A seguito di un’indagine che coinvolgeva l’uso di Google Analytics 3, le autorità europee per la protezione dei dati hanno riscontrato che le misure di conformità di Google Analytics sono insufficienti in quanto il trattamento dei dati degli utenti europei da parte di Google Analytics potrebbe portare a trasferimenti di dati illeciti al di fuori dell’Europa.
In risposta alla problematica sollevata, Google ha rilasciato Google Analytics 4, ma non è ancora chiaro se la nuova versione sia ora conforme alla gestione della privacy.
Bisogna dunque smettere di usare Google Analytics?
Non c’è una risposta chiara a questa domanda in quanto l’indagine è ancora in corso. Alcune autorità per la protezione dei dati personali, come il Garante italiano, hanno affermato che sono necessarie ulteriori misure di sicurezza per continuare a utilizzare Google Analytics.
Google Analytics 4 tenta di risolvere il problema principale ma, dato che l’indagine delle autorità si basa su Google Analytics 3, al momento non è possibile sapere se l’utilizzo di GA4 sia sufficiente.
Per comprendere la recente sentenza su Google Analytics 3, dobbiamo risalire alla sentenza Schrems II emessa dalla Corte di giustizia dell’Unione Europea nel luglio 2020.
Schrems II ha dichiarato non valido lo “Scudo per la privacy”, ovvero il c.d. “Privacy Shield” che consente e legalizza i trasferimenti di dati tra gli Stati Uniti e l’UE. Di conseguenza, qualsiasi trasferimento di dati tra l’UE e gli Stati Uniti è vietato a meno che il partecipante (responsabile del trattamento o un responsabile del trattamento) non implementi misure aggiuntive per conformarsi agli standard europei (protezione dei dati).
Perché il trasferimento di dati tra l’UE e gli Stati Uniti è vietato? Il motivo è che il CLOUD ACT richiede alle società statunitensi come Google Analytics di trasmettere i dati che possiedono, detengono o controllano alle agenzie governative statunitensi, indipendentemente dal fatto che i dati siano archiviati negli Stati Uniti o all’esterno degli Stati Uniti.
Le autorità per la protezione dei dati in Francia, Austria, Danimarca e Italia hanno riscontrato che il trattamento dei dati degli utenti europei da parte di Google Analytics potrebbe portare a trasferimenti illegali al di fuori dell’Europa. Le autorità europee hanno avviato un’indagine dopo aver ricevuto una serie di denunce.
Cosa fare dunque?
Le possibilità sono due: attendere ulteriori sviluppi, sperando che la nuova versione di Google Analytics incontri l’approvazione degli organi di garanzia della privacy europei, cosa tutta da verificare, oppure passare ad un diverso sistema di statistiche, possibilmente cookie-less come ad esempio Burst.