ServizioContenuto basato su fatti, osservati e verificati dal reporter in modo diretto o riportati da fonti verificate e attendibili.Scopri di piùInterventi

Non è Google Analytics ad essere illegale, ma il trasferimento di dati personali verso gli Usa

Come proteggere meglio la privacy degli utenti attraverso soluzioni GDPR compliant

di Filippo Trocca

(AFP)

2' di lettura

È del 23 giugno la notizia dell'ammonimento di un'azienda italiana da parte del Garante della Privacy per aver configurato Google Analytics sul proprio sito in modo non rispettoso della normativa europea GDPR.

Il Garante della Privacy italiano ha preso così posizione, sulla scia di quelli austriaco e francese, contro l'esportazione di dati personali di cittadini europei verso gli USA.

Loading...

Il trasferimento dei dati personali è da anni un tema dibattuto nei tribunali europei. L'ultimo atto è stato la sentenza Schrems II del luglio 2020. La Corte ha invalidato la decisione sul Privacy Shield dal momento che la legge americana non garantisce un livello di protezione equivalente a quello europeo. La legge USA consente, infatti, all'Agenzia di Sicurezza Nazionale (NSA) americana di accedere a dati di cittadini non statunitensi, archiviati sui server di aziende americane senza preventiva autorizzazione di un giudice, necessaria invece in UE.

Il GDPR europeo vieta di trasferire informazioni, a meno che non vengano prese misure tecniche, organizzative e contrattuali tali da garantire uno standard di tutela uguale a quello di ciascuno Stato membro.

Secondo il Garante, le misure adottate dall'azienda oggetto dell’ammonimento non sono state sufficienti. Va chiarito che non è Google Analytics in generale l'oggetto dell'indagine - come tanti media hanno titolato - ma la possibilità da parte della versione 3 del software di esportare dati personali, come l'IP, verso gli USA, anche nel momento in cui si attivi la funzione di anonimizzazione (cancellando le ultime 6 cifre).

Si può già oggi evitare di esportare dati personali dagli strumenti analytics verso gli USA. Sul mercato esistono soluzioni server-side, che permettono di configurare lo strumento di Analytics in modo tale da non ricevere l'IP reale dell’utente, ma solo l'IP del server su cui è installato il software. Inoltre, la nuova versione 4 di Google Analytics ha introdotto funzioni specifiche relative alla privacy dell'utente: non salva più l'IP dell’utente e permette di indicare allo strumento di non memorizzare nemmeno altri segnali “riconoscibili”, come città, versione secondaria del browser, risoluzione dello schermo, etc.

La questione è molto più ampia rispetto ai soli strumenti di analisi, perché anche altre piattaforme, legate al mondo dell'advertising digitale ad esempio, sono di matrice americana e possono esportare, direttamente o indirettamente, dati personali fuori dai confini europei.

Anche per questo motivo, il presidente USA Biden e la presidente della Commissione Europea Von Der Leyen stanno trattando per ristabilire un nuovo Privacy Shield. Fino a che non verrà formalizzato un accordo, gli uffici dei Garanti della Privacy dovranno gestire le istanze con l'attuale normativa, con un impatto potenzialmente rilevante sul marketing digitale.

Chief Innovation Data Officer del gruppo Datrix

Riproduzione riservata ©

loading...

Brand connect

Loading...

Newsletter

Notizie e approfondimenti sugli avvenimenti politici, economici e finanziari.

Iscriviti