Sono trascorsi quattro anni dall’entrata in vigore del Regolamento europeo sulla protezione dei dati personali GDPR ed ora, complice l’aggiornamento alla v4 di Google Analytics, ci si chiede se lo strumento principe di analisi dati su web ed app sia pienamente conforme alle direttive imposte dall’Unione Europea.
Google Analytics 4 è conforme al GDPR? La risposta è NO. Siamo a metà del 2022 e Google Analytics 4 non è completamente conforme al GDPR. Nonostante l’introduzione di funzionalità extra fortemente incentrate sulla privacy, Google Analytics 4 ha ancora delle zone d’ombra rispetto alla regolamentazione europea. Dopo l’invalidazione del Privacy Shield nel 2020, Google deve ancora regolamentare la protezione dei dati UE-USA. Al momento, l’azienda non protegge a sufficienza i dati dei cittadini e dei residenti dell’UE dalle leggi di sorveglianza degli Stati Uniti e questa è una violazione diretta del GDPR.
Le autorità di regolamentazione europee hanno esaminato Google dall’entrata in vigore del GDPR nel 2018. Sebbene l’azienda abbia adottato misure per prepararsi alle disposizioni del GDPR, non ha rispettato pienamente le importanti normative in materia di archiviazione, trasferimento e sicurezza dei dati degli utenti. Il rapporto tra Google e le autorità di regolamentazione dell’UE si è intensificato dopo che la Corte di giustizia dell’Unione europea ha invalidato il Privacy Shield, un margine di manovra utilizzato da Google per i trasferimenti di dati UE-USA.
Nel 2020 diverse autorità nazionali per la regolamentazione dei dati personali hanno messo Google di fronte alla questione GDPR:
- la Svezia ha multato Google per aver violato il GDPR per non aver adempiuto ai propri obblighi di richiedere la cancellazione dei dati nel 2020;
- la Francia ha rifiutato la funzione di anonimizzazione dell’indirizzo IP di Google Analytics 4 come misura sufficiente per proteggere i trasferimenti di dati transfrontalieri. Anche con esso, i servizi di intelligence statunitensi possono comunque accedere agli IP degli utenti e ad altre PII. La Francia ha dichiarato illegale Google Analytics e ha inflitto una multa di 150 milioni di euro;
- l’Austria ha ritenuto che Google Analytics non fosse conforme al GDPR e ha dichiarato il servizio “illegale”. L’autorità ora chiede anche una multa;
- anche l’Autorità Olandese per la protezione dei dati e l’Autorità Norvegese per la protezione dei dati hanno ritenuto Google Analytics colpevole di una violazione del GDPR e cercano di limitare l’utilizzo di Google Analytics.
I nuovi controlli sulla privacy in Google Analytics 4 non risolvono il problema di fondo riguardante il trasferimento di dati UE-USA non regolamentato e non consensuale. La non conformità al GDPR di Google Analytics apre efficacemente qualsiasi tracciamento o analisi di siti Web ai visitatori europei alla persecuzione legale. Google non è l’unica azienda statunitense interessata dall’invalidazione del Privacy Shield. La sentenza mette a rischio di non conformità migliaia di aziende digitali. Per risolvere la questione, le autorità statunitensi e dell’UE hanno avviato “colloqui di pace”.
La presidente della Commissione europea Ursula Von Der Leyen ha affermato che stanno lavorando con l’amministrazione Biden al nuovo accordo che “consentirà flussi di dati prevedibili e affidabili tra l’UE e gli Stati Uniti, salvaguardando la privacy e le libertà civili”. Tuttavia, è solo l’inizio di un lungo processo di negoziazione. La questione è lungi dall’essere risolta e le questioni controverse rimangono. Gli Stati Uniti non sono ansiosi di modificare le proprie leggi sulla sorveglianza e sono per lo più disposti a renderle “proporzionali” a quelle in vigore nell’UE. Queste modifiche potrebbero ancora non soddisfare la commissione europea che ha il potere di bloccare la verifica dell’accordo o invalidarlo ancora una volta.
Mentre queste questioni vengono risolte, gli utenti di Google Analytics, che raccolgono dati su cittadini e/o residenti dell’UE, rimangono su terreni scivolosi. Finché utilizzano Google Analytics 4, possono essere soggetti a cause legali relative al GDPR.
Noi in Bianetwork abbiamo introdotto un protocollo per consentire alle aziende di essere conformi alle attuali normative privacy fornendo una consulenza professionale a 360° sul tema Analytics e GDPR, contattaci per maggiori informazioni.
FONTE: Matomo