NEWS
Cybersecurity Google Analytics fuorilegge in Europa
Una recente pronuncia del Garante della privacy sullo stop all’uso degli analytics. In particolare, secondo il Garante, “il sito web che utilizza il servizio Google Analytics (GA), senza le garanzie previste dal Regolamento Ue, viola la normativa sulla protezione dei dati perché trasferisce negli Stati Uniti, Paese privo di un adeguato livello di protezione, i dati degli utenti”.
Non pensate che sia una questione lontana da voi. La maggior parte delle realtà imprenditoriali che possiede un sito internet ha a disposizione un sistema integrato di Google di nome appunto Analytics che consente di registrare le performance raggiunte dal portale, mappando accessi e "call to actions". Probabilmente quando l'agenzia che vi ha costruito il sito vi presenta un report degli accessi al vostro portale, al 99,9% utilizza questo sistema. Pertanto se Analytics diventa illegale decade il primo strumento di misurazione delle performance di tutti i nostri siti web e automaticamente chi lo utilizza è connivente di una pratica fuori legge.
Si tratta indubbiamente di un tema complesso.
La Corte di Giustizia dell'Unione Europea ha evidenziato che tra i due ecosistemi, europeo e americano, non ci sono le stesse garanzie di tutela: negli Usa, le condizioni per i dati personali importati dall’Europa non sono le stesse. In particolare, le agenzie di intelligence possono accedere con più facilità ai dati dei cittadini europei e i cittadini europei, in casi di violazioni, non possono appoggiarsi a una autorità garante della privacy che possa offrire loro tutela. Google Analytics, come un sacco di altri servizi americani, presuppone un trasferimento di dati dall’Europa agli Stati Uniti, dati potenzialmente utili a identificare gli utenti che visitano un sito internet che è cliente di Google Analytics: indirizzi IP, identificativi di browser, connessione e tempo di connessione. Essendo, ad oggi, vietato il trasferimento dei dati verso gli Usa, ed avendo ricevuto dei reclami nei confronti di questo aspetto, ci siamo adeguati.”
Cosa suggerisce il Garante
Come si legge nella pronuncia, “l’Autorità richiama all’attenzione di tutti i gestori italiani di siti web, pubblici e privati, l’illiceità dei trasferimenti effettuati verso gli Stati Uniti attraverso Google Analytics, anche in considerazione delle numerose segnalazioni e quesiti che stanno pervenendo all’Ufficio. E invita tutti i titolari del trattamento a verificare la conformità delle modalità di utilizzo di cookie e altri strumenti di tracciamento utilizzati sui propri siti web, con particolare attenzione a Google Analytics e ad altri servizi analoghi, alla normativa in materia di protezione dei dati personali”. In altre parole, di fatto il Garante invita chiunque abbia installato degli Analytics sul proprio sito, o sul sito di imprese clienti, a effettuare le opportune verifiche. Tuttavia la questione è politica e deve richiedere un accordo tra l’Unione Europea e gli USA sul trattamento dei dati.
Il parere di CNA
Secondo CNA, in questo quadro confuso è consigliabile attendere almeno gran parte dei 90 giorni richiesti dal Garante prima di adottare qualsiasi genere di intervento sugli Analytics. A ridosso della scadenza (7 settembre 2022) confidiamo di poter proporre soluzioni alternative nel caso non si arrivasse ad una soluzione di tipo politico (potenziale accordo UE/USA) come auspicato dallo stesso Garante.
Infatti, non potendo avere certezze né di tipo politico né relativamente a contromisure adottate dalle multinazionali statunitensi, c’è il reale pericolo che qualsiasi indicazione si possa dare potrebbe essere smentita prima del suddetto termine dei 90 giorni, magari danneggiando il business delle imprese.
Al momento, inoltre, non abbiamo contezza di soluzioni europee alternative che potrebbero essere sviluppate nelle prossime settimane in grado di colmare “il vuoto” lasciato da Google Analytics (anche Analytics 4 ancora non soddisfa i requisiti di garanzia richiesti dall’Autorità europea).
In questo clima di assoluta incertezza, CNA sta cercando comunque di stabilire un contatto con il Garante per capire eventuali sviluppi, quali ad esempio una moratoria sulle eventuali sanzioni per le piccole e medie imprese.