Negli ultimi tempi stanno circolando messaggi, che non sono SPAM, diretti ai titolari di siti web, riguardanti l’illegittimità di Google Analytics; tali messaggi ne richiedono la rimozione e/o la cancellazione dei dati di navigazione (in particolare, quello proveniente da Federico Leva), e sono richieste legittime. Però attenzione, non è escluso che, approfittando della confusione del momento, possano anche arrivare altri messaggi contenenti vere e proprie minacce.

Cos’è Google Analytics

G.A. è uno strumento fornito da Google per la rilevazione statistica della navigazione dei visitatori di un sito web; tali statistiche sono utilizzate dal titolare del sito per verificare l’interesse del pubblico verso i contenuti del sito e di conseguenza per attività di maketing. Tuttavia, questi stessi dati vengono utilizzati da Google per arricchire il profilo di ogni singolo visitatore, le cui informazioni sono utilizzate per presentare (durante la navigazione su tutti i siti che le ospitano) pubblicità mirate, cioè con più alta probabilità di essere notate e seguite. Grazie alla semplicità e bontà del servizio, G.A. è attualmente presente in quasi tutti i siti esistenti.

Tutto questo avviene nella totale incosapevolezza dei navigatori e spesso anche dei titolari dei siti (che potrebbero neppure sapere che utilizzano G.A.).

Cosa è successo

Il Garante privacy ha recentemente dichiarato che Google Analytics non è conforme alla normativa europea sulla protezione dei dati personali, e sostanzialmente ingiunge a tutti i titolari italiani di siti di rimuovere tale strumento (analoghe posizioni sono state prese dalle Autorità di Controllo francese ed austriaca, ed altre seguiranno nel breve). La questione della non conformità riguarda un tema molto complesso, quello del trasferimento dei dati personali fuori dall’UE; sintetizzando al massimo, la motivazione di fondo è che la legislazione degli USA non garantisce lo stesso livello di tutela dei dati personali che invece è garantito in Europa, e ciò a causa della sua legislazione che permette/obbliga azioni invasive, verso cittadini anche di altri paesi, ai soggetti USA (quale appunto Google) che forniscono servizi su internet. Questa motivazione fà sì che nessun titolare europeo sia in grado di affrontare e risolvere da solo la questione, che è in capo alla Commissione Europea ed all’amministrazione americana, con tempi di risoluzione ignoti (ma certamente non brevi).

Cosa fare

Il Garante ha dato 90 giorni (che scadono a metà settembre circa) a tutti i soggetti italiani per conformarsi. Ogni titolare di siti web può affrontare la questione così:

  1. verificare le proprie reali esigenze riguardo alle statistiche utili; qualora tali esigenze siano nulle o molto limitate, rimuovere le statistiche completamente (cioè rimuovere il servizio di G.A. e concellare tutti i dati).
  2. qualora le statistiche siano necessarie, valutare sistemi alternativi, in particolare si consigliano quelli che registrano i dati all’interno del sito stesso senza affidarsi a servizi esterni.
  3. qualora i servizi di G.A. siano ritenuti indispensabili, valutare di modificare le impostazioni in modo da minimizzare i dati raccolti (tenendo conto che il Garante ritiene ciò non sufficiente) e basare sempre la raccolta dei dati sul consenso esplicito (tramite il banner cookie, per esempio ELMO).

Siamo a disposizione per supportare tutti i titolari di siti, individuando la soluzione più adatta e effettuando l’adeguamento documentale necessario, nonché per l’eventuale risposta da dare alle richieste di cancellazione o altro; contattaci https://www.labprivacy.it/contatti/

LabPrivacy RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.