Il tema della privacy sembra acquistare sempre maggiore importanza, in un’epoca in cui il trattamento dei dati personali è considerato fondamentale non solo dalle aziende, ma anche dai governi. La conferma di questa rinnovata attenzione è arrivata il passato 23 giugno, quando si è diffusa la notizia dell’ammonimento di un’azienda italiana da parte del Garante della Privacy per aver configurato Google Analytics sul proprio sito senza rispettare la normativa europea GDPR (General Data Protection Regulation).

La violazione, in particolare, avviene con il trasferimento dei dati negli Stati Uniti, Paese il quale non vanta gli stessi livelli di protezione i quali caratterizzano invece l’Unione Europea. Si potrebbe sorridere per quanto accaduto, considerato come i governi statunitensi da anni accusino la Cina di portare avanti questa pratica, tanto da escludere alcune aziende del Paese asiatico dalle gare di appalto in tema di telecomunicazioni sulla base di queste accuse.

Il problema è però estremamente complesso, come ha fatto capire Google, che ha dovuto mettere in regola la sua quarta versione di Analytics per non incappare nelle ire del Garante della Privacy italiano, il quale è a sua volta intervenuto dopo quelli di Francia e Austria. Andiamo quindi a vedere cosa sta accadendo e quali ne siano le implicazioni.

Google e la versione 4 di Analytics

Google Analytics 4 non conserva gli indirizzi IP nella raccolta di dati. Lo ha spiegato l’azienda in risposta alla nota emanata dal Garante italiano per la privacy sull’utilizzo del servizio. L’azienda ha inoltre precisato che la quarta versione del suo prodotto è in linea con il GDPR, in quanto Analytics provvede a cancellare gli indirizzi IP che raccoglie dagli utenti dell’UE prima di fare il logging di tali dati, il quale viene comunque fatto esclusivamente tramite domini e server posizionati all’interno dell’eurozona.

Il colosso di Mountain View ricorda poi che Analytics fornisce ai siti web controlli tesi a impedire la raccolta di Google-signals data su base regionale e quella di dati granulari sul posizionamento e il dispositivo su base regionale, che avviene per default. Ove si provveda a modificare le impostazioni di Google Signals disabilitando la raccolta per una determinata regione, Analytics conserva tutti i dati storici raccolti sino a quel momento, impedendone però l’aggiunta dal momento della modifica in avanti. La disattivazione della raccolta dei dati dei segnali di Google impedisce l’accesso ai report multipiattaforma, agli elenchi per il remarketing basati sui dati di Analytics e ad una serie di altre funzioni.

Disabilitando tale funzione Analytics non è più in grado di procedere alla raccolta di dati come quelli relativi alla città, alla latitudine e longitudine in cui la stessa è posizionata Città, al Browser alla marca, al modello e al nome del dispositivo, alla versione secondaria del sistema operativo e alla risoluzione dello schermo.

Al fine di garantire che i dati sul traffico con sede nell’Ue siano raccolti esclusivamente tramite server dislocati nell’UE, Google ha anche introdotto nel mese di giugno domini aggiuntivi. Nel caso in cui un sito abbia visitatori nell’eurozona e non abbia proceduto all’aggiornamento delle configurazioni relative alla politica di sicurezza dei contenuti, ma intenda comunque riprendere la raccolta dei dati relativi al traffico, deve includere i seguenti domini Analytics nelle direttive connect-src e img-src:

  • regione1.google-analytics.com;
  • regione1.analytics.google.com

Una possibile alternativa è quella rappresentata dall’inclusione di *.google-analytics.com e *.analytics.google.com, grazie alla quale sarà possibile approfittare di futuri aggiornamenti del dominio con Analytics.

Occorre anche specificare che le aziende che installeranno i controlli necessari per rientrare nell’ambito di applicazione del GDPR e soddisfare i requisiti sul consenso per i cookie di Analytics saranno colpite da una perdita di dati dai loro report di Google Analytics che dipenderà da quanti dei loro utenti decideranno di rifiutare i cookie di Analytics. Detto in parole povere, i dati ottenuti su alcune domande relative al traffico saranno incompleti.

Considerata l’importanza di questi dati per le decisioni interne ai siti e alle aziende che li propongono, Google Analytics ha deciso di ovviare con la cosiddetta modellazione comportamentale (behavioral modeling) per la modalità di consenso. Il comportamento degli utenti che rifiutano i cookie analitici sarà quindi modellato in base al comportamento di utenti simili i quali li hanno al contrario accettati, aiutando a fornire una migliore comprensione sulle modalità di comportamento dei visitatori.

Non è una questione di poco conto

Occorre sottolineare ancora una volta come quella relativa alla privacy e al trattamento dei dati personali sia una questione di grande attualità e come tale oggetto di procedimenti nelle aule di tribunale del vecchio continente.

L’ultimo di questi è la sentenza Schrems II (C-311-18), risalente al luglio del 2020, quando la Corte di Giustizia europea ha deciso di annullare la decisione 2016/1250 di adeguatezza della Commissione Europea al Privacy Shield. La risoluzione di invalidare la decisione sul Privacy Shield è stata motivata con l’inadeguata protezione fornita dalla legge degli Stati Uniti, inferiore agli standard vigenti nell’eurozona. In particolare, la legislazione statunitense permette all’NSA (National Security Agency) l’accesso ai dati di cittadini non statunitensi archiviati sui server di aziende americane senza una preventiva autorizzazione da parte di un giudice, come avviene invece in ambito UE.

Per cercare di dare il massimo di tutele in tal senso ai cittadini europei, l’Unione Europea ha quindi varato il GDPR, il quale vieta in particolare il trasferimento di informazioni nel caso in cui non siano adottate misure tecniche, organizzative e contrattuali in grado di andare a garantire uno standard di tutela uguale a quello di ciascuno Stato membro. Proprio questo è il motivo che ha spinto la massima corte continentale a intervenire.

Contrariamente a quanto affermato, quindi, non è Google ad essere stata messa sotto accusa dal Garante della Privacy, ma l’azienda inadempiente. Mentre sullo sfondo rimane la vera questione irrisolta, ovvero la possibilità che i dati personali dei cittadini europei possano essere trasferiti in un Paese, gli Stati Uniti, ove gli stessi non godono di protezione analoga a quella garantita dall’UE.

Cos’è il Privacy Shield

Il Privacy Shield è un meccanismo che regola il trasferimento dei dati personali delle aziende europee verso quelle degli Stati Uniti. In altre parole va inteso alla stregua di un meccanismo di autocertificazione per la tutela dei diritti degli interessati.

Shield in inglese significa “scudo” e il Privacy Shield è appunto l’equivalente di uno scudo per la privacy approvato da Unione Europea e USA. Con l’entrata in vigore del GDPR, però, sono venuti a cadere i presupposti per un accordo di grande rilevanza come questo. La presenza del requisito di adeguatezza al suo interno permette il trasferimento di dati personali verso un Paese extra UE soltanto nel caso in cui quello ricevente sia in grado di assicurare un livello di protezione dei dati analogo a quello europeo.

Gli Stati Uniti non rispondono a questo requisito è, di conseguenza la Corte di Giustizia europea lo ha dichiarato decaduto. Per ovviare alla situazione creatasi, la presidente della Commissione Europea, Ursula Von der Leyen, e quello degli Stati Uniti, Joe Biden, hanno messo in cantiere le trattative che dovranno condurre al varo di una seconda versione dello scudo.

Sin quando però tale accordo non sarà ratificato tra le controparti, la palla sarà in mano ai Garanti della Privacy dei vari Paesi, ai quali spetterà il compito di vigilare che l’attuale normativa possa comunque vigilare sui diritti dei cittadini europei. L’impatto che può essere originato dalle loro decisioni può comunque comportare conseguenze di rilievo sul marketing digitale, che del trattamento dei dati ha fatto uno strumento fondamentale.

Leggi ancheWhatsApp introduce nuove opzioni per tutelare la privacy degli utenti