenti. Quindi, sebbene questa decisione sia la prima del suo genere, probabilmente non sarà l'ultima.

Il Comitato europeo per la protezione dei dati (EDPB) ha istituito una task force nel 2021 per indagare sulla situazione e garantire uno stretto coordinamento tra tutte le autorità europee per la protezione dei dati.

Di conseguenza, si prevede un'accelerazione delle azioni normative presentate dalle DPA in altri Stati membri dell'UE (ad esempio, l'Autorità olandese per la protezione dei dati (Autoriteit Persoonsgegevens).

Cosa include la decisione?

Il Garante ha ritenuto nella decisione quanto segue:

Applicabilità del GDPR

Come leges speciales , i requisiti applicabili della Direttiva 2002/58/CE (Direttiva e-Privacy) – rinominata Telecommunications and Telemedia Data Protection Act (TTDSG 2021) in Austria – hanno la precedenza sul GDPR (General Data Protection Regulation).

La Direttiva e-Privacy, invece, non prevede disposizioni per il trasferimento di dati personali verso altri Paesi, quindi in questo caso si applica il Capo V del GDPR.

I Dati Trasmessi tramite GA sono Dati Personali

L'autorità austriaca per la protezione dei dati ritiene che, combinando l'enorme quantità di dati trasmessi, sia teoricamente possibile collegare i dati trasferiti a una persona fisica. Di conseguenza, è possibile stabilire un collegamento a una persona (vedere l'articolo 4, paragrafo 1 del GDPR) e si applica il GDPR.

A questo proposito, vale la pena notare che il DPA ritiene che la funzione di anonimizzazione di Google Analytics sia insufficiente per spostare l'indirizzo IP e altri identificatori al di fuori dell'ambito del GDPR. A causa dell'enorme volume di dati trasmessi dall'UE, l'indirizzo IP non è rilevante per la classificazione dei dati come dati personali ai sensi del GDPR.

Il Gestore del Sito è il Titolare del trattamento

Vale la pena notare che il DPA austriaco ha esaminato le attività di elaborazione dei dati solo fino a quando non sono state trasferite con successo a Google. L'autorità non fa osservazioni sul successivo trattamento dei dati da parte di Google.

Il trasferimento di dati negli Stati Uniti non è conforme al GDPR

Lo scudo UE-USA per la privacy è stato dichiarato illegale dalla Corte di giustizia europea con una sentenza del 16 luglio 2020 (Schrems II).

Di conseguenza, l'articolo 45 del GDPR non era più applicabile come mezzo di trasmissione dei dati, e il Garante non riteneva che esistesse una "deroga per casi specifici" (in particolare perché non è stato ottenuto il consenso nella fattispecie ).

"Protezioni appropriate" come definito dall'articolo 46 del GDPR, è il meccanismo di trasferimento legale finale. Le clausole contrattuali standard (SCC) possono fungere da garanzie adeguate ai sensi dell'articolo 46, paragrafo 2, lettera c, del GDPR. Il proprietario del sito web aveva firmato "vecchi" SCC (versione 2010/87/UE) con Google nella questione in questione. (Nel giugno 2021 è stata rilasciata una serie rivista di SCC.)

Tuttavia, quando si utilizza Google Analytics, il trasferimento dei dati non può dipendere solo dagli SCC che sono stati completati. Ciò è dovuto al fatto che Google è soggetto alle leggi di sorveglianza degli Stati Uniti (FISA 702) e gli obblighi contrattuali da soli non sono sufficienti per vincolare le autorità di una "terza nazione". Solo se vengono adottati ulteriori passaggi tecnologici e organizzativi ("misure supplementari") per compensare la mancanza di protezione legale negli Stati Uniti, un trasferimento di dati è legale. Il DPA ha concluso che Google non aveva offerto prove adeguate di "misure supplementari" nelle sue conclusioni.

Allora, cosa c'era di sbagliato in questo caso specifico?

Dall'analisi di cui sopra risulta chiaro che in questo caso specifico l'integrazione di Google Analytics avvenuta all'epoca (14/08/2020) era viziata:

  • L'utilizzo di Google Analytics si basava solo su SCC obsoleti.
  • Il consenso al trattamento dei dati non è stato acquisito.
  • L'anonimizzazione dell'indirizzo IP non è stata attivata correttamente.

Come ha risposto Google?

La difesa di Google nel procedimento e la sua reazione iniziale a posteriori non sono molto rassicuranti.

Google conferma che i dati personali vengono effettivamente scambiati con gli Stati Uniti quando si utilizza Google Analytics perché ciò è semplicemente necessario per il corretto funzionamento del servizio. Più in generale, Google afferma anche che fa grandi sforzi per rendere i suoi servizi rispettosi della privacy.

In questo caso, nello specifico, Google afferma di fornire le necessarie “garanzie aggiuntive”, richieste sulla base della sentenza Schrems II. Il DSB, tuttavia, ha stabilito che quelle "garanzie aggiuntive" non ammontano a molto in realtà.

In risposta, Google non può fare molto di più che dire che l'utente può scegliere di disabilitare la "condivisione di dati di terze parti" nel proprio account. Tuttavia, la condivisione dei dati di terze parti non è il problema legale principale qui, il problema è il potenziale accesso ai dati sensibili da parte del governo degli Stati Uniti (e, naturalmente, che non può essere disattivato da nessuna parte).

In altre parole, Google non ha davvero una risposta per il momento. Google ha ragione quando afferma che un buon strumento di analisi dovrebbe funzionare a livello globale e ci si può anche sinceramente chiedere se il potenziale accesso ai dati di analisi da parte del governo degli Stati Uniti rappresenti davvero una vera minaccia alla privacy per il 99% dei siti Web europei.

Cosa significa per te questa decisione?

Se c'è un punto a favore di questo caso, è che ignorare queste sentenze del tribunale e continuare a utilizzare Google Analytics non è un'opzione.

Se gestisci un sito web in Austria o fornisci servizi ad austriaci, dovresti rimuovere immediatamente Google Analytics dal tuo sito.

Si consiglia inoltre alle aziende degli altri Stati membri dell'Unione Europea di agire prima che le autorità locali per la protezione dei dati inizino a prendere di mira più aziende.

In quanto azienda europea, non puoi più affidare i dati sensibili degli utenti ad aziende come Google, che ignorano deliberatamente la legislazione europea sulla privacy e rischiano pesanti multe per i loro clienti commerciali europei.

Possibili soluzioni alternative per continuare a utilizzare Google Analytics

I siti web in tutta Europa, tuttavia, non smetteranno improvvisamente di utilizzare Google Analytics.

Fino a quando questa decisione non diventa legalmente vincolante, puoi comunque utilizzare GA in modo conforme al GDPR seguendo le misure più rigorose di seguito:

  1. Accetta le DPA di Google: per riflettere le versioni attuali delle clausole contrattuali standard, Google ha rivisto i Termini per l'elaborazione dei dati di Google per tutti i prodotti Google (DPA). Nelle impostazioni di Google Analytics, accetta i nuovi DPA di Google (ultima versione settembre 2021).
  2. Riferimento nella normativa sulla protezione dei dati a un eventuale trasferimento di dati verso paesi terzi.
  3. Ottenere il consenso dell'utente: "Ciò significa che puoi attivare Google Analytics solo se hai ricevuto il consenso a farlo e puoi anche salvare e fornire informazioni a riguardo. Una piattaforma di gestione del consenso (CMP) semplifica questo processo.
  4. Utilizza la corretta configurazione di Google Analytics: nessun dato personale dovrebbe fluire in Analytics durante la configurazione, secondo le loro best practices. Dovresti quindi utilizzare l'anonimizzazione dell'IP.
  5. Passa al monitoraggio lato server: il monitoraggio lato server non è solo una soluzione adatta per aumentare la durata dei cookie di prima parte e aggirare alcuni blocchi di monitoraggio, ma hai anche la possibilità di adattare i dati prima che vengano inviati a Google Analytics. In concreto, ciò significa, ad esempio, che gli indirizzi IP degli utenti vengono completamente rimossi prima che i dati vengano inviati a Google Analytics.

Passa ad altri strumenti di analisi conformi alla privacy

Poiché la privacy sta diventando sempre più importante per i consumatori di tutto il mondo, è un passo logico per qualsiasi azienda europea selezionare servizi che diano la priorità alla protezione della privacy dei propri utenti.

Di seguito presentiamo due delle alternative più intriganti a GA nel caso tu voglia sbarazzartene completamente.

Plausibile

Prova Plausible se stai cercando un'autentica alternativa europea a Google Analytics. Sono un progetto indipendente e avviato con sede in Estonia. La loro squadra è divisa tra Estonia e Belgio.

Tutti i dati dei visitatori che raccolgono sono archiviati su server di proprietà di un'azienda tedesca in Germania (Hetzner). Per la loro CDN globale, utilizzano un provider di proprietà slovena (Bunny).

Maggiori informazioni sulla loro dichiarazione ufficiale su questo caso qui.

Matomo

Matomo è un'altra valida alternativa GA.

È una piattaforma di analisi web open source progettata per fornirti funzionalità di analisi complete e la completa proprietà dei dati.

Matomo nasce come alternativa open source a Google Analytics. Fornisce inoltre importanti report sugli utenti del tuo sito web e sulle loro interazioni con il tuo sito web, in modo simile a Google Analytics. La parte interessante è che concentra la maggior parte della sua attenzione sulla proprietà dei dati, quindi i tuoi dati possono essere completamente tuoi e la privacy dei tuoi utenti è protetta.

Maggiori informazioni sulla loro dichiarazione ufficiale su questo caso qui.

Gli utenti convertiti sono interessati da questa decisione?

Nessun dato personale viene mai utilizzato o archiviato in Convert Experiences. Pertanto, le tue esperienze e i tuoi visitatori non sono interessati dal caso sopra . Inoltre, utilizziamo server europei a emissioni zero per salvare esperienza e dati sulle variazioni.

Per trasparenza, ecco alcune note aggiuntive sull'utilizzo dei dati in Converti esperienze:

  • Attivato per impostazione predefinita
    • ID cookie di sessione (timeout 20 minuti su cookie e cache del server). Attualmente questo rientra tra i cookie per le prestazioni nella nostra interpretazione del GDPR/Direttiva ePrivacy e dei Regolamenti ePrivacy.
  • Disattivato per impostazione predefinita
    • Quando il targeting cross-browser viene attivato dai clienti, inseriamo un cookie univoco nell'URL da prelevare sull'altro dominio (che potrebbe essere interpretato dal GDPR come dati personali). Questa funzione è disattivata per impostazione predefinita come parte della nostra politica di "privacy per impostazione predefinita".
    • Quando il cliente fornisce ID visitatore univoci per sostituire gli ID di sessione, questo potrebbe essere interpretato come dati personali. Questa funzione è disattivata per impostazione predefinita come parte della nostra politica di "privacy per impostazione predefinita".
    • Quando viene utilizzato il targeting geografico (non attivo per impostazione predefinita), è possibile memorizzare paese, regione e città nella CDN o nella cache del server per un targeting corretto.

Le implicazioni di questa sentenza sono di vasta portata e potrebbero costituire un precedente per il modo in cui i dati vengono utilizzati dalle aziende.

È importante notare che questa decisione riguarda solo l'utilizzo di Google Analytics per le aziende austriache o altre società che fanno affari con una, ma è possibile che altri paesi possano seguire l'esempio.

Se stai utilizzando Google Analytics, assicurati di tenere d'occhio le normative imminenti per assicurarti di rimanere conforme. NOYB e altri difensori della privacy europei hanno dimostrato di essere disposti a lottare per i diritti degli utenti online, quindi possiamo aspettarci decisioni più simili in futuro.