Google Analytics viola il GDPR. L’ha stabilito il Garante della privacy italiano e ora si hanno 90 giorni per adeguarsi. Ecco i dettagli della sentenza.
Cos’è Google Analytics e perché sono molte le aziende italiane che lo utilizzano
Google Analytics è un servizio di analisi web che permette a chi gestisce un sito di ottenere statistiche e strumenti analitici sulle performance del sito.
Statistiche relative a:
- Comportamento degli utenti ad esempio quanti utenti hanno visualizzato il sito, quali contenuti si sono soffermati di più, quali hanno visualizzato ecc.
- Dati relativi al pubblico ad esempio quali sesso, età, zona geografica ecc.
Questi dati permettono alle aziende di comprendere se il proprio sito e il proprio prodotto/servizi sono presentati in modo apprezzabile o meno.
Nonostante sul mercato esistano servizi simili, anche gestiti da aziende europee, sono molte le aziende italiane (ma non solo, Google Analytics è uno degli strumenti di analisi di traffico internet più utilizzato al mondo) che adoperano questo strumento perché è:
- Gratuito
- Integrato con altri strumenti offerti da Google, tra cui Google Maps (utilizzato per gli spostamenti e per individuare i negozi nelle vicinanze) e Google Ads (per pubblicare annunci online).
La sentenza del Garante Privacy contro Google Analytics
Il Garante Privacy italiano ha stabilito che il sito web che adopera l’applicazione Google Analytics contravviene il GDPR poiché, come riportato sul sito del Garante, “viola la normativa sulla protezione dei dati perché trasferisce negli Stati Uniti, Paese privo di un adeguato livello di protezione, i dati degli utenti.”
La sentenza nasce a seguito del provvedimento del 9 giugno 2022 a cura del Garante Privacy in cui si ammoniva un’agenzia di comunicazione italiana che gestiva il sito web di un cliente servendosi della suddetta applicazione. In realtà tale verdetto non era il primo sull’argomento, in quanto mesi prima anche il Garante della privacy francese e austriaco avevano raggiunto decisioni simili.
Il trasferimento di dati fuori dall’Unione Europea con Google Analytics
A essere stato dichiarato illegittimo è il trasferimento dei dati fuori dall’Unione europea verso gli Stati Uniti.
Dati che includevano:
- Motore di ricerca (es. Google, Bing, Yahoo)
- Sistema operativo utilizzato (es. Android, Windows, iOS)
- Risoluzione dello schermo
- Lingua delle impostazioni di ricerca
- Data e ora della visita al sito web
- Indirizzi IP dei dispositivi
Quest’ultimo in particolare è considerato un dato personale, anche se troncato, perché Google può arricchirlo con altri dati di cui è in possesso.
Secondo il Garante Privacy italiano, poiché l’azienda che gestisce il sito web “non possiede alcun livello di autonomia in merito alle scelte relative ai trasferimenti di dati verso Paesi terzi, ivi incluse l’identificazione delle tipologie di dati oggetto del predetto trasferimento”, gli utenti non hanno la possibilità di tutelare l’uso dei propri dati come invece richiesto dal GDPR.
Conseguenze per le aziende che adoperano Google Analytics
L’azienda oggetto del provvedimento è stata ammonita dal Garante Privacy italiano con l’indicazione di conformarsi al GDPR entro 90 giorni, “pena la sospensione dei flussi di dati effettuati, per il tramite di Google Analytics, verso gli Stati Uniti.”
Un monito poi è stato mosso verso tutti gli altri gestori italiani di siti web, invitati a verificare la conformità delle modalità di utilizzo dei cookies (gli elementi che permettono a Google Analytics di ottenere i dati sopra citati) e degli altri strumenti di tracciamento utilizzati sui propri siti.
Desideri una consulenza per verificare che la tua azienda sia conforme al GDPR, sia per quanto riguarda il sito web sia per il resto dell’organizzazione? Richiedi una consulenza ai nostri esperti!