Google Analytics è illegale nell'UE?

Utilizzare Google Analytics in modo legalmente conforme è ancora possibile in Europa. Qui vi spieghiamo come.

Google Analytics now banned in Europe.

Max Schrems, l'avvocato che ha denunciato Facebook per violazione della privacy dei cittadini europei, ha ottenuto un'altra vittoria, questa volta contro Google: In due importanti sentenze, l'autorità austriaca per la protezione dei dati e l'autorità francese per la tutela della privacy hanno stabilito che l'uso di Google Analytics sui siti web europei è illegale. Le autorità danesi e norvegesi per la protezione dei dati hanno ora spiegato come utilizzare Google Analytics in modo legalmente conforme nell'UE.


All’inizio del 2022 gli organi di controllo della privacy austriaci e francesi hanno dichiarato che l’utilizzo di Google Analytics è illegale per le aziende europee a causa di violazioni della privacy. Ora le autorità norvegesi e danesi per la protezione dei datihanno spiegato come le aziende possono continuare a utilizzare Google Analytics in modo legalmente conforme.

L’Autorità norvegese per la protezione dei dati spiega che:

“Dopo le decisioni dei nostri colleghi europei, abbiamo esaminato più da vicino lo strumento e le impostazioni specifiche che si possono utilizzare se si vuole usare Google Analytics. La questione è stata particolarmente rilevante in quanto, sulla scia della prima decisione austriaca, Google ha iniziato a rendere disponibili ulteriori impostazioni in relazione alle informazioni che possono essere raccolte tramite lo strumento. Tuttavia, la conclusione è ancora che lo strumento non può essere utilizzato legalmente”.

Quindi Google Analytics è illegale in Europa?

Sì e no. Per le aziende europee è illegale utilizzare Google Analytics “così com’è”. Applicando misure tecniche come la pseudonimizzazione è ancora possibile utilizzare Google Analytics in conformità con il GDPR.

Come utilizzare GA in conformità al GDPR?

Una possibile misura tecnica da prendere in considerazione quando si utilizza Google Analytics è la pseudonimizzazione. Secondo il GDPR europeo, Google non deve essere in grado di scoprire di chi sono i dati che sta visualizzando. Ciò include gli indirizzi IP delle persone, ma anche altre informazioni che consentono di trarre conclusioni sull’identità di una persona.

Per pulire i dati prima di inviarli a Google, le aziende europee devono quindi inviarli tramite un reverse proxy.

Ecco un’istruzione dettagliata del CNIL francese su come inviare i dati analitici a Google tramite un proxy.

Tuttavia, è più facile a dirsi che a farsi. La soluzione descritta dalla CNIL (Commission Nationale de l’Informatique et des Libertés) è un pasticcio tecnico contorto.

L’idea è che invece di inviare tutto il traffico di Google Analytics direttamente ai server di Google, le aziende potrebbero farlo passare attraverso un server che controllano e che si trova nell’UE.

Per essere conformi ai requisiti di privacy del GDPR, le aziende dell’UE devono anche eliminare i dati da qualsiasi informazione di identificazione personale.

In particolare, la raccomandazione del CNIL afferma anche che è necessario eliminare tutti i parametri di query UTM, ovvero gli identificatori di campagna. Questo requisito rende inutile l’uso di Google Analytics. Perché un’azienda dovrebbe usare Google Analytics se non può utilizzare i dati per scoprire quale campagna pubblicitaria sta funzionando bene e quale no?

Fortunatamente, esistono molte alternative a Google Analytics con sede in Europa, ad esempio Matomo, Piwik, Plausible o Econda.

Decisioni austriache e francesi

Dopo la sentenza austriaca emessa nel febbraio 2022, anche il CNIL, l’organo di vigilanza francese sulla privacy, ha dichiarato che Google Analytics viola il GDPR e deve quindi essere vietato. Il CNIL ha pubblicato una dichiarazione:

“Il CNIL, in collaborazione con le sue controparti europee, ha analizzato le condizioni in cui i dati raccolti attraverso questo servizio [Google Analytics] vengono trasferiti negli Stati Uniti. La CNIL ritiene che questi trasferimenti siano illegali e ordina al gestore di un sito web francese di conformarsi al GDPR e, se necessario, di interrompere l’utilizzo di questo servizio alle condizioni attuali”.

Scudo per la privacy invalidato

Is Google Analytics illegal in Europe?

L’invalidazione della legislazione sul Privacy Shield nel 2020 ha avuto conseguenze di vasta portata per i servizi online statunitensi che operano in Europa: Non potevano più trasferire i dati dei cittadini europei negli Stati Uniti perché ciò avrebbe reso i dati dei cittadini europei vulnerabili alla sorveglianza di massa americana, una chiara violazione del GDPR europeo.

Tuttavia, l’industria tecnologica della Silicon Valley ha ampiamente ignorato la sentenza. Questo ha portato alla decisione di vietare Google Analytics in Europa. NOYB afferma che:

“Mentre questo (=invalidazione del Privacy Shield) ha inviato onde d’urto attraverso l’industria tecnologica, i fornitori statunitensi e gli esportatori di dati dell’UE hanno ampiamente ignorato il caso. Proprio come Microsoft, Facebook o Amazon, Google si è affidata alle cosiddette “Clausole contrattuali standard” per continuare i trasferimenti di dati e tranquillizzare i suoi partner commerciali europei”.

Ora, l’Autorità austriaca per la protezione dei dati personali si è espressa nello stesso modo della Corte europea, dichiarando il Privacy Shield non valido: Ha deciso che l’uso di Google Analytics è illegale in quanto viola il Regolamento generale sulla protezione dei dati (GDPR). Google è “soggetto a sorveglianza da parte dei servizi segreti statunitensi e può ricevere l’ordine di rivelare loro i dati dei cittadini europei”. Pertanto, i dati dei cittadini europei non possono essere trasferiti oltreoceano.

Decisione originale del tribunale austriaco.

Traduzione automatica della decisione originale.

Cosa riguardava il caso giudiziario?

Il 14 agosto 2020, un utente di Google ha avuto accesso a un sito web austriaco su questioni di salute. Questo sito web utilizzava Google Analytics e i dati dell’utente sono stati trasmessi a Google negli Stati Uniti. Sulla base di questi dati, Google ha potuto dedurre l’identità dell’utente.

Il 18 agosto 2020, l’utente di Google ha presentato un reclamo all’autorità austriaca per la protezione dei dati con l’aiuto dell’organizzazione per la protezione dei dati NOYB.

Ora il tribunale austriaco ha dichiarato illegale in Europa questo trasferimento di dati di Google Analytics.

Dati non adeguatamente protetti

Il problema è che, a causa della legge americana CLOUD, le autorità statunitensi sono in grado di richiedere dati personali a Google, Facebook e altri provider statunitensi, anche quando questi operano al di fuori degli Stati Uniti, ad esempio in Europa.

Pertanto, Google non è in grado di fornire un livello di protezione adeguato ai sensi dell’articolo 44 del GDPR - una chiara violazione delle garanzie europee in materia di protezione dei dati. Le clausole contrattuali standard invocate dall’operatore del sito web non sono d’aiuto, come riconosciuto nel 2020 dalla Corte di giustizia europea (CGE) nella sua decisione sul “Privacy Shield” (Schrems II).

Non è necessaria la prova dell’abuso di dati

Il fattore decisivo per la valutazione legale dell’uso di Google Analytics non è se un’agenzia di intelligence statunitense abbia effettivamente ottenuto i dati o se Google abbia effettivamente identificato l’utente. Il solo fatto che ciò fosse teoricamente possibile costituiva già una violazione del GDPR.

Gli utenti di Google possono tuttavia impostare i loro account Google in modo da impedire a Google di valutare in dettaglio il loro utilizzo di siti web di terzi. Ma il fatto che questa funzione esista è la prova che Google è in grado di unire i dati di utilizzo con l’individuo.

Il più grande successo del NOYB

Questa sentenza è uno dei maggiori successi ottenuti finora dall’organizzazione per la protezione dei dati NOYB. Di conseguenza, il NOYB e Max Schrems sono molto soddisfatti della decisione del tribunale austriaco:

“Si tratta di una decisione molto dettagliata e solida. Il punto è che: Le aziende non possono più utilizzare i servizi cloud statunitensi in Europa. Sono passati ormai 1 anno e mezzo da quando la Corte di Giustizia lo ha confermato una seconda volta, quindi è più che ora che la legge venga applicata”.

Questa sentenza è la prima di 101 cause intentate dalla no-profit NOYB di Schrems nella maggior parte degli Stati membri dell’Unione Europea.

Si attendono ora decisioni simili sul divieto di Google Analytics in Germania, Paesi Bassi e altri Stati membri dell’UE.

Rimuovere Google Analytics?

Tutanota, in quanto servizio di posta elettronica sicuro e attento alla privacy degli utenti, non ha mai utilizzato Google Analytics.

Ma ora molte aziende in Europa devono chiedersi se rimuovere Google Analytics dai loro siti web o rischiare una sanzione per violazione del GDPR.

A lungo termine, le opzioni saranno due: O gli Stati Uniti cambiano le loro leggi sulla sorveglianza per rafforzare le loro aziende tecnologiche, oppure i provider statunitensi dovranno ospitare i dati degli utenti europei in Europa.

L’Autorità olandese per i dati personali (AP) - dove sono ancora in sospeso due decisioni sull’uso di Google Analytics - ha ora aggiornato le proprie linee guida sulla “configurazione rispettosa della privacy di Google Analytics”.

Con l’aggiornamento, l’AP ha lanciato un avvertimento:

“Attenzione: l’uso di Google Analytics potrebbe presto non essere più consentito”.

Mentre le autorità danesi e norvegesi per la protezione dei dati spiegano ora come Google Analytics possa essere utilizzato in modo legalmente conforme in Europa, la soluzione presentata non è praticabile a causa della sua incredibile complessità.

Conclusioni

Anche se le aziende tecnologiche della Silicon Valley troveranno un modo per continuare a offrire i loro servizi in Europa - in un modo o nell’altro - l’approccio adottato dopo l’invalidazione del Privacy Shield deve far scattare diverse bandiere rosse per le aziende europee:

Come azienda europea non è più possibile affidare i dati sensibili degli utenti a società come Google che ignorano deliberatamente la legislazione europea sulla privacy e rischiano multe salate per i loro clienti commerciali europei.

Le multe contro il sito web austriaco sulla salute nel caso discusso non sono ancora state decise, ma nel peggiore dei casi la multa è di 20 milioni di euro o il 4% delle vendite annuali.

Poiché la privacy sta diventando sempre più importante per i consumatori di tutto il mondo, è logico che qualsiasi azienda europea scelga servizi che si concentrino sulla protezione della privacy dei propri utenti.

Le alternative europee a Google Analytics sono Matomo, Piwik, Plausible o Econda, solo per citarne alcune.

Se state cercando di sostituire anche altri servizi di Google, consultate la nostra guida per riprendervi la vostra privacy online con molte alternative a Google.

Un’ottima alternativa a Gmail, ad esempio, è Tutanota, il provider di e-mail tedesco sicuro e pienamente conforme al GDPR 😉 .