Trasferimento dati extra UE

Analytics: ecco i chiarimenti privacy di Google, che non convincono del tutto

Il Governo USA non può accedere ai dati personali trattati da Google Analytics: è quanto chiarisce la stessa Google in risposta alla decisione del Garante Privacy austriaco sul mancato rispetto della normativa europea in materia di trasferimento dati da parte del servizio. Ma rimangono ancora aspetti da chiarire sulla reale compliance di questo tipo di strumenti. Il punto

20 Gen 2022
C
Marina Rita Carbone

Consulente privacy

In risposta a quanto stabilito dall’Autorità Garante austriaca DSB, che ha recentemente affermato che il servizio Google Analytics non rispetta la normativa europea in materia di trasferimento dei dati, Google ha pubblicato un proprio comunicato, a firma del Google Analytics Product Management Director Russell Ketchum, mediante il quale rende note le modalità di funzionamento del suo servizio e le garanzie applicate per assicurare che il governo statunitense non possa accedere ai dati personali trattati.

Il Garante Privacy austriaco, lo ricordiamo, ha ritenuto che le misure tecnico-organizzative e contrattuali applicate da Google non siano in linea con quanto stabilito dalla ben nota sentenza Schrems II della Corte di Giustizia Europea.

Si tratta della prima pronuncia, emessa sulla scorta dei rilievi presentati dall’associazione NOYB (di cui è presidente lo stesso Schrems), che ha fatto diretta applicazione del divieto di trasferimento dei dati verso gli Stati Uniti in assenza di garanzie adeguate.

La risposta di Google, come riferito nel comunicato, ha lo scopo di fornire alcuni chiarimenti sulle modalità di funzionamento di Analytics e sulla compatibilità del servizio con le norme sul trattamento dei dati personali, essendo Google Analytics utilizzando quotidianamente da molteplici organizzazioni, anche nel settore pubblico e no profit per visualizzare i dati di traffico sui propri siti web, in maniera aggregata.

Le nuove clausole contrattuali standard della Commissione UE: ecco la privacy post Schrems II

Google Analytics e il trasferimento dei dati

In relazione al trasferimento dei dati personali, oggetto del provvedimento dell’Autorità austriaca, il comunicato afferma che “Prima che i dati vengano trasferiti a qualsiasi server negli Stati Uniti, vengono raccolti in server locali, dove gli indirizzi IP degli utenti vengono resi anonimi (quando la funzione è abilitata dai clienti)”.

WHITEPAPER
Previeni i difetti di sicurezza nelle applicazioni: la soluzione in 5 punti
Sicurezza
Software

Inoltre, viene specificato che, allo scopo di garantire il soddisfacimento delle condizioni per il trasferimento dei dati all’estero espresse dal GDPR e ribadite dalla Corte di Giustizia, sono applicate una serie di misure di sicurezza, tra cui:

  1. l’utilizzo di accordi di trasferimento dei dati “come le clausole contrattuali standard dell’UE, che si sono affermate come un meccanismo valido per il trasferimento dei dati negli Stati Uniti, insieme a garanzie aggiuntive che mantengono i dati al sicuro: crittografia dei dati leader del settore, sicurezza fisica nei nostri data center e solide politiche per la gestione delle richieste governative di informazioni sugli utenti”;
  2. il mantenimento di standard di sicurezza indipendenti accettati a livello internazionale come ISO 27001, “che fornisce l’accreditamento indipendente dei nostri sistemi, applicazioni, persone, tecnologia, processi e data center”;
  3. l’offerta, ai proprietari dei siti Web, di “un’ampia gamma di controlli che possono utilizzare per mantenere i dati dei visitatori del loro sito Web al sicuro”;
  4. l’applicazione di misure tecniche “(come Application Layer Transport Security e crittografia HTTPS) per proteggerci dall’intercettazione in transito all’interno dell’infrastruttura di Google, tra data center e tra utenti e siti web, compresi i tentativi di sorveglianza da parte delle autorità governative di tutto il mondo”.

Proprio il punto in esame, a parere di NOYB e dell’autorità austriaca, non appare sufficiente a garantire il concreto ed effettivo rispetto della normativa europea, trattandosi di misure tecniche e organizzative più “formali” che sostanziali.

“Invece di adattare effettivamente i servizi per essere conformi al GDPR, le aziende statunitensi hanno cercato di aggiungere semplicemente del testo alle loro politiche sulla privacy e ignorare la Corte di giustizia”, ha affermato Max Schrems, “Molte aziende dell’UE hanno seguito l’esempio invece di passare alle opzioni legali”

Della stessa opinione l’autorità austriaca, che nella sua decisione ha affermato come “Per quanto riguarda le misure contrattuali e organizzative delineate, non è evidente fino a che punto [le misure] siano efficaci nel senso delle considerazioni di cui sopra. […] Per quanto riguarda le misure tecniche, non è nemmeno riconoscibile (…) in che misura [la misura] impedirebbe o limiterebbe effettivamente l’accesso da parte delle agenzie di intelligence statunitensi considerando la legge degli Stati Uniti“.

Il Parlamento UE non rispetta la privacy: sanzionato per illeciti su cookie e trasferimenti dati negli USA

Tracciamento e profilazione dati su Google Analytics

Poiché pensato allo scopo di restituire ai clienti un resoconto dei dati di utilizzo dei loro siti e app, al fine di migliorare il servizio reso all’utente finale, Google Analytics non effettua attività di profilazione o di tracciamento delle persone sul web.

Google Analytics aiuta i proprietari di app e siti Web a capire in che modo i loro utenti interagiscono con i loro siti e app (e solo con il loro sito o app)” si legge nel comunicato. “Ad esempio, può aiutarli a capire quali sezioni di un giornale online hanno più lettori o con quale frequenza i carrelli della spesa vengono abbandonati per un negozio online. Questo è ciò che li aiuta a migliorare l’esperienza per i loro clienti comprendendo meglio cosa funziona o cosa non funziona”.

A tal fine, le informazioni che Google tratta riguardano: il tipo di dispositivo o il browser utilizzato per l’accesso; il tempo medio trascorso sul sito o sulla app, la provenienza approssimativa dei visitatori. “Ai clienti di Google Analytics è vietato caricare informazioni che potrebbero essere utilizzate da Google per identificare una persona. Forniamo ai nostri clienti strumenti di eliminazione dei dati per aiutarli a rimuovere tempestivamente i dati dai nostri server se lo fanno inavvertitamente.

La titolarità dei dati

Il controllo e la titolarità dei dati, afferma Ketchum, restano in capo all’utente, che archivia ed elabora i dati esclusivamente secondo le proprie necessità.

Gli utenti del servizio possono, poi, separatamente, decidere di condividere i dati raccolti con Google al fine di perseguire scopi specifici e limitati, come supporto tecnico, benchmarking e supporto alle vendite. “Le organizzazioni devono intraprendere azioni esplicite per consentire a Google di utilizzare i propri dati di analisi per migliorare o creare nuovi prodotti e servizi. Tali impostazioni sono del tutto facoltative e richiedono un esplicito consenso”.

Per gli utilizzatori del servizio localizzati all’interno dello Spazio Economico Europeo, inoltre, Google consente l’attivazione di una serie di misure di sicurezza ulteriori:

  1. abilitare l’anonimizzazione IP (o mascheramento IP) sui propri siti Web, il che significa che gli indirizzi IP completi non vengono mai elaborati o registrati;
  2. disabilitare parzialmente o completamente la raccolta dei dati su determinate pagine;
  3. disabilitare la personalizzazione delle pubblicità;
  4. esportare i dati degli eventi associati ai singoli utenti, al fine di garantirne la portabilità;
  5. selezionare per quanto tempo i dati a livello di utente e di evento vengono archiviati da Analytics prima che venga pianificata l’eliminazione automatica dall’account Analytics e dai server di Google. “Alcuni dati chiave dell’utente (come età, sesso, interessi)” si legge nella policy di Google Analytics, “vengono eliminati per impostazione predefinita da Google Analytics dopo sei mesi di inattività per un dato utente per una proprietà Universal Analytics o dopo due mesi per una proprietà Google Analytics 4. Puoi scegliere per quanto tempo Analytics conserva i dati prima di eliminarli automaticamente. La quantità massima di tempo durante la quale Analytics conserverà i dati dei segnali di Google è di 26 mesi, indipendentemente dalle tue impostazioni. Per impostazione predefinita, i dati di accesso a Google scadono dopo 26 mesi. Tuttavia, se l’impostazione di conservazione dei dati di Analytics è impostata su un valore inferiore a 26 mesi, i dati di accesso a Google rispetteranno questo intervallo di tempo più breve”;
  6. eliminare i dati dai server di Analytics inviando una richiesta espressa per la rimozione degli stessi. Si rende possibile anche eliminare i dati di un singolo utente dal proprio account Analytics tramite funzionalità dedicate.

Agli utilizzatori del servizio, ritenuto il pieno titolare dei dati raccolti, spetta poi l’obbligo di informare adeguatamente i visitatori “sulle implementazioni e sulle funzionalità di Google Analytics che utilizzano e se questi dati possono essere collegati ad altri dati che hanno su di loro”, oltre all’obbligo di raccoglierne il consenso secondo le leggi vigenti.

Il trattamento dei dati particolari

Il comunicato si sofferma anche sulla possibilità che i dati raccolti con Google Analytics siano poi utilizzati dagli utenti per condurre le proprie campagne pubblicitarie, affermando, a tal riguardo, che “Se un’azienda utilizza anche le piattaforme pubblicitarie di Google, è rigorosamente tenuta a seguire le linee guida pubblicitarie di Google che impediscono l’uso di informazioni riservate per personalizzare gli annunci, come salute, razza, religione o orientamento sessuale. Non consentiamo mai che le informazioni sensibili vengano utilizzate per la pubblicità personalizzata. È semplicemente off limits”.

Conclusioni

La decisione emanata dall’autorità austriaca e i chiarimenti resi da Google mostrano come, a distanza di quasi due anni dalla sentenza Schrems II, siano stati ben pochi i passi in avanti fatti dalle grandi società del settore, a discapito degli utenti del servizio, che perdurano in uno stato di incertezza circa la reale compliance degli strumenti alle normative vigenti.

A lungo termine”, commenta NOYB, “sembrano esserci due opzioni: O gli Stati Uniti adattano le protezioni di base per gli stranieri per sostenere la loro industria tecnologica, o i fornitori statunitensi dovranno ospitare i dati stranieri fuori dagli Stati Uniti”.

INFOGRAFICA
Industry 5.0, guida per CFO: come valorizzare i dati di produzione
Big Data
Manifatturiero/Produzione
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articolo 1 di 2