“Cartellino giallo” del Garante Privacy anche per Fastweb e ilMeteo.it, dopo Caffeina Media, per aver utilizzato Google Analytics (GA) sui rispettivi siti web. È illecito il trattamento dei dati personali degli utenti dei siti web attraverso GA, perché, scrive il Garante nei provvedimenti di ammonimento nei confronti delle tre società, comporta il trasferimento dei dati personali dei visitatori a Google con sede negli Stati Uniti e si tratta di trasferimenti effettuati verso un Paese terzo che non garantisce un livello di protezione adeguato.
Il diritto interno degli Stati Uniti (in particolare l’Executive Order 12333 e l’art. 702 del Foreign Intelligence Surveillance Act – FISA) consente alle autorità pubbliche di accedere ai dati personali degli italiani e europei raccolti con Google Analytics.
Inoltre, big G, con il suo tool di web analytics riesce ad avere una vera e propria profilazione degli utenti da sfruttare per scopi commerciali.
Ecco come Google profila gli utenti con Google Analytics
Concretamente, a Google giunge l’IP degli utenti, che associato ad altre informazioni relative al browser utilizzato e alla data e all’ora della navigazione, permettono, osserva il Garante Privacy, “di identificare un dispositivo di comunicazione elettronica e, quindi, indirettamente l’utente”.
E neanche l’IP-Anonymization, la pseudonimizzazione del dato relativo all’indirizzo di rete dell’utente, non impedisce a Google, continua il Garante, “di re-identificare l’utente medesimo, tenuto conto delle informazioni complessivamente detenute dalla stessa relative agli utenti del web”.
Come evitare le sanzioni dal Garante Privacy
In sostanza, vìola il GDPR il titolare del trattamento che usa Google Analytics, senza misure tecniche supplementari che impediscono di inviare l’IP a big G.
Ora, Caffeina Media, Fastweb e ilMeteo.it dovranno fare questo:
- Eliminare dai propri siti web Google Analytics
- oppure usare Google Analytics server-side tagging senza mandare più IP alla società in USA.
Altrimenti, il Garante passerà al cartellino rosso: a una sanzione pecuniaria.
I tre ammonimenti dell’Autorità per la protezione dei dati personali sono un avvertimento per tutte le altre società e Pubbliche amministrazioni che usano il tool di Google per analizzare le statistiche degli utenti.
Sono tra le “priorità” le attività ispettive del Garante sul trasferimento di dati all’estero sulla base di Google Analytics.
Nelle PA in caduta libera l’uso di Google Analytics (-90%) e di Google Fonts (-70%)
Sia per questo motivo sia per la moral suasion della comunità di MonitoraPa, ad oggi, nelle Pubbliche amministrazioni si registra una caduta libera dei due tool di Google: l’uso di Google Analytics è sceso del 90% e -70% quello di Google Fonts.
Quindi GA è lecito usarlo se non manda più IP a Google in USA?
Solo se si implementano le “misure tecniche supplementari” richieste dal Garante Privacy: quindi software custom lato server, di server-side tagging, che limitano il trasferimento IP a Google in USA. Quindi significa che non basta includere una riga nell’HTML del sito web ma serve un server-software ad-hoc.
Il garante danese nelle sue FAQ spiega che la nuova versione Google Analytics 4, sebbene sia “configurata per raccogliere il minor numero di informazioni possibile, le restanti informazioni raccolte costituiscono comunque dati personali degli interessati. Questo perché l’identificatore univoco del visitatore, le informazioni sull’interazione del visitatore con il sito Web, l’ora e la posizione approssimativa del visitatore continueranno a essere raccolte”.
https://www.key4biz.it/google-analytics-cartellino-giallo-del-garante-privacy-anche-per-fastweb-e-ilmeteo-it/417518/