Si ritorna sull’argomento di Google Analytics, arriva un nuovo stop all’invio di IP a Google in USA, se no scattano sanzioni.
Nella Pubblica amministrazione invece, grazie alla moral suasion di MonitoraPA, l’uso di Google Analytics è sceso del 90% e -70% quello di Google Fonts.
Nella Pubblica amministrazione invece, grazie alla moral suasion di MonitoraPA, l’uso di Google Analytics è sceso del 90% e -70% quello di Google Fonts.
GOOGLE ANALYTICS, DOPO IL CASO CAFFEINA MEDIA
Il Garante Privacy ha inviato una segnalazione per quanto concerne Fastweb e ilMeteo.it, dopo Caffeina Media, per aver utilizzato Google Analytics (GA) sui rispettivi siti web.
È illecito il trattamento dei dati personali degli utenti dei siti web attraverso GA, perché, scrive il Garante nei provvedimenti di ammonimento nei confronti delle tre società, comporta il trasferimento dei dati personali dei visitatori a Google con sede negli Stati Uniti e si tratta di trasferimenti effettuati verso un Paese terzo che non garantisce un livello di protezione adeguato.
Il diritto interno degli Stati Uniti (in particolare l’Executive Order 12333 e l’art. 702 del Foreign Intelligence Surveillance Act – FISA) consente alle autorità pubbliche di accedere ai dati personali degli italiani e europei raccolti con Google Analytics.
Inoltre, big G, con il suo tool di web analytics riesce ad avere una vera e propria profilazione degli utenti da sfruttare per scopi commerciali.
ECCO COME GOOGLE PROFILA GLI UTENTI CON GOOGLE ANALYTICS
Ma cosa succede nel dettaglio?
A Google giungono l’IP degli utenti, che associato ad altre informazioni relative al browser utilizzato e alla data e all’ora della navigazione, permettono, osserva il Garante Privacy, “di identificare un dispositivo di comunicazione elettronica e, quindi, indirettamente l’utente”.
E neanche l’IP-Anonymization, la pseudonimizzazione del dato relativo all’indirizzo di rete dell’utente, non impedisce a Google, continua il Garante, “di re-identificare l’utente medesimo, tenuto conto delle informazioni complessivamente detenute dalla stessa relative agli utenti del web”.
LE MISURE TECNICHE ED ORGANIZZATIVE
Limitandoci al solo ambito della sicurezza l’art. 32 GDPR non elenca una serie di misure prescrittive, ma si limita a dare delle indicazioni generiche, che comprendono, tra le altre, se del caso:
- la pseudonimizzazione e la cifratura dei dati personali;
- la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
- la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o
- una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
In realtà, tuttavia, una attenta lettura dell’art. 32 porta già ad individuare una misura obbligatoria, che non è compresa nell’elenco sopra riportato, ma nel comma 4, il quale infatti recita: “Il titolare del trattamento e il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri”.
La formazione dei soggetti autorizzati al trattamento dei dati è quindi un obbligo normativo, ed anzi costituisce una delle poche misure di sicurezza obbligatore del GDPR.
Ma vi è un’altra misura, ben più significativa ed onerosa per i Titolari che è necessario rispettare, e la si trova nell’art. 25, il quale recita: “Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l’accessibilità”.
In particolare, mentre la minimizzazione della quantità dei dati personali raccolti, della portata del trattamento e del periodo di conservazione, richiede l’adozione di misure tecnico/organizzative che non possono essere considerate misure di sicurezza, sicuramente la minimizzazione del numero dei soggetti che possono accedere ai dati personali richiede l’implementazione di adeguati sistemi di profilazione ed autorizzazione all’accesso.
QUINDI GOOGLE ANALYTICS È LECITO USARLO SE NON MANDA PIÙ IP A GOOGLE IN USA?
Il Garante, in materia di misure di sicurezza, in relazione al caso di Google Analytics ha affermato che: solo se si implementano le “misure tecniche supplementari” è possibile utilizzare il tool di riferimento.
Tali misure di natura tecnica consistono nell’adozione di meccanismi di cifratura dei dati, durante il trasferimento fra sistemi (in transit) e quando sono memorizzati nei sistemi (at rest):
- la cifratura in transito è adottata ove i dati siano trasferiti fra diversi sistemi, servizi o data center attraverso reti o infrastrutture non controllate dalla Società (es.: reti geografiche);
- la cifratura at rest riguarda invece i dati dell’utente che sono memorizzati su unità disco o in unità di backup e si basa sulla cifratura dei dati mediante algoritmi standard (in genere tramite AES256) e sulla cifratura, a diversi livelli, a partire dalla cifratura a livello hardware, in base al tipo di applicazione e ai rischi specifici. L’accesso ai data center di Google LLC è protetto da 6 livelli di misure di sicurezza fisica.
In ordine ai meccanismi di cifratura dei dati sopra evidenziati, esse, infatti, non sono sufficienti ad evitare i rischi di un accesso, ai fini di sicurezza nazionale, ai dati trasferiti dall’Unione europea da parte delle Autorità pubbliche degli Stati Uniti, in quanto le tecniche di cifratura adottate prevedono che la disponibilità della chiave di cifratura sia in capo a Google LLC che la detiene, in qualità di importatore, in virtù della necessità di disporre dei dati in chiaro per effettuare elaborazioni e fornire servizi.
Merita inoltre evidenziare che l’obbligo di consentire l’accesso, da parte delle Autorità statunitensi, ricade su Google LLC non solo con riferimento ai dati personali importati, ma anche in ordine alle eventuali chiavi crittografiche necessarie per renderli intelligibili.
Da ciò ne consegue che, fintanto che la chiave di cifratura rimanga nella disponibilità dell’importatore, le misure adottate non possono ritenersi adeguate.
Per misure tecniche supplementari si intendono, per esempio:
- software custom lato server
- ovvero di server-side tagging
Entrambi questi Software limitano il trasferimento IP a Google in USA.
Quindi significa che non basta includere una riga nell’HTML del sito web ma serve un server-software ad-hoc.
Il garante danese nelle sue FAQ spiega che la nuova versione Google Analytics 4, sebbene sia “configurata per raccogliere il minor numero di informazioni possibile, le restanti informazioni raccolte costituiscono comunque dati personali degli interessati. Questo perché l’identificatore univoco del visitatore, le informazioni sull’interazione del visitatore con il sito Web, l’ora e la posizione approssimativa del visitatore continueranno a essere raccolte”.
COME EVITARE LE SANZIONI DAL GARANTE PRIVACY
In sostanza, vìola il GDPR il titolare del trattamento che usa Google Analytics, senza misure tecniche supplementari che impediscono di inviare l’IP a Google. Ora, Caffeina Media, Fastweb e ilMeteo.it dovranno fare questo:
- eliminare dai propri siti web Google Analytics;
- oppure usare Google Analytics server-side tagging senza mandare più IP alla società in USA;
- I tre ammonimenti dell’Autorità per la protezione dei dati personali sono un avvertimento per tutte le altre società e Pubbliche amministrazioni che usano il tool di Google per analizzare le statistiche degli utenti.
Sono tra le “priorità” le attività ispettive del Garante sul trasferimento di dati all’estero sulla base di Google Analytics.
E tu come ti comporti per evitare possibili pesanti multe relative alla tua attività online?
Scrivilo nei commenti oppure, se ha necessità di ulteriori informazioni o di un’assistenza relativamente alla complince GDPR, scrivici all’indirizzo info@abinnovationconsulting.com.