Google Analytics fuorilegge

sito web compliance gdpr
Vai ai contenuti

Google Analytics fuorilegge

consulenza gdpr, protezione dati personali, MOG231, ISO 27001
Pubblicato da studio maggiolo pedini associati in privacy · Lunedì 04 Lug 2022
Tags: googleanalyticsGA3GA4

Successivamente alla decisione del Garante Privacy di impedire l'uso di Google Analytics, in questi giorni migliaia di siti web e web agency hanno ricevuto una richiesta di cancellazione ex art. 17 GDPR proveniente da tale Federico Leva, residente a Helsinki ma anche a Milano.

COSA CONTIENE LA E-MAIL
L’e-mail è stata inviata a migliaia di siti che si presume stiano utilizzando Google Analytics, ai quali si chiede:
  • di cancellare i dati personali raccolti (in questo caso l’indirizzo IP – cfr art. 4 punto 1 GDPR) "dai sistemi informativi" di Google;
  • di interrompere ogni trattamento dei dati personali da parte sito che ha ricevuto la e-mail;
  • di interrompere qualsiasi uso dei dati prodotti da Google;
  • di rimuovere Google Analytics e di sostituirlo con altri software che, per la stessa finalità, trattano i dati in U.E.

GLI OBBLIGHI STATUITI DAL GDPR
Quando si riceve una richiesta di cancellazione di dati personali, il titolare del sito web deve dare un riscontro all’interessato entro 30 giorni, secondo le prescrizioni ex art. 12 comma 3 GDPR salvo una eventuale preventiva identificazione dell’interessato ex art. 12 comma 2.
Lo stesso principio di risposta si applica anche agli altri diritti di cui gode l’interessato.
Si ricorda che, nel caso il titolare del sito web non fornisca una risposta all’interessato quest’ultimo può, ai sensi ex art. 77 comma 1, proporre reclamo al Garante Privacy.
COSA SUGGERIAMO DI FARE E NON FARE
Abbiamo letto di tutto e di più su Federico Leva , le motivazioni alla base del suo gesto eclatante e non vogliamo fargli ulteriore pubblicità gratuita.

Siamo di fronte ad una situazione abbastanza complessa, come è complesso lo stesso GDPR e il framework normativo in materia e la tecnicità di funzionamento di Google Analytics.
Se nel sito è installato Google Analytics (GA3), senza dubbio il sito non è a norma (vedi comunicato stampa Garante Privacy) non tanto perché raccogliete il dato dell’indirizzo IP oltre ad altre informazioni di navigazione ma quanto perché tali dati vengono trasferito negli USA senza giustificazione legale o base giuridica adeguata.

Senza entrare nel tecnico quello in discussione è un problema reale perché, al momento, GA3 o GA4 inviano i dati negli Stati Uniti, che a seguito la pronuncia Schrems II che ha invalidato il Privacy Shield GDPR, di fatto sono considerati “paese non adeguato” oltre a fatto che nulla impedisce a Google di risalire all’identità del visitatore del sito anche se il dato viene anonimizzato.  

È lo stesso Garante a scrivere “… è stato ribadito che l’indirizzo IP costituisce un dato personale e anche nel caso fosse troncato non diverrebbe un dato anonimo, considerata la capacità di Google di arricchirlo con altri dati di cui è in possesso.”

I nostri suggerimenti:
  • rispondere alla e-mail ricevuta da Federico Leva perché la richiesta di cancellazione è comunque da considerarsi valida e non può essere ignorata;
  • nella risposta richiedere a Federico Leva di compilare il modello ufficiale predisposto dal Garante per l’esercizio dei propri diritti (vedi sito garante) richiedendo anche copia di un documento di identità secondo le prescrizioni dell’art. 12 comma 2 per permettere al titolare di identificare precisamente l’interessato;
  • va chiesto anche il CLIENT ID che permette di poter accedere al cruscotto di Google e cancellare l’IP di Federico Leva e non altri;
  • verificare con il webmaster l’opportunità di installare altri tool alternativi a Google Analytics (GA3 -GA4) che mantengano i dati all’interno del S.E.E.;
  • … attendere che il Trans-Atlantic Data Privacy Framework che andrà a sostituire il Privacy Shield) acceleri il suo iter approvativo.

Inoltre, da non dimenticare:
  • controllare l’aggiornamento delle informative privacy e cookie, evitando i testi standardizzati (tipo Iubenda o simili);
  • controllare l’aggiornamento del registro dei trattamenti.
Siamo certi che la questione Google Analytics sia solo agli inizi…


Torna ai contenuti