La versione 4 di Google Analytics consente davvero alle aziende di risultare pienamente conformi al Gdpr? I dati degli utenti sono al sicuro o il trasferimento degli stessi verso Paesi extra Ue è a rischio? Dopo il monito del Garante Privacy a un’azienda non risultata in regola si è aperto il dibattito e i riflettori sono puntati sull’efficacia delle misure messe in atto dalla web company americana.
Sale l’attesa per il nuovo Privacy Shield
In realtà è il vuoto normativo venutosi a creare dal 2020 con l’annullamento del Privacy Shield – a seguito della sentenza Schrems 2 della Corte di Giustizia Ue – per una serie di criticità sul rispetto della privacy (le imprese americane potevano conservare e utilizzare i dati personali degli utenti europei) – ad aver creato caos e impossibilità di mettere in atto misure conformi al Gdpr visto che l’accordo è, appunto, annullato. La questione più che tecnologica è dunque politico- giuridica.
Lo scorso mese di marzo Europa e Stati Uniti hanno raggiunto l’accordo politico per il nuovo Privacy Shield. Stando a quanto dichiarato dalle parti il nuovo “pacchetto” consentirà alla Commissione Europea di autorizzare i flussi transatlantici di dati. E il presidente degli Stati Uniti Joe Biden ha sottolineato che ciò aiuterà a facilitare 7,1 miliardi di dollari nelle relazioni economiche con l’Ue. Fra il dire e il fare ci sono però gli iter burocratici e i passaggi necessari all’approvazione del nuovo quadro regolatorio.
La release 4 di Google Analytics
Secondo il colosso di Mountain View la versione 4 di Google Analytics rilasciata a metà giugno consente alle aziende che utilizzano la piattaforma di essere conformi al Gdpr. Analytics “cancella” gli indirizzi Ip che raccoglie dagli utenti dell’Ue prima di fare il logging di tali dati e tale logging viene comunque fatto esclusivamente tramite domini e server in Ue: è quanto afferma Google. L’azienda sottolinea inoltre che Analytics fornisce ai siti web controlli per disabilitare la raccolta di Google-signals data su base regionale e per disabilitare la raccolta di dati granulari sul posizionamento e il dispositivo su base regionale. E se si modificano le impostazioni e si disabilita la raccolta per una regione, Analytics conserva tutti i dati storici raccolti in precedenza, ma non vengono raccolti dati aggiuntivi dal momento della modifica. Ma, soprattutto, sono stati introdotti domini aggiuntivi per la raccolta del traffico per garantire che i dati sul traffico con sede nell’Ue vengano raccolti solo tramite server con sede nell’Ue.
L’analisi tecnica di MonitoraPA
A sollevare più di un dubbio sulla validità e sulla sicurezza della release è MonitoraPA che ha peraltro inviato al Garante Privacy un’analisi tecnica in cui si evidenziano le questioni non sanate dopo quella già inviata il 22 giugno. “Nella versione 4 di Google Analytics, Google promette contrattualmente di scartare l’intero IP dell’utente “appena tecnicamente possibile” Tale rimozione risulta però del tutto insufficiente a costituire un’efficace misura tecnica supplementare a protezione dei dati personali dell’utente”, si legge nel paper (SCARICA QUI IL DOCUMENTO).
Diverse le ragioni indicate nell’analisi: è Google stessa a scartare tali dati e dopo averli ricevuti. Subito prima di scartarli, potrebbe essere costretta a inviarli e all’insaputa del Titolare del trattamento, verso agenzie governative Usa nei termini previsti dalle norme statunitensi applicabili; il numero di bit di entropia forniti dall’IP del visitatore a cui Google promette contrattualmente di rinunciare è nettamente inferiore al numero di bit di entropia forniti, in media, dal runtime di esecuzione del browser; anche con Google Analytics 4, Google sostanzialmente promette di scartare dati ampiamente ridondanti di cui non ha comunque bisogno per identificare, tracciare e profilare l’utente. Esattamente come avviene con la versione precedente peraltro, in cui gli 8 bit dell’IP scartati “appena tecnicamente possibile” erano compensati dai 10 bit di entropia forniti in media dalla stringa identificativa del browser che viene comunque trasferita.
In astratto – evidenzia MonitoraPA – “una delle possibili misure tecniche supplementari che i Titolari del Trattamento potrebbero adottare per proteggere i dati personali dei visitatori pur continuando a utilizzare Google Analytics, consiste nel mediare attraverso un reverse proxy specificatamente programmato, le comunicazioni fra i visitatori e i server di Google”, ma nella pratica “questa soluzione soffre di gravi problemi tecnici che, oltre a renderla estremamente costosa, ne minano l’efficacia e l’affidabilità nel lungo periodo”.
Aicel: a rischio il business delle aziende, effetto boomerang
A proposito di costi l’Associazione italiana commercio elettronico (Aicel) accende i riflettori sui possibili impatti derivanti dalla disattivazione degli Analytics. “Per molte imprese italiane dotate di siti web e per l’intero sistema di advertising online, che era giunto negli ultimi anni a un livello di sofisticazione elevata, la stretta su Google Analytics significa tornare ad un livello di approssimazione fermo a dieci anni fa – sottolinea Manuela Borgese, vicepresidente di Aicel -. Non solo: i costi per attività di promozione basate su contenuti personalizzati in base alle preferenze degli utenti saranno triplicati in seguito alla decisione del Garante italiano della privacy. L’impossibilità di ricorrere a tali strumenti, così fondamentali per le politiche di marketing, comporta una serie di gravi conseguenze, tecnicamente insostenibili soprattutto in una fase in cui il settore economico è già fortemente provato”. La soluzione può essere solo ed esclusivamente di natura politica. Al fine di scongiurare i rischi segnalati e per sbloccare l’operatività dei fornitori, stante l’assenza di alternative, è fondamentale che vengano agevolate le procedure di adozione del già annunciato nuovo accordo transatlantico Usa-Ue per la protezione dei dati personali”.