La scorsa settimana è intervenuto il Garante Privacy per quanto riguarda l’utilizzo della piattaforma Google Analytics, dichiarandola non conforme alle norme previste dal GDPR: il software di Google è fra i più utilizzati al mondo per il monitoraggio delle visite sui siti web, l’analisi del traffico e varie tipologie di statistiche. Secondo l’autorità, il motivo è da ricercarsi nel trasferimento delle informazioni oltreoceano, verso server situati negli Stati Uniti, senza adeguate garanzie sulla loro tutela. Tra quelle interessate c’è anche l’indirizzo IP dei visitatori, considerato a tutti gli effetti un dato personale.
L’Autorità non ha fornito indicazioni in merito a concrete misure tecniche che possono essere adottate per garantire la liceità del trattamento continuando ad utilizzare Google Analytics, così come allo stato attuale è configurato e implementato. Sarà onere del titolare del trattamento quello di valutare in autonomia se vi sono misure idonee a garantire le tutele richieste dalla legge.

<< Con l’occasione l’Autorità richiama all’attenzione di tutti i gestori italiani di siti web, pubblici e privati, l’illiceità dei trasferimenti effettuati verso gli Stati Uniti attraverso Google Analytics, anche in considerazione delle numerose segnalazioni e quesiti che stanno pervenendo all’Ufficio. E invita tutti i titolari del trattamento a verificare la conformità delle modalità di utilizzo di cookie e altri strumenti di tracciamento utilizzati sui propri siti web, con particolare attenzione a Google Analytics e ad altri servizi analoghi, con la normativa in materia di protezione dei dati personali. >>

GDPD – Garante per la protezione dei dati personali, comunicato stampa 23 Giugno 2022

Non vi è ancora una soluzione definitiva

All’interno del comunicato stampa non è menzionata la versione di Google Analytics su cui sono state effettuate le analisi da parte del Garante: le casistiche precedenti segnalate in Austria nel dicembre 2021 e in Francia nel febbraio 2022 si riferivano alla versione 3, conosciuta anche come Universal; si consiglia quindi un aggiornamento alla versione 4 del software in quanto, come dichiarato da Google stessa nelle FAQ, gli indirizzi IP non vengono più né registrati né archiviati.
Tale provvedimento tuttavia risulta insufficiente per la tutela dei dati personali dell’utente poiché, indipendentemente dalla versione del software, è sempre Google stessa a scartare i dati, dati che anche senza l’indirizzo IP risultano sufficienti per l’identificazione dell’utente.

Un’altra misura tecnica plausibile potrebbe essere quella di adottare un reverse proxy specificatamente programmato al fine di  intercettare tutte le comunicazioni fra il browser del visitatore e i server di Google, controllare i messaggi e rimuovere qualsiasi dato personale. La procedura richiederebbe comunque un costante aggiornamento dei filtri applicati nonché un degrado della qualità dei dati statistici che vengono registrati. Inoltre la messa in opera di un server dedicato all’operazione aggiungerebbe dei costi non indifferenti al servizio. Esistono anche delle alternative a livello software per effettuare operazioni di monitoraggio del traffico sul proprio sito nella garanzia del rispetto delle norme previste dal GDPR, come Simple Analytics, Plausible o Matomo, che tuttavia non hanno accesso alle funzionalità Ads di Google, limitandone ampiamente le potenzialità. 

Uniweb procederà con tutte le misure attualmente possibili per regolarizzare il proprio servizio e rimarrà in attesa per eventuali aggiornamenti da parte dell’autorità competente.