TRASFERIMENTO DATI EXTRA UE

GDPR e Google Analytics 3: come essere in regola senza rischiare sanzioni o azioni legali

Sono trascorsi i 90 giorni di tempo che il Garante della Privacy aveva concesso ai gestori di siti web per adeguarsi al provvedimento con cui l’Autorità aveva dichiarato Google Analytics 3 non a norma con il GDPR: le aziende che usano questa soluzione devono quindi agire velocemente per non incorrere in pesanti sanzioni. Ecco alcune soluzioni per mettersi in regola

20 Set 2022
P
Pietro Poli

Operation Manager di Yourbiz srl

Google Analytics 3 (Universal Analytics) non rispetta la normativa GDPR. Il Garante della Privacy è stato chiaro a riguardo con la sua pronuncia dello scorso 9 giugno. Sono passati i 90 giorni dati per adeguarsi a tutti i gestori di siti web, ora il rischio di possibili sanzioni è reale e una recente ricerca sostiene che queste ultime potrebbero ammontare a 4,5 miliardi di euro nella sola Lombardia.

Numeri che fanno capire come questa potrebbe diventare una vera emergenza per le aziende e per gli operatori del settore.

Gmail e la pubblicità inbox: cos’è e perché è possibile una condanna per violazione della privacy

Google Analytics e il trasferimento dati extra UE

Ma partiamo dal principio. In sintesi, nel 2020 è pervenuto un reclamo all’Autorità Garante della privacy italiana, nel quale si è fatto riferimento al fatto che Google Analytics 3 trasferisce alcune informazioni dell’utente europeo negli Stati Uniti. Informazioni che consentono di risalire, aggregando diverse tipologie di dati, all’identità delle persone interessate.

WHITEPAPER
Perché impostare una strategia di manutenzione dei server?
Datacenter
Sicurezza

Quindi, il 9 giugno 2022 il Garante della Privacy si è espresso dichiarando che Google Analytics 3 (Universal Analytics) non è a norma con il GDPR.

Il tutto è nato dall’ammonizione alla società Caffeina Media srl, che utilizza Analytics sul proprio sito. Questa ammonizione, implicita per tutti i gestori, spiega che i siti web che utilizzano il servizio Google Analytics 3, senza le garanzie previste dal Regolamento UE, vìolano la normativa sulla protezione dei dati poiché trasferiscono i dati degli utenti negli Stati Uniti, Paese privo di un adeguato livello di protezione.

Le possibili sanzioni per violazione del GDPR

Quello che preoccupa gli addetti ai lavori, ma che dovrebbe allarmare anche le aziende, sono i valori emersi dalla ricerca elaborando gli ultimi dati ISTAT. L’indagine rivela che l’ammontare delle sanzioni che potrebbero arrivare alle aziende lombarde a causa della recente pronuncia del Garante della Privacy, sia pari a più di 4 miliardi e mezzo di euro.

Le sanzioni previste dal regolamento possono infatti arrivare fino al 4% del fatturato mondiale totale annuo delle imprese. Gli ultimi dati disponibili sul fatturato delle aziende lombarde che si occupano di servizi di informazione e comunicazione, di supporto alle imprese e di attività professionali, scientifiche e tecniche, dicono che l’ammontare è pari a 113.391.260.000 euro.

Calcolando le sanzioni per il mancato adeguamento rispetto a tutte queste aziende, la somma arriverebbe a un totale di 4.535.650.400 euro. Una cifra altissima, ma che tiene conto solo di una piccola parte dell’intero fatturato della regione “motore d’Italia”.

La ricerca ha infatti preso in esame i settori di attività che risultano emblematici e che potenzialmente usano il service di Google. Il rischio di sanzioni esiste però per tutte le imprese proprietarie di un sito web sul quale è attivo Google Analytics 3.

Questo fa capire come in una regione come la Lombardia, dove le ultime stime parlano di circa mille miliardi di fatturato per 550 mila imprese, pari al 25% del totale nazionale (Watch PMI Banca IFIS – aprile 2022), il rischio di sanzioni possa raggiungere cifre decisamente più onerose.

L’unica azione certa per mitigare il rischio di sanzioni

L’unica azione certa per evitare le sanzioni è quella di rimuovere lo script di Google Analytics 3, posto che il garante si è espresso solo su Google Analytics 3 e non su altri software che trasferiscono i dati negli Stati Uniti. Questo perché non sembra esistere una procedura per evitare che Google Analytics 3 (chiamato anche Universal o GA3) trasferisca dati negli USA.

Come accennato, l’aggregazione di questi dati consente di risalire all’identità della persona coinvolta: ciò è legale negli US ma non in UE. Di fatto, GA3 è fuori norma GDPR e non a caso presto verrà dismesso.

Come risolvere la questione? È possibile installare software di statistica che non trasferiscono i dati negli Stati Uniti, ad esempio Matomo che è già stato consigliato per la PA.

Un’altra opzione sarebbe usare Google Analytics 4. Su quest’ultimo, la soluzione definita Server Side permette di modificare l’indirizzo IP, rendendo così impossibile a Google risalire all’identità degli utenti.

Questa soluzione non è stata confermata esplicitamente dal Garante della Privacy italiano, mentre l’omologo francese si è già espresso a favore. Ma, se da un lato siamo sicuri che GA3 non rispetti il GDPR, dall’altro “affermare con altrettanta certezza che GA4 sia una soluzione sicura sarebbe troppo azzardato”, così quantomeno si è espresso Legal for Digital.

Al momento è ancora presto per prendere una strada definitiva, nemmeno quella di una gestione server side dello strumento. Resta innegabile il rischio di pesanti sanzioni per chi ha GA3 sul proprio sito.

Si dovrà attendere che il Garante della Privacy si esprima in modo chiaro, oppure che Google si muova in direzione dell’Europa o anche che, a livello internazionale, vengano presi degli accordi ad ampio raggio sul trasferimento dei dati da un continente all’altro.

Quel che è certo è che le sanzioni al momento sono un rischio reale. Il loro ammontare è a discrezione dell’autorità di vigilanza che valuterà caso per caso l’importo basandosi sulle indicazioni del GDPR.

Il Regolamento prevede che la sanzione stabilita per ogni caso sia efficace, dissuasiva e proporzionata, come indicato nell’articolo 83, comma 1. Gli importi delle sanzioni, come da provvedimento del 23/06/22 nr 9782874, possono variare da 10 a 20 milioni di euro e dal 2 al 4% del fatturato mondiale totale annuo dell’azienda, a seconda delle caratteristiche e del tipo di violazione.

Seppur tutti i possessori di un sito web siano a rischio, con molta probabilità ci si concentrerà dapprima sui BIG digitali, per poi muoversi anche sui più piccoli.

Quando si afferma che tutti sono a rischio, si intende chiunque sia proprietario di un sito web con un software che trasferisce i dati degli utenti negli Stati Uniti. A oggi, l’indagato speciale è Google Analytics 3 ma la lista potrebbe allungarsi e veder comparire molti altri software.

Le soluzioni alternative a Google Analytics 3

A tal proposito, ecco alcune opzioni alternative a GA3, sempre in attesa che il Garante si esprima in via definitiva, ricordando che esistono diversi altri software in commercio, sia gratuiti che a pagamento.

Google Analytics 4

Per chi lavora con campagne di digital marketing è uno strumento irrinunciabile. Permette di prendere decisioni strategiche su quali strumenti di marketing funzionano meglio e come direzionare il budget.

Google Analytics 4 Server Side

È sempre Google Analytics 4 ma con una variante molto importante: tra il sito dove è installato GA4 e il server di Google c’è un ulteriore server chiamato proxy, il quale modifica l’indirizzo IP dell’utente che sta navigando, rendendo così impossibile a GA4 e a Google risalire all’utente stesso. Questo significa che, anche se Google dovesse continuare a trasferire dati negli US, questa soluzione dovrebbe negare la possibilità di identificare l’utente. Il Server può essere costruito in casa o può essere trovato in cloud. Ad oggi esistono software in cloud che permettono questa opzione.

Matomo

È uno strumento analitico open source, già approvato dal Garante della Privacy italiano, che offre funzionalità simili a quelle di Google Analytics. Ci sono però diverse possibilità e opzioni che mancano in Matomo rispetto a strumenti come GA3 o GA4.

Hubspot

È un CRM, non un software di Analytics. Nonostante questo è un buon strumento da tenere in considerazione. La versione Marketing Hub Starter permette, tra le altre cose, di avere dashboard per monitorare l’andamento delle visite, delle conversioni degli utenti sul sito web, fino alla vendita effettiva.

Conclusioni

Come abbiamo visto, dunque, la situazione attuale è in evoluzione: si attendono le pronunce definitive da parte del Garante e, al contempo, si verifica se e in che misura arriveranno i controlli e le sanzioni.

Il consiglio migliore rimane comunque quello di adeguarsi alla pronuncia e di eliminare GA3 dai propri siti.

WHITEPAPER
Gestione dei contratti e GDPR: guida all’esternalizzazione di attività dei dati personali
Legal
Privacy
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articolo 1 di 5