E' bene valutare fin da subito le possibili alternative per evitare sanzioni e continuare ad operare nel rispetto del quadro normativo europeo (GDPR).
Con un comunicato stampa del 23/06/2022 il Garante ha quindi stabilito che Google Analytics (GA) viola le normative del Regolamento Ue, perché trasferisce i dati negli Stati Uniti, paese privo di un adeguato livello di protezione.
Con questa decisione il Garante italiano si uniforma ai pareri degli omologhi di Francia e Austria, che si erano già espressi in tal senso.
Le linee d’azione che al momento abbiamo identificato sono le seguenti:
- Passare alla versione 4 di Google Analytics: come già consigliato in passato, che risulta già conforme perché anonimizza l’IP di default e non prevede l’archiviazione dei dati nei server americani di Google*.
- Selezionare e utilizzare un altro strumento di tracciamento che sia GDPR compliant: esistono servizi alternativi, con sede nella Comunità Europea, per lo più a pagamento, che possono sostituire Google Analytics. Oltre al canone periodico, ci sono costi legati all'installazione e configurazione del nuovo servizio. Inoltre l'aggancio con gli altri servizi Google (es. Google Ads) non è garantita.
- Rimuovere il codice di Google Analytics dal proprio sito e smettere di tracciare i dati: si tratta dell'ultima soluzione, in questo caso infatti non si potrà sapere quanti utenti consultano il sito, da dove provengono, quali pagine visitano…
* Google Analytics 4 è la risposta di Google alle continue sfide sulla privacy in Europa, gestisce infatti gli indirizzi IP diversamente e offre ulteriori opzioni e impostazioni riguardanti la privacy.
Al momento però il Garante non si è ancora espresso a riguardo, non possiamo quindi sapere con certezza se le autorità riterranno sufficienti queste caratteristiche per rientrare nella piena conformità.
Segnaliamo che a fine marzo 2022 è stata annunciata l'intenzione di raggiungere un nuovo accordo sul trasferimento dati tra UE e USA. Questo accordo, in fase di discussione, dovrebbe risolvere il problema dei trasferimenti illegali di dati al di fuori dell'Europa. Ma non si hanno tempi certi.
Ricordiamo infine che Progetto Aroma non è uno studio legale, quindi le soluzioni proposte devono essere sempre avallate dal DPO o dal consulente privacy di riferimento.
Consigliamo comunque di affrontare la questione senza lasciar passare altro tempo, per evitare di incorrere in sanzioni.
Contattaci per approfondimenti e stime di intervento a riguardo.