27/06/2022
GDPR vs GOOGLE ANALYTICS – Update 23 giugno 2022
E noi “web qualsiasi cosa” che pensavamo di aver trovato il modo di scappare all’occhio di Sauron settando il codice di google analytics con il parametro “IP anonimo”… e invece pochi giorni fa è arrivata l’ennesima stretta.
Fin da quanto è entrata in vigora la normativa che obbliga a bloccare preventivamente l’installazione dei cookie analitici, mi sono chiesto che senso ha ostinarsi ad installarli. Realisticamente parlando chi, potendo scegliere tra due pulsanti di pari peso estetico e visibilità, andrà a cliccare su “si voglio che installate sul mio browser i cookie e che mi inseguiate ovunque, anche finché sono in bagno?”. Dopo l’installazione del famigerato banner ho sentito molti lamentarsi con frasi del tipo “il mio sito ha perso un sacco di visite e non capisco perché!”. Se su 1000 visitatori ne registri solo una ventina (ovvero quelli che accettano i cookie), ai fini statistici, quei dati quanto ti possono essere utili?
Che il 95% dei siti italiani se ne freghi e sia totalmente fuori norma è un altro paio di maniche…
Comunque proprio qui veniva in soccorso la possibilità di anonimizzare il codice di google. Infatti, forse non tutti lo sanno, fino a ieri i cookie di google analytics con IP anonimo erano visti dal garante come “tecnici”, non soggetti cioè al blocco preventivo da parte del banner. Con questa accortezza potevamo avere perlomeno il numero di visitatori e visualizzazioni “reali”.
Scappatoia troppo bella per durare a lungo e infatti pochi giorni fa ecco che il garante si è espresso a tal riguardo.
Il case study è quello di Caffeina Media S.r.l..
In sostanza quello che al garante da fastidio, anche a ragione per carità, è che la sede di Google (e quindi dei dati registrati e trattati) sia negli Stati Uniti e quindi fuori dall’occhio di Saur… ops, dell’unione europea.
Qui il primo passaggio: “Il sito web che utilizza il servizio Google Analytics (GA), senza le garanzie previste dal Regolamento Ue, viola la normativa sulla protezione dei dati perché trasferisce negli Stati Uniti, Paese privo di un adeguato livello di protezione, i dati degli utenti.”
Che l’indirizzo IP fosse un dato non trasmissibile senza consenso lo sapevamo ed era per questo che con l’anonimizzazione dello stesso si poteva procedere. Ma il garante in questo bollettino prosegue specificando che l’IP anche se troncato non viene considerato anonimo. Ecco il passaggio “Nel dichiarare l’illiceità del trattamento è stato ribadito che l’indirizzo IP costituisce un dato personale e anche nel caso fosse troncato non diverrebbe un dato anonimo, considerata la capacità di Google di arricchirlo con altri dati di cui è in possesso.”
L’unico lato positivo è che non è scattata una sanzione verso Caffeina Media S.r.l., ma gli è stato dato un tempo di 90 giorni per adeguarsi.
Per ora, salvo altre comunicazioni, siamo costretti ad adeguarci e, secondo me, a studiare altri sistemi per recuperare dati statistici.
Ecco come conclude il garante: “Con l’occasione l’Autorità richiama all’attenzione di tutti i gestori italiani di siti web, pubblici e privati, l’illiceità dei trasferimenti effettuati verso gli Stati Uniti attraverso GA, anche in considerazione delle numerose segnalazioni e quesiti che stanno pervenendo all’Ufficio. E invita tutti i titolari del trattamento a verificare la conformità delle modalità di utilizzo di cookie e altri strumenti di tracciamento utilizzati sui propri siti web, con particolare attenzione a Google Analytics e ad altri servizi analoghi, con la normativa in materia di protezione dei dati personali.”
Fonte: GPDP – Garante per la protezione dei dati personali.
Qui puoi leggere la comunicazione ufficiale cliccando qui.
Per verificare se il tuo sito è a norma puoi richiedere una consulenza qui:
Condividi questa pagina:
Vuoi ricevere direttamente i nuovi post nella tua casella email? Iscriviti alla newsletter.
100% content / 0% spam