Nell’agosto 2020 un utente si è appellato al Garante in quanto alcuni dati personali erano stati trasferiti da una Società X a Google LLC (con sede negli Stati Uniti). Questo fatto ha causato la sospensione, e non l’utilizzo di Google Analytics, del trasferimento di dati ai server statunitensi, per 90 giorni.
È importante ricordare che il GDPR vigila sullo scambio di dati tra Europa e altri Paesi, tra cui gli Stati Uniti, al fine di tutelare le informazioni personali dei cittadini UE. È bene precisare che negli Stati Uniti è consentito alle Autorità di avere accesso a tutti i dati conservati nel Paese senza fornire garanzie sui diritti degli interessati. Questo aspetto è cosa ben poco gradita alla UE tanto da portare alla sentenza Schrems II e all’invalidazione del Privacy Shield, tra UE e USA, che garantiva livelli di protezione dei dati personali nel Paese terzo pari a quelli europei.
La Società X, intervistata dal Garante, ha riportato di aver regolarmente proceduto alla nomina di Google come Responsabile del trattamento secondo il contratto che prevedeva le clausole standard.
In un primo momento i dati erano effettivamente gestiti da Google LLC, in seguito era subentrata Google Ireland che, però, continuava a utilizzare Google LLC come sub-responsabile del trattamento. I dati, quindi, continuavano a migrare negli Stati Uniti.
La Società X, inoltre, ha dichiarato di aver utilizzato tutti gli strumenti messi a disposizione da Google per garantire la protezione dei dati. Aveva infatti optato per l’anonimizzazione dell’indirizzo IP e cifratura dei dati e non aveva accettato l’opzione di condivisione dei dati. Il Garante della Privacy ha ritenuto che “le clausole contrattuali standard non sono sufficienti per impedire il controllo delle Autorità statunitensi e sia l’anonimizzazione dell’indirizzo IP, che la crittografia, non sono strumenti efficaci poiché possono essere soggetti entrambi a procedimento inverso che può portare alla ricostruzione dei dati degli utenti”.
La conseguenza è la sospensione di trasferimento di dati da UE a USA per 90 giorni.
Tuttavia, le soluzioni che potrebbero essere adeguate a sostituire Google Analytics 3 sono le seguenti:
Google Analytics 4
Google ha fatto dei passi in avanti verso il rispetto della privacy degli utenti con Google Analytics 4. Il funzionamento tecnico è simile a GA3, ma vengono raccolti meno dati e vengono interpretati in modo differente.
Infatti, GA4 elabora gli indirizzi IP per la geolocalizzazione, ma li elabora in modo più sicuro nel proprio sistema.
In alternativa al tracciamento classico, è possibile far passare i dati attraverso un server dedicato “mascherando” tutti i dati riconducibili alla persona. Si tratta di un’implementazione è più complicata rispetto a una integrazione standard, ma garantisce che a GA4 arrivino dati anonimi.