TL;DR Dopo l’autorità garante della privacy austriaca, anche il CNIL francese pone seri dubbi sulla conformità del popolare prodotto Google Analytics al regolamento europeo GDPR, ordinando ai gestori di decine di siti web di rimuoverlo dalle loro pagine entro un mese.
L’autorità francese CNIL (“Protéger les données personnelles, accompagner l’innovation, préserver les libertés individuelles“), analoga del nostro Garante della Privacy, con una nota pubblicata il 10 febbraio 2022, ha dichiarato che (traduzione automatica dal testo originale in francese):
[…] anche se Google ha adottato misure supplementari per regolare i trasferimenti di dati nel contesto della funzionalità di Google Analytics, queste non sono sufficienti per escludere la possibilità di accesso a questi dati da parte dei servizi segreti americani.
Il tutto nasce da una serie di reclami, relativi ad altrettanti siti web, portati avanti dall’associazione NOYB (almeno 101, secondo quanto riportato dal CNIL), fondata dall’avvocato austriaco Max Schrems diventato famoso per le due omonime sentenze (Schrems I e Schrems II) che hanno invalidato prima il Safe Harbour e poi il Privacy Shield.
La CNIL osserva che i dati degli utenti di Internet sono così trasferiti negli Stati Uniti in violazione degli articoli 44 e seguenti del GDPR. La CNIL ha quindi intimato al gestore del sito web di rendere questo trattamento conforme al GDPR, se necessario cessando di utilizzare la funzionalità di Google Analytics (alle condizioni attuali) o utilizzando uno strumento che non comporti un trasferimento al di fuori dell’UE. L’operatore del sito web in questione ha un mese di tempo per conformarsi.
La decisione del CNIL arriva a circa un mese da quella del Garante Austriaco DSB (del 12 gennaio 2022) e lo stesso Max Schrems ha dichiarato: “It’s interesting to see that the different European Data Protection Authorities all come to the same conclusion: the use of Google Analytics is illegal. There is a European task force and we assume that this action is coordinated and other authorities will decide similarily.”
La questione è tutt’altro che facile, ovviamente. Secondo il portale BuildWith, solamente nel nostro Paese sono oltre 300.000 i siti web che includono Google Analytics, tra cui anche molti siti istituzionali di Pubbliche Amministrazioni (che, per inciso, potrebbero usare la piattaforma Web Analytics, messa a disposizione dall’AgiD, GDPR-compliant).
Milioni di utenti europei, quindi, ogni giorno hanno i loro dati personali trasferiti, in modo presumibilmente non conforme alla normativa GDPR, verso i server statunitensi di Google.
Sono pochi, infatti, i siti web che adottano misure adeguate per rendere l’uso di Google Analytics GDPR compliant, ovvero:
- chiedere (e ottenere) il consenso esplicito dell’utente per tutti i cookie di Google Analytics sul suo sito web prima della loro attivazione e funzionamento;
- controllare ogni cookie e javascript di Google Analytics in modo da attivarli solo dopo che i vostri utenti hanno dato il loro esplicito consenso;
- fornire informazioni trasparenti nella politica dei cookie del suo sito web sui dettagli di tutti i cookie di Google Analytics in funzione, compreso il loro fornitore, i dettagli tecnici, la durata e lo scopo. Ricordo che il consenso è valido ai sensi del GDPR solo se costituisce una scelta informata da parte degli utenti;
- informazioni dettagliate nella politica della privacy del vostro sito web su tutti i cookie di Google Analytics sul vostro dominio;
- attivare l’anonimizzazione dell’IP nel’account di Google Analytics e assicurarsi che utilizzi identificatori pseudonimi;
Se anche una di queste misure non fosse stata adeguatamente implementata, l’uso dello strumento di tracciamento di Google Analytics (così come di qualsiasi altro strumento che invia dati personali a terze parti, soprattutto se fuori EU) risulterebbe non conforme.
Pur comprendendo che Google Analytics è ormai diventato un servizio di ampio utilizzo, relativamente semplice da usare e da implementare (basta aggiungere un piccolo pezzo di codice sulle pagine web), esistono già validissime alternative più rispettose della privacy degli utenti, come Matomo. Per chi non ha esigenze particolari, anche strumenti di analisi dei log di accesso, come GoAccess, possono essere una buona alternativa.
Per sapere se un certo sito web include Google Analytics (o un altro strumento di tracciamento) è possibile usare lo strumento online “BlackLight“. Per “difendersi” da tracciamenti non desiderati, sul browser Mozilla Firefox è possibile installare l’estensione gratuita di DuckDuckGo.