Google Analytics e GDPR

È legale utilizzare Analytics in Europa?

Ne avrai sentito parlare anche tu, è il tormentone del momento e di sicuro avrai ricevuto dozzine di e-mail allarmanti: Google Analytics è illegale secondo l’attuale normativa vigente in Europa.

Che cosa è successo.

Il Garante Privacy italiano, la CNIL francese, la DSB Austria e il Datatilsynet Danimarca, hanno indagato sulla dubbia legalità nel trattamento dei dati da parte di Google e dichiarato che le misure di protezione dati di Google Analytics 3 non soddisfano gli standard stabiliti dall’Europa.

Le aziende che utilizzano Analytics, attraverso i cookie, raccolgono i dati sulle interazioni degli utenti sui siti web, le pagine utilizzate e le azioni effettuate, sull’indirizzo IP del dispositivo, sul browser, il device utilizzato, la risoluzione dello schermo, l’ora e la durata della visita.

Perché trasferire dati negli Stati Uniti (come Google fa) sarebbe illegale.

Pare che negli USA non venga garantito lo stesso livello di protezione dati che invece abbiamo in Europa, la legge americana infatti permette ad alcuni organi del Governo di accedere alle informazioni di tutte le aziende che hanno sede nel territorio americano, senza prendere in considerazione la posizione dei server e dei dati.

Cosa fare per essere in regola con le norme GDPR.

Nulla è definitivo, le ricerche continuano e non ci sono soluzioni approvate a lungo termine al momento. Il Italia il GDPR ha dichiarato che se continui ad utilizzare Google Analytics, devi implementare misure di sicurezza in più.

La questione, quindi, ruota attorno al trasferimento dei dati negli USA, cosa fare?

  • decidere di utilizzare un servizio analitico che ha sede in Europa
  • aggiornare Analytics alla Versione GA4 aggiungendo elementi di protezione (non è ancora sicuro che GA4 sia la soluzione definitiva per il GDPR)

Cosa cambia con Google Analytics 4 in materia di protezione dei dati?

La nuova versione del software di Google, dapprima, utilizza gli indirizzi IP per la conservazione dei dati dell’utente (il server o il centro dati dipende dall’IP dell’utente), poi li elimina mettendo a disposizione anche delle funzionalità che a livello nazionale, permettono di personalizzare e limitare la raccolta di alcuni dati.

  • è importante implementare misure di protezione aggiuntive entro 60 giorni (CNIL) o 90 giorni (Garante).
  • optare per la sostituzione del software in favore di uno che abbia sede in Europa e che sia completamente conforme alle norme del GDPR.

Al momento non sono previste sanzioni. Rimaniamo quindi in attesa di nuovi sviluppi.