Menu Chiudi

Google Analytics 3 soddisfa la normativa GDPR?

I recenti accadimenti in materia di gestione e trasferimento dei dati hanno portato alcuni Organi Europei per la protezione dei dati come il Garante Privacy italiano, la CNIL francese, la DSB austriaca e il Datatilsynet danese, ad esprimersi giudicando insufficienti le misure di sicurezza adottate da Google Analytics 3 ritenuto un Servizio non in grado di soddisfare la normativa GDPR.

Di seguito il link al sito del Garante Privacy Italiano che riporta il dettaglio del Comunicato Stampa del 23 Giugno 2022:

https://www.gpdp.it/home/docweb/-/docweb-display/docweb/9782874

Il provvedimento è stato emanato dal Garante Privacy Italiano a seguito di accurate indagini svolte su una specifica Azienda titolare di un Sito online, in risposta alla segnalazione di un utente. All’Azienda in questione sono stati concessi 90 giorni per adeguare i livelli di sicurezza del proprio Sito, senza tuttavia esplicitare se l’intervento debba comportare o meno la disattivazione del Servizio Google Analytics 3 e senza emanare o fissare sanzioni economiche a fronte dell’attuale o della eventuale futura inadempienza.

Di seguito il link al sito del Garante Privacy Italiano che riporta il dettaglio del Provvedimento di Ammonimento del 08 Giugno 2022:

https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9782890

La sostanza del Provvedimento ritiene al di fuori della norma GDPR il trasferimento di dati dalla Unione Europea verso gli USA, evidenziando che le problematiche, riscontrate su Google Analytics 3, sono indipendenti dalla locazione geografica nella quale sono conservati i dati (che siano quindi dentro o fuori dall’UE non fa differenza) ma riguardano altresì il fatto che ogni Azienda con sede negli Stati Uniti sia tenuta, laddove richiesto, a trasmettere i dati in loro possesso, custodia o controllo alle Agenzie Governative degli Stati Uniti. Per tale ragione e dal momento che le indagini delle Autorità di protezione dei dati si sono basate su Google Analytics 3, non è possibile ancora sapere con certezza se le Autorità riterranno sufficiente l’utilizzo di GA4.

Laddove l’obbiettivo sia quello di continuare ad utilizzare i servizi Google Analytics consigliamo pertanto di attendere nuovi e più certi sviluppi che permettano di comprendere se GA4 sia ritenuta dalle Autorità dell’UE pienamente rispondente alla normativa GDPR.

 

Cosa puoi fare?

Laddove l’obbiettivo sia quello di continuare ad utilizzare i servizi Google Analytics consigliamo di attendere nuovi e più certi sviluppi che permettano di comprendere se GA4 sia ritenuta dalle Autorità dell’UE pienamente rispondente alla normativa GDPR.

Ti informiamo che anche Pagine Sì! ha valutato soluzioni alternative a Google Analytics per il monitoraggio e la raccolta dei dati di navigazione dei Siti Web.
Sarà nostra cura, non appena lo scenario normativo permetterà di interpretare al meglio l’evoluzione futura, fornirti il quadro completo delle opzioni disponibili a norma di Legge e offrirti il nostro supporto verso una eventuale transizione.

Puoi altrimenti richiedere a Pagine Sì! la totale disattivazione della “proprietà” Universal Analytics (GA3) collegata al Sito web.
Tale intervento rientra nel supporto tecnico che offriamo gratuitamente ai nostri Clienti nell’ambito del contratto sottoscritto, ma ti ricordiamo che ciò comporterà:

  • la perdita di tutti i dati di navigazione memorizzati dal Sito e
  • l’impossibilità di tracciare, da tale momento in avanti, nuovi dati di navigazione

Considera che la cancellazione definitiva dell’account UA è subordinata ai tempi di lavorazione di Google Analytics (circa 35 giorni) e che pertanto al completamento della registrazione della richiesta di cancellazione Pagine Si! non avrà ulteriori responsabilità a riguardo.
Al seguente link i dettagli indicati dal provider:

https://support.google.com/analytics/answer/1009696?hl=it#:~:text=Importante%3A%20l’account%20e%20tutte,storici%20n%C3%A9%20ripristinare%20i%20report

 

Cosa fare se un utente richiede la cancellazione dei propri dati ?

Se un utente del tuo sito ha richiesto in modo formale la cancellazione dei suoi dati di navigazione registrati in Google Analytics (GA3) senza però fornire tutti i dettagli necessari allo scopo (es. ha fornito solo parte del proprio indirizzo IP o dello user-agent utilizzato senza fornire il Client ID Analytics), Pagine Sì! consiglia di scrivere una mail (preferibilmente tramite PEC) all’utente in questione richiedendo formalmente tutte le informazioni utili alla procedura di cancellazione.
Essendo il sito web di sua proprietà, dovrà essere lei, a termine di legge, a rispondere all’utente:

Gentile utente,

al fine di poter procedere, come da sua richiesta, alla cancellazione dei dati
di traffico registrati da Universal Analytics durante la navigazione del nostro
Sito <www.urlsito> abbiamo la necessità di disporre del suo Client ID (*) di
Google Analytics per opportuna identificazione ed avvio della richiesta di
Rimozione dei Dati a Lei riferiti (come da art. 17 “Diritto alla cancellazione”
e art.18 “Diritto di limitazione di trattamento” del Regolamento Generale
sulla Protezione dei Dati UE 2016/679).

Precisiamo che il dato richiesto sarà trattato esclusivamente per la finalità
indicata e pertanto sarà conservato solo per il tempo necessario al
conseguimento della finalità del trattamento e poi cancellato.

Le chiediamo pertanto gentilmente di rispondere alla presente con la
restituzione del dato richiesto e la conferma a procedere.

Sarà nostra cura avvisarla tempestivamente non appena completata la
Richiesta di Rimozione dei dati che, le ricordiamo, sarà gestita dal Servizio
Universal Analytics secondo le tempistiche previste consultabili al seguente
link (paragrafo “Eliminare i dati utente”):

https://support.google.com/analytics/answer/6339208?hl=it&utm_id=ad#zippy=%2Ccontenuti-di-questo-articolo.

Distinti Saluti,

<Titolare del Sito>

Una volta ottenute le informazioni da parte dell’Utente richiedente ti preghiamo gentilmente di inoltrarle alla casella di posta privacy@paginesi.it al fine di garantire il pieno supporto alla Rimozione dei dati. Tale attività richiederà l’intervento di personale qualificato che sarà impegnato per tutto il tempo necessario nel supporto e avrà cura di tenerti aggiornato sino alla finalizzazione dell’incarico.

Se dovessi trovarti di fronte ad una mancata risposta da parte dell’utente e quindi aver oltrepassato i termini richiesti (31 giorni) non preoccuparti: l’essere in possesso della notifica/ricevuta di accettazione invio restituito dal provider del servizio PEC da te utilizzato è prova formale della tua piena volontà nel procedere fattivamente all’evasione della richiesta di cancellazione dei dati di traffico del Soggetto Richiedente.

L’assenza di una notifica/ricevuta di avvenuta consegna della comunicazione PEC pone altresì formalmente l’Utente richiedente nella condizione di responsabilità ostativa riguardo l’avvio e la finalizzazione delle azioni necessarie, condizione che rimarrà tale fino alla restituzione di tutte le informazioni richieste.

Ricorda:

Ricordati di controllare l’aderenza della tua Privacy Policy alla normativa GDPR vigente.

È essenziale infatti che gli utenti siano informati di ogni intenzione di trasferire i dati personali verso paesi non-UE, così come della giustificazione legale per il trasferimento e di ogni garanzia a riguardo. Pena la violazione dell’articolo 13 del GDPR.

Ultimo aggiornamento sull’uso di Google Analytics in Europa (Novembre 2022)

L’uso di Google Analytics in Europa è stato messo a rischio da alcune recenti decisioni. Diverse Autorità per la protezione dei dati europee hanno scoperto che il trattamento dei dati con Google Analytics potrebbe risultare in un trasferimento di dati illegale al di fuori dell’Europa.

Le azioni riguardanti Google Analytics sono il risultato dell’invalidamento del Privacy Shield in quanto è stato riscontrato che gli standard statunitensi sulla privacy non soddisfacevano i requisiti europei. La preoccupazione principale riguardava la possibilità che il governo potesse accedere ai dati degli utenti europei raccolti da azienda statunitensi, anche se questi dati venivano conservati in Europa.

Il giorno che tutti aspettavano è arrivato

C’è un nuovo accordo sulla privacy all’orizzonte. Dal momento che il Privacy Shield è stato invalidato, non c’è nessun accordo formale in vigore. Per cercare di risolvere il problema del trasferimento dei dati tra Stati Uniti e Unione Europea, il Presidente Biden ha firmato un ordine esecutivo per adempiere agli obblighi del nuovo Privacy Framework UE-USA.

Cos’è un ordine esecutivo?
L’ordine esecutivo è una direttiva del presidente degli Stati Uniti che è stata firmata e resa pubblica e controlla l’operato del governo federale. Questo ordine esecutivo potrebbe essere la soluzione che tutto il settore stava aspettando:

Mettendo in evidenza alcune componenti importanti del framework, l’ordine esecutivo ha l’obiettivo di stabilire una serie di diritti civili e protezioni della privacy per le attività di intelligence statunitensi, e fugare le preoccupazioni a riguardo.
La Commissione Europea potrà lavorare alla decisione di adeguatezza, che renderà di nuovo legittimi i trasferimenti di dati tra UE e USA. Il procedimento potrà durare fino a sei mesi, ma possiamo affermare che la soluzione è ormai vicina. È solo questione di tempo prima che il trasferimento dei dati verso gli Stati Uniti non comporti il rischio di un trasferimento illegale al di fuori dell’Europa.

Abbiamo risposto alla tua domanda?

Hai ancora dubbi? Scrivici!