Dopo tutta la diatriba seguita alle multe comminate ad alcuni portali online per l’utilizzo di Google Analytics e sul trasferimento dei cookie in data center americani, quindi contro le direttive del GDPR, si sono susseguite più domande che certezze sulle possibilità di utilizzare tale strumento.
Per quanto non si tratti di un’istituzione italiana, è arrivato il garante della privacy della Danimarca a dare qualche spiegazione in più che potrebbe tornare però utile anche per gli altri paesi europei. Come abbiamo spiegato in molti altri articoli, la problematica principale riguardante l’utilizzo della soluzione di tracciamento della società di Mountain View sta nel trasferimento dei dati dei visitatori dei portali online in strutture esterne alla Unione Europea.
A fronte di questo si sono susseguite molte cause e polemiche sulla sicurezza degli stessi dati dei visitatori ed è per questo che ci si è appellati al GDPR, la normativa principale sulla privacy in UE, per valutare le eventuali violazioni. A presentare la maggior parte di reclami è stata la NOYB, una rete fondata da un attivista austriaco di nome Max Schrems, che più volte ha denunciato la trasmissione illecita di dati a Google.
Tra le varie cause intentate ce ne sono tre che hanno portato a vere decisioni in merito, esse hanno avuto luogo in Austria, vinta da NOYB, ed in Francia e Italia, dove si è dato tempo ai proprietari dei siti per riaggiustare la situazione prima di ricevere le sanzioni. Anche a fronte di soluzioni come i proxy server, dice il garante francese, il dato dovrebbe essere trattato e rimaneggiato così tanto da diventare inutilizzabile.
Tutte queste dichiarazioni dei garanti hanno portato al decalogo sviluppato in Danimarca, che tramite il garante Makar Juhl Holst spiega che attualmente non è possibile utilizzare uno strumento come Google Analytics senza incorrere in inadempienze col GDPR. Tra i punti evidenziati dall’authority c’è la necessità di impostare GA per non trasferire dati in USA, anche se attualmente non si sa quanto questo potrà essere possibile. Diventa necessario anche creare una situazione che eviti di trattare i dati personali, cosa che è stata iniziata con Analytics 4 ma che attualmente risulta ancora incompleta, in quanto i metadati non danno modo di capire nomi e cognomi degli utenti del sito ma comunque riuscirebbero ad estrapolare un unico visitatore.
La cosiddetta pseudonimizzazione, secondo il garante, non anonimizza affatto, poiché permetterebbe comunque di arrivare ad un set di dati dell’utente. In Google Analytics 4 l’azienda statunitense spiega che i data center in USA ottengono solo gli IP degli utenti solo per avere la posizione di quest’ultimi, ma questa operazione richiede comunque l’entrata di un dato europeo negli Stati Uniti. Oltretutto, questa operazione potrebbe comunque esfiltrare alcuni dati mediante un firewall, permettendo quindi una raccolta maggiore ed illecita ai sensi del GDPR.
Oltre a questi punti si richiede un consenso rafforzato così come la trasparenza sull’accesso ai dati da parte delle autorità statunitensi ai dati dei cittadini europei, più volte smentita da Google ma mai del tutto certificata. L’ultima istanza è quella di un nuovo accordo tra l’Unione Europea e gli Stati Uniti per il trasferimento dei dati, più volte annunciato ma ancora ben lontano da una vera realizzazione.
Fonte: 1