Google Analytics non difende la privacy degli utenti, questo quanto affermato da Garante per la Protezione dei Dati Personali.
Tutti i portali web che utilizzano Google Analytics violano la normativa sulla protezione dei dati degli utenti. Cosa accadrà adesso?
Il Garante per la Protezione dei Dati Personali ha comunicato l’illegalità di Google Analytics e dei siti che utilizzano il servizio di web analytics. I dati degli utenti, infatti, non risulterebbero protetti dato che vengono trasferiti negli Stati Uniti, un Paese considerato pericoloso. Il problema si risolverà solamente dopo la formalizzazione dell’accordo per il trasferimento tra Biden e Van Der Layen (Presidente della Commissione Europea). Una stretta di mano come promessa dell’intesa non è sufficiente per il Garante e, dunque, ad oggi il servizio web analytics di Google risulta illegale. L’illecito non verrà punito con una sanzione ma con la richiesta di un adeguamento entro 90 giorni al Regolamento generale sulla protezione dei dati.
Google Analytics e i problemi di privacy
Se il servizio Google è illecito, i siti che lo utilizzano si rendono complici della violazione delle norma a tutela dei dati degli utenti. La prima segnalazione che ha avviato l’iter di verifica da parte del Garante è stata presentata da una persona fisica contro la società Caffeina Media srl che si appoggiava ai servizi Analitycs. Tale società si è difesa affermando che Google avrebbe dichiarato di trattare cookie, dati del browser e del dispositivo, indirizzo IP e le attività sul sito relegando Google Analytics in una posizione aggregata per occuparsi di dati già resi anonimi. Inoltre la società ha riferito l’invio dei dati al servizio soddisfacendo le clausole contrattuali standard (schema del 5 febbraio 2010 della Commissione Europea).
Affermazioni similari sono state mosse da tutti i siti collaboratori con Google Analytics. Inoltre, gli interessati hanno sottolineato come sia complicato stipulare reali accordi sul trattamento dei dati e nominare Google – o altri Big Player – come responsabili esterni seguendo le indicazioni dell’articolo 28 del GDPR.
La risposta del Garante non accetta scusanti
Le motivazioni del titolare della società sono state respinte dal Garante. Le osservazioni hanno riportato che Google raccoglie dati e informazioni sulla modalità di interazione degli utenti con il portale, le pagine e i servizi proposti tramite cookies. Inoltre l’anonimizzazione dell’IP è solamente una pseudonimizzazione che lascia libera la re-identificazione dell’utente per Google. Il Garante, poi, ha giustificato la sua decisione sostenendo che i dati raccolti includono identificatori unici online che identificano browser e dispositivi, gestore, indirizzo, sito di navigazione, indirizzo IP, sistema operativo, lingua selezionata, data e ora di navigazione. Google, poi, ha la facoltà di associare indirizzo IP dell’utente ad altre informazioni in possesso per creare un profilo dell’utente stesso a sua insaputa.
Inoltre, Google Analytics viola il principio di accountability dato che non c’è una tutela reale dei dati personali così come la società viola le norme sull’informativa. L’utente, infatti, non viene informato del trasferimento dei dati ad un Paese terzo.