+356 2769 4939

info@supero.com.mt

Supero ltd Malta

Siti web, SEO, contenuti, software

Contattaci

di Lascia un commento

Giovedì 23 giugno 2022 il Garante per la privacy italiano ha pubblicato la conclusione di una lunga e complessa istruttoria, su molti media la notizia è stata riportata in modo estremante conciso ed allarmante, riassumendo il tutto con un inequivocabile “Google Analytics è illegale“, ma le cose stanno veramente così? Proviamo a fare un po’ di chiarezza e facciamo qualche passo indietro.

Indice dell’articolo
  1. Il General Data Protection Regulation
  2. Safe Harbour, Privacy Shield e Schrems II
  3. Austria e Francia
  4. La Pubblica Amministrazione Italiana
  5. Il motivo del contendere
  6. Google Analytics è illegale in Italia? Il parere del garante italiano
  7. Le agenzie e gli sviluppatori
  8. La punta dell'iceberg
  9. Un po' di sano benaltrismo
  10. E adesso?
  11. Attenzione agli sciacalli

Il General Data Protection Regulation

Per capire la vicenda bisogna tornare al 2016, il 27 aprile di quell’anno viene infatti promulgato il General Data Protection Regulation, universalmente noto come GDPR. Il regolamento al momento non desta particolari preoccupazioni, in Italia viene sostanzialmente ignorato dato che fin dalla Prima Guerra Mondiale gli Italiani hanno imparato che: “mai eseguire un ordine senza prima aver ricevuto il contrordine”.

In realtà qualcuno che si preoccupa c’è, in particolare le potentissime aziende americane in grado di controllare tante informazioni sugli utenti del web, Google e Facebook tanto per fare un paio di nomi, creano delle vere e proprie task force di legali per studiare l’argomento: c’è ancora tempo perchè diventerà operativo solo l’anno successivo.

Il 25 maggio 2018 il GDPR diviene pienamente operativo, con tutti i suoi effetti – comprese le terrificanti sanzioni che prevede – e questa volta se ne accorgono tutti. I media presentano il regolamento come un colpo mortale inferto alle multinazionali dei dati, gli sviluppatori web si ingegnano per rendere i siti conformi, il pubblico generale non sembra particolarmente interessato / preoccupato eppure si tratta di un testo rivoluzionario, per molti aspetti.

Non staremo qui a cercare di spiegare perchè il GDPR è così rivoluzionario, non proviamo nemmeno ad addentrarci negli aspetti specifici perchè richiederebbero ben più di un articolo, diciamo soltanto che è un regolamento che si applica direttamente in tutti i paesi dell’Unione Europea, che tutela i dati personali delle persone fisiche stabilendo diritti, responsabilità, limiti e criteri con cui i dati possono essere raccolti, elaborati e conservati.
Ad oggi è il miglior testo sulla privacy e non siamo noi a dirlo bensì il più grande esperto di dati personali del mondo: Mark Zuckerberg (titolare e CEO di Facebook, per chi non lo sapesse).
E’ importante notare che il regolamento protegge tutti i cittadini dell’Unione Europea, sempre e dovunque, anche (e  soprattutto) su internet, anche quando visitano un sito di un’azienda straniera, qualsiasi sia la posizione del server.

Il GDPR non è perfetto, agli occhi degli sviluppatori web presenta alcuni punti ambigui o almeno interpretabili ma in generale è piuttosto chiaro. Uno degli aspetti cristallini riguarda la possibilità di accedere alle informazioni personali dei cittadini europei, quello che ha fatto saltare il banco nella vicenda Google Analytics è qui, e riguarda il luogo in cui si trovano i server in cui sono salvati i dati degli utenti europei.

Safe Harbour, Privacy Shield e Schrems II

Tra Unione Europea e Stati Uniti viene stipulato un accordo, noto come Privacy Shield, ovvero un meccanismo che tutela i dati dei cittadini europei anche quando questi vengono salvati su server americani. Il GDPR infatti non obbliga le azienda ad avere esclusivamente server all’interno della UE ma permette che i dati personali dei suoi cittadini siano conservati in paesi che forniscono garanzie pari o superiori a quelle previste del regolamento.

Arriviamo al 16 luglio 2020, la Corte di Giustizia Europea invalida il Privacy Shield, secondo il tribunale infatti le leggi degli Stati Uniti non tutelano sufficientemente i dati dei cittadini europei. Il caso è interessante e merita di essere raccontato, sia pure nei punti essenziali.

Tutto nasce dalla segnalazione di un privato cittadino austriaco, il signor Maximilian Schrems, un utente di Facebook dal 2008 particolarmente attento a come vengono trattati i suoi dati personali. Herr Schrems scopre che i suoi dati sono stati trasferiti da Facebook Ireland e Facebook America e quindi fuori dall’Unione Europea, la cosa non gli piace e si rivolge alle autorità irlandesi per chiedere che i suoi dati vengano spostati su server europei. In quegli anni gli accordi su questo argomento tra UE e USA stavano passando dal vecchio “Safe Harbour” al “Privacy Shield”, la faccenda diventa estremamente complessa, anche in virtù delle regole in divenire e così le autorità irlandesi tirano in ballo la suprema corte europea e si arriva infine alla sentenza cosiddetta Schrems II del 16 luglio 2020: il Privacy Shield non rispetta il GDPR. Perchè?

Non si tratta di mero campanilismo, autorità investigative e di intelligence americane possono accedere ai dati raccolti da Google sui cittadini stranieri (e quindi anche europei) senza bisogno dell’autorizzazione di un giudice. Questo per la Corte di Giustizia Europea è inaccettabile.

Austria e Francia

Come abbiamo visto il GDPR ha valore per tutti i paesi dell’Unione Europea, tuttavia per le interpretazioni bisogna ricorrere alle autorità dei singoli paesi. In Italia è la magistratura a stabilire in via definitiva cosa si può fare e cosa no, in attesa di un parere definitivo ci si può rivolgere al Garante per la privacy e lo stesso avviene in tutti i paesi dell’Unione. Questo è esattamente quello che è successo.

Il primo a pronunciarsi sulla conformità di Google Analytics è il Garante austriaco che, il 13 gennaio 2020, ha stabilito che usare GA viola la decisione della sentenza Schrems II. Il 10 febbraio 2022 arriva anche il parere del Garante Francese: Google Analytics trasferisce dati personali negli Stati Uniti e quindi non può essere usato in Francia.

La Pubblica Amministrazione Italiana

Si tratta di pareri non vincolanti per l’Italia ma le motivazioni usate dalle autorità francesi e austriache sono piuttosto robuste, anche in Italia le cose cominciano a muoversi e in particolare si attivano alcune NGO che chiedono alla Pubblica Amministrazione di non usare Google Analytics sui propri siti, segnaliamo ad esempio l’iniziativa di monitorapa, una comunità di hacker che a tempo di record costruisce un software in grado di:

  • scaricare la base dati delle pubbliche amministrazioni dell’agenzia Italia Digitale
  • eseguire un controllo collegandosi a tutti i siti web delle pubbliche amministrazioni alla ricerca del codice di Google Analytics
  • inviare una pec al DPO di competenza per informare della non conformità
  • pubblicare i dati di quanto rilevato
  • in assenza di una risposta in “tempi ragionevoli” effettuare un esposto al Garante della Privacy

Alla fine di giugno del 2022 su 8000 pubbliche amministrazioni contattate solo 3000 non si erano mosse spontaneamente, quindi più del 50% dei siti rilevati a circa un mese dalla prima rilevazione aveva rimosso il codice GA. Niente male.

Il motivo del contendere

Torniamo a mettere a fuoco quello di cui stiamo parlando in questo articolo, quello che è in discussione è il sistema di analisi dei dati di accesso di Google Analytics e in particolare il fatto che i siti che usano questo strumento inviano negli Stati Uniti molte informazioni sui loro visitatori e in particolare:

  • identificatori, che permettono di risalire al browser e al device utilizzato dal visitatore, oltre che al gestore del sito
  • indirizzo del sito
  • nome del sito
  • dati di navigazione
  • indirizzo IP dell’utente (a volte più o meno parzialmente oscurato)
  • informazioni su sistema operativo, browser, risoluzione schermo, lingua scelta
  • data e ora della visita al sito.

Google Analytics è illegale in Italia? Il parere del garante italiano

Eccoci arrivati al cuore della notizia, il 23 giugno 2022 il Garante per la Privacy italiano si è pronunciato in merito a un caso specifico e ha intimato alla società Caffeina Media S.r.l. di conformarsi entro 90 giorni al Regolamento Europeo. Non ha detto esplicitamente di rimuovere Google Analytics, non ha comminato sanzioni, ha lasciato un tempo più che ragionevole per adeguarsi. Nel video qui sotto l’avvocato Guido Scorza (membro del team del Garante) risponde chiaramente alle domande di due esperti web, non è sceso nel dettaglio di tecnicismi e configurazioni più o meno arzigogolate ma a nostro parere è stato chiaro.

Come detto il parere del garante è vincolante, in Italia. Si è espresso su un caso specifico, nei confronti di una azienda specifica ma si tratta di un caso tipico, la configurazione presa in esame è la tipica installazione di Google Analytics usata in centinaia di migliaia di siti web.
In altre parole il Garante ha creato un precedente, è come se avesse creato una FAQ in cui spiega che GA non può essere usato perchè, per come è stato progettato e per come funziona, non è possibile impedire alle autorità americane di accedere ai dati degli utenti europei senza le opportune garanzie.

Le agenzie e gli sviluppatori

Dal 2018, anno della completa entrata in vigore del GDPR ad oggi sono successe moltissime cose e gli sviluppatori in alcuni casi si sono dovuti improvvisare esperti di diritto. Quando è diventato chiaro che si trattava di una norma che riguardava tutti, e in particolare tutti quelli che avevano un sito web, aziende e privati hanno iniziato a chiedere lumi ai webmaster o alle agenzie e questi, non avendo specifiche competenze giuridiche, non si sono mossi all’unisono. E’ colpa delle agenzie?

Sappiamo che può sembrare una excusatio non petita ma anche avvocati esperti del calibro di Andrea Monti non avevano le idee chiarissime, ancora il 22 maggio 2022 su Repubblica l’avvocato ha pubblicato un articolo in cui spiega che l’indirizzo IP non è un dato personale, che si può usare senza problemi Google Analytics anche nei siti della Pubblica Amministrazione. Pare proprio che si sia sbagliato.

La punta dell’iceberg

In questo articolo ci stiamo limitando a esaminare il caso di Google Analytics ma è chiaro che il problema è molto più grande. I Garanti di Francia, Austria e Italia sono stati chiari: non è lecito trasferire dati personali di cittadini dell’Unione negli Stati Uniti perchè la legislazione americana non garantisce sicurezze adeguate.

Questo significa che sarebbe il caso di non limitarsi a Google e chiedersi se sia il caso di continuare ad usare servizi che trattano i dati dei vostri utenti al di fuori dell’Unione Europea, tanto per fare qualche esempio stiamo parlando di newsletter, pixel e altri strumenti di tracciamento.

Un po’ di sano benaltrismo

Appena uscito il provvedimento del Garante si è scatenato un discreto putiferio, non sorprende il fatto che siano soprattutto tenici e sviluppatori del web ad agitarsi perchè saranno loro a dover trovare una soluzione e con loro se la prenderanno tutti i clienti. Abbiamo già letto di tutto, nella maggior parte dei casi si parte dal presupposto – più o meno esplicito – che l’Unione Europea abbia iniziato una guerra contro le big tech americane. “Perchè prendersela con il povero Google Analytics”, ululano da molte parti, “ben altri sono i problemi, per esempio Gmail, Facebook, Whatsapp…” l’elenco potrebbe proseguire all’infinito.

Ci sono fondati motivi per credere che le autorità politiche, nazionali o europee, non abbiano un amore incondizionato per le big tech, siano esse americane, cinesi o di qualsiasi altra nazione. Ci sono motivi fiscali ma anche etici alla base di questa antipatia che è freddamente ricambiata ma non è questo il punto. Il punto non è neppure il fatto che molti tecnici stanno ululando soprattutto perchè negli anni hanno imparato a conoscere a menadito il tool di Google e ci hanno costruito attorno una professionalità.

L’esempio di Gmail poi non regge assolutamente. Ci sono di mezzo informazioni potenzialmente molto sensibili ma in quel caso c’è un utente che ha scelto di servizi dei servizi di Google, invece di pagare in euro ha deciso di accettare un pagamento in altre forme (informazioni). In questo caso ci sono solo due attori: Google e l’utente, nel caso di Google analytics le cose non stanno così perchè ci sono di mezzo i gestori dei siti.

E adesso?

Si può provare ad aspettare e vedere cosa succede. Come detto il Garante si è pronunciato molto chiaramente su un caso specifico, si può provare a sperare che la propria configurazione sia esente dal problema, si può provare a passare alla versione di 4 di analytics, implementare una configurazione gtm server side, sperare che Google sposti tutti i dati di analytics all’interno dell’Unione Europea… noi consigliamo di prendere in considerazione una alternativa a Google Analytics.

(Precisazione: come abbiamo visto seguendo gli approfondimenti pubblicati nei giorni scorsi, non è sufficiente che Google sposti i dati in server situati all’interno dell’Unione Europea, i dati dovrebbero essere affidati a una società di diritto europeo e salvati su server situati su server nell’Unione).

Teoricamente il GDPR prevede delle sanzioni micidiali per chi non è in regola ma è giusto dire che fino ad ora nessun garante dell’Unione Europea si è mosso in maniera punitiva, anche nel caso specifico l’autorità italiana non ha comminato sanzioni ma ha semplicemente chiesto a Cafferine Srl di mettersi in regola entro 90 giorni.

Come ulteriore annotazione aggiungiamo che il Garante per la privacy di Malta non si è ancora pronunciato su questo aspetto ma a questo punto le aziende maltesi potrebbero muoversi in anticipo, Austria, Francia e adesso Italia si sono espresse chiaramente in materia, perchè aspettare? La cosa non rende felici neanche noi, ne avremmo fatto volentieri a meno ma dovremo adattarci, tanto vale cominciare subito.

Basta eliminare il codice di Analytics per essere a posto? Teoricamente no ma praticamente sì, almeno per quanto riguarda questo specifico aspetto. Come ha spiegato l’avvocato Scorza nella video intervista più sopra, il fatto di smettere di compiere un illecito non cancella il fatto che l’illecito sia stato precedentemente compiuto. Però, come poi ha aggiunto l’avvocato, il garante non si è mai mosso e non ha intenzione di muoversi con intenti punitivi. E’ anche vero che per occuparsi decentemente della promozione del sito qualche strumento di analisi è indispensabile ma non è affatto necessario usare il servizio di Google. E’ il più conosciuto ed è stato il più usato, fino ad ora, ce ne sono altri, migliori.

Attenzione agli sciacalli

Vogliamo provare a lasciare un avviso, come ultima annotazione a questo lungo post. E’ molto probabile che nei prossimi giorni improvvisati opportunisti si scateneranno per avventarsi come sciacalli sulle prede. Molti titolari di siti saranno legittimamente preoccupati, non fatevi prendere dal panico e soprattutto non prestate mai ascolto alle mail più o meno minacciose con offerte imperdibili inviate da aziende sconosciute. Sono solo spam. Mantenete la calma, potete prendervi qualche giorno per attendere interpretazioni e pareri autorevoli, poi rivolgetevi alla vostra agenzia o al professionista che cura il vostro sito che saprà offrirvi una soluzione.

L’articolo è stato aggiornato il 30/06/2022

Articoli correlati:

Caffè e analyticsLe alternative a Google Analytics Matomo - Supero ltdMatomo Analytics Non solo Google: 24 motori di ricerca alternativi per il 2022 - Supero ltdNon solo Google: 24 motori di ricerca alternativi per il 2022 PaginaFattori SEO legati alla pagina

Iscriviti alla nostra Newsletter

Iscriviti se vuoi ricevere aggiornamenti, ti invieremo al massimo una mail alla settimana con novità dal mondo dei motori di ricerca
Ho letto e accetto le informazioni sulla privacy

Interazioni del lettore

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *