Di seguito le valutazione svolte dal Team Legale di IusPrivacy al fine di una possibile adozione dello strumento di elaborazioni statistiche Google Analitycs 4 (GA4).
Riportiamo di seguito un lungo articolo che raccomandiamo di leggere con attenzione.
Ti informiamo, inoltre, che abbiamo reso disponibile, all’interno della piattaforma IusPrivacy, il trattamento relativo a GA4 - Elaborazioni statistiche dei visitatori mediante Google Analytics da indicare all’interno della relativa informativa cookie e in cui sono definite:
- la descrizione del trattamento;
- la base giuridica;
- le finalità;
- le modalità di utilizzo dei dati;
- natura del conferimento ed eventuali rifiuti da parte degli interessati;
- misure di protezione adottate;
- periodo di conservazione;
- tipologia dati trattati;
- eventuale trasferimento Extra UE (che in questo caso avviene).
PREMESSE
Perchè la soluzione GA4 non è pienamente conforme?
Con il comunicato stampa n. 9782874 del 23-06-2022 (https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9782874), il Garante Privacy ha dichiarato non conforme al Regolamento UE 679/2016 (GDPR) lo strumento di Google Universal Analytics, a seguito del trasferimento dei dati extra Ue che presenta rischi per i diritti e le libertà degli utenti (c.d. Interessati) , cittadini europei.
Nella versione GA4 di Analytics, come dichiarato da Google, l’impostazione predefinita prevede una archiviazione in forma anonimizzata dell’indirizzo IP dell’utente all’interno dei database presenti in Europa ed accessibili anche fuori dall’UE in particolare negli USA.
Il servizio GA4 elabora necessariamente gli indirizzi IP degli utenti al fine di produrre le elaborazioni statistiche del sito web analizzato.
Sebbene non via sia un provvedimento del Garante specifico per il nuovo strumento, GA4 presenta alcune criticità che sono già oggetto dei provvedimenti che hanno ritenuto non idoneo Universal Analytics, come affermato anche da uno dei componenti del Garante Privacy (Guido Scorza) in una recente intervista riportata integralmente qui: https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9783595.
Quali sono queste criticità?
- l’indirizzo IP è elaborato sempre in modo chiaro e completo da Google il quale potrebbe, a seguito di una richiesta, rendere queste informazioni disponibili al governo americano;
- anche se non venisse archiviato l’indirizzo IP dell’utente, Google potrebbe ricostruire i dati di ogni utente, anche identificativi, perché è in possesso di una notevole mole di informazioni.
Qual è l’origine di queste criticità?
La Società GOOGLE, che ha le principali sedi legali ed operative negli USA, fornisce una vasta gamma di servizi in cui raccoglie dati personali a iosa.
Tra i principali servizi ricordiamo Google Search, Google Cloud Platform, Gmail, Google Maps, i servizi Android.
Per i servizi sopra citati, Google raccoglie una mole “infinita” di dati personali dei cittadini europei e, a differenza di Analytics, i dati personali raccolti sono in chiaro e sono identificativi (si riferiscono cioè in modo specifico a singole persone fisiche).
Su Google Cloud Platform vengono raccolte quantità enormi di dati personali perché utilizzati per offrire servizi evoluti di hosting, di database e servizi web; su Google Maps vengono tracciate sistematicamente le posizioni (geolocalizzazione) di tutti gli utilizzatori dei sistemi Android.
I servizi di Google appena elencati presentano meno rischi per gli interessati rispetto ad Analytics?
ASSOLUTAMENTE NO.
Ricordiamo inoltre che i cittadini europei trasmettono dati personali a grossi player USA quali Microsoft, Amazon nonché a tutti i principali social media attualmente in voga: Twitter, Instagram, Facebook, LinkedIn, etc.
I provvedimenti di condanna di Google Analytics sono nati a seguito dell’adeguamento dei Garanti Europei e a seguito dei reclami presentati da NOYB, l’associazione fondata da Max Schrems, in relazione alla illegittimità del trasferimento dei dati personali negli USA.
Serve un accordo capace di sanare la situazione creatasi in seguito alla sentenza Schrems II, che ha annullato il Privacy Shield (accordo siglato dalla commissione europea per il trasferimento dei dati personali in USA).
Per le considerazioni appena illustrate pensiamo che, oltre alle configurazioni e alle misure di sicurezza che può implementare ogni singolo Titolare del Trattamento, la questione debba essere affrontata e risolta dalle istituzioni politiche europee nonché dal comitato dei Garanti.
AZIONI DA ESEGUIRE ENTRO IL 23 SETTEMBRE 2022
A seguito della precedente premessa, lo Staff di IusPrivacy suggerisce di agire come segue.
RIMOZIONE DELLO SCRIPT DI UNIVERSAL ANALYTICS
Per analogia al destinatario del provvedimento del Garante sopra citato, Caffeina Media S.r.l., il Garante Italiano “richiama all’attenzione di tutti i gestori italiani di siti web, pubblici e privati, l’illiceità dei trasferimenti effettuati verso gli Stati Uniti attraverso GA, anche in considerazione delle numerose segnalazioni e quesiti che stanno pervenendo all’Ufficio. E invita tutti i titolari del trattamento a verificare la conformità delle modalità di utilizzo di cookie e altri strumenti di tracciamento utilizzati sui propri siti web, con particolare attenzione a Google Analytics e ad altri servizi analoghi, con la normativa in materia di protezione dei dati personali.”
Per quanto sopra, intraprendendo un percorso molto prudenziale e cautelativo, i Titolari del Trattamento e proprietari del Trattamento potrebbero (o meglio dovrebbero):
- rimuovere lo script Universal Analytics entro il 23 settembre 2022 in quanto lo strumento non è stato dichiarato conforme;
- fare un backup delle elaborazioni eseguite da Universal Analytics e cancellare la proprietà configurazione di Universal Analytics così da rimuovere tutti i dati personali raccolti in precedenza;
- implementare uno strumento sostitutivo di Universal Analytics.
IMPLEMENTAZIONE DI GA4
Riportiamo qui di seguito i suggerimenti per l’implementazione di Google Analytics 4, reperibili dalla pagina del supporto, di cui citeremo anche la fonte.
Modalità di raccolta dei dati personali raccolti*
Durante la raccolta dei dati, Google Analytics 4 (di seguito GA4) non registra né archivia gli indirizzi IP.
Quando GA4 raccoglie i dati di misurazione, tutte le ricerche IP vengono eseguite su server che si trovano nell'UE prima di inoltrare il traffico ai server di Analytics per l'elaborazione.
GA4 elimina eventuali indirizzi IP raccolti sugli utenti dell'UE prima di registrare questi dati tramite domini e server che si trovano nell'UE.
GA4 fornisce dati sulla posizione geografica approssimativa ricavando i seguenti metadati dagli indirizzi IP:
- città (più la latitudine e la longitudine derivate della città);
- continente;
- paese;
- area geografica;
- subcontinente (ed equivalenti basati sull'ID).
Inoltre, GA4 fornisce controlli per:
- disattivare la raccolta di dati di Google Signals in base all'area geografica;
- disattivare la raccolta di dati granulari su località e dispositivo in base all'area geografica;
- disattivare l’opzione per la personalizzazione degli annunci pubblicitari.
*Fonte https://support.google.com/analytics/answer/12017362?hl=it
Raccolta di dati granulari su località e dispositivi*
È possibile attivare e disattivare la raccolta di dati granulari su località e dispositivi in base all'area geografica.
GA4 raccoglie questi dati per impostazione predefinita. Se disattivi questa raccolta di dati, GA4 non raccoglierà i seguenti dati:
- Città;
- Latitudine (della città);
- Longitudine (della città);
- Versione secondaria del browser;
- Stringa dello user agent del browser;
- Brand del dispositivo;
- Modello del dispositivo;
- Nome del dispositivo;
- Versione secondaria del sistema operativo;
- Versione secondaria della piattaforma;
- Risoluzione dello schermo.
*Fonte https://support.google.com/analytics/answer/12017362?hl=it
Raccolta di dati per area geografica*
GA4 utilizza i data center, a livello di area geografica, per garantire che le misurazioni relative agli utenti web e a quelli delle app per dispositivi mobili vengano inviate a Google Analytics nel modo più rapido e sicuro possibile.
Quando GA4 stabilisce una connessione con il più vicino centro di raccolta dati di Google disponibile, i dati di misurazione vengono inviati ad Analytics tramite una connessione HTTPS criptata. Nei centri di raccolta i dati vengono criptati ulteriormente prima di essere inoltrati ai server di elaborazione di Analytics e resi disponibili nella piattaforma Analytics.
Gli indirizzi IP vengono utilizzati per determinare il data center locale ottimale.
In GA4, gli indirizzi IP vengono utilizzati al momento della raccolta per determinare le informazioni sulla località (paese, città, latitudine e longitudine della città) e poi eliminati prima che i dati vengano registrati in qualsiasi data center o server.
La raccolta dei dati a livello di area geografica migliora le prestazioni dei siti e delle app per dispositivi mobili in quanto riduce al minimo la distanza e il tempo totale necessari per l'invio dei dati attraverso una connessione sicura ai data center di Google.
La raccolta di dati, a livello di area geografica e dell'infrastruttura dei data center di Google, abilita la ridondanza in modo che, nel caso improbabile in cui un data center locale non sia più disponibile, un altro in quell'area geografica possa continuare a offrire il servizio completo e supportare gli utenti.
*Fonte https://support.google.com/analytics/answer/12017362?hl=it
Limitazione dei dati raccolti che riguardano la profilazione
È possibile limitare la raccolta dei dati di GA4 escludendo le opzioni che riguardano le funzioni di profilazione.
Per la disabilitazione della funzione è possibile accedere al pannello di controllo, sezione Impostazione dei Dati, Raccolta Dati.
Da questa sezione è necessario escludere dalla raccolta dati :
- Google Signals (Funzione di Google Analytics che associa i dati raccolti dal sito e/o dalle app durante la loro navigazione alle informazioni di Google provenienti dagli account degli utenti che hanno eseguito l'accesso e acconsentito a questa associazione ai fini della personalizzazione degli annunci);
- Le impostazioni avanzate per consentire la Personalizzazione degli annunci (se attivata, è possibile esportare le conversioni e i segmenti di pubblico di Google Analytics negli account Google Ads collegati per offrire esperienze pertinenti e personalizzate agli utenti finali).
Secondo le impostazioni di configurazione del sito, i dati personali degli utenti relativi a GA4 sono raccolti “automaticamente”, senza la concessione del consenso, in occasione della visita delle pagine del sito web o uso dell’App.
Qualora si vogliano abilitare le due funzioni sopra elencate, lo script di GA4 deve essere eseguito solo previa raccolta del consenso espresso dell’utente.
Google quale Responsabile del Trattamento
Per il servizio di GA4 Google si qualifica come Responsabile del Trattamento ai sensi dell’Art. 28 del GDPR.
l Data Processing Agreement (DPA) è riportato all’interno del seguente URL https://business.safety.google/adsprocessorterms/ accessibile dalla risorsa https://support.google.com/analytics/answer/3379636?hl=it
Periodo di conservazione di GA4*
I controlli per la conservazione dei dati di Google Analytics consentono di impostare il periodo di tempo prima che i dati, a livello di utente ed evento memorizzati da Google Analytics, vengano eliminati automaticamente dai server di Analytics.
Mentre il periodo di conservazione e i controlli di reimpostazione delle attività degli utenti coprono i dati a livello di evento e utente archiviati da Google Analytics, alcuni dati relativi all'utente (ad es. età, genere e interessi) vengono eliminati per impostazione predefinita da Google Analytics dopo 2 mesi per una proprietà Google Analytics 4).
Per le proprietà di Google Analytics 4 (non Analytics 360), i dati a livello di utente, comprese le conversioni, possono essere conservati per massimo 14 mesi. Per tutti gli altri dati evento, è possibile scegliere la durata della conservazione:
- 2 mesi
- 14 mesi
*Fonte https://support.google.com/analytics/answer/7667196
Abbreviare o allungare il periodo di conservazione*
Quando i dati raggiungono la fine del periodo di conservazione, vengono eliminati automaticamente ogni mese.
Se viene ridotto il periodo di conservazione, i dati interessati vengono eliminati durante la successiva elaborazione mensile. .
Se per una proprietà Google Analytics 4 viene esteso il periodo di conservazione, la modifica viene applicata ai dati già raccolti.
Ogni volta che viene modificato il periodo di conservazione, Analytics attende 24 ore prima di implementare la modifica. Durante questo periodo, è possibile annullare il cambio e i dati non subiranno modifiche.
Se per i report non aggregati (ad es. report di esplorazione in Google Analytics 4) viene utilizzato un intervallo di date maggiore rispetto al periodo di conservazione, i dati per tale intervallo aggiuntivo non saranno visibili nei report. Ad esempio, se imposti la conservazione su 14 mesi e utilizzi un intervallo di date di 14 mesi 1 giorno, i dati per il giorno aggiuntivo non saranno disponibili nei report.
Per impostare il periodo di conservazione è possibile consultare il supporto di Google alla pagina
*Fonte https://support.google.com/analytics/answer/7667196
Per modificare le impostazioni di conservazione dei dati personali è possibile accedere al pannello di controllo, sezione “Amministrazione”.
Misure di Sicurezza
Google adotta i più elevati standard di sicurezza ed è in possesso della certificazione ISO 27001
https://support.google.com/analytics/answer/3407084?hl=it&ref_topic=2919631
Rischi per i diritti e libertà degli Interessati (utenti)
I rischi per i diritti e le libertà degli interessati, in caso di violazione dei dati personali, dovrebbero essere trascurabili in quanto i dati impiegati per le elaborazioni statistiche sono difficilmente identificabili e non incrociati con I dati degli utenti del sito web.
E’ importante:
- non abilitare in GA4, automaticamente e senza la concessione del consenso, le opzioni di profilazione e/o la raccolta di dati personali per le funzioni pubblicitarie legate a google ads;
- non abilitare le attività di monitoraggio degli utenti né i dati delle elaborazioni statistiche sono incrociati con I dati identificativi dell’utente del sito web.
- attestare, nella documentazione preparata dal Titolare del Trattamento, che i dati di navigazione impiegati da GA4 sono per il Titolare del Trattamento “non identificati” e mai ricondotti agli utenti identificati ed iscritti a servizi erogati tramite il sito web del titolare.
Per ulteriori è possibile consultare: https://support.google.com/analytics/answer/6004245?hl=it
CONCLUSIONI
La scelta dell’implementazione di GA4 rimane sempre a carico di ogni Titolare del Trattamento; qualora si decida di perseguire questa scelta, sarà necessario implementare il trattamento relativo a GA4 all’interno del Sistema Privacy.
Al momento, sebbene non ci sono divieti ufficiali all’uso di GA4, i Titolari del Trattamento dovranno osservare i principi di Privacy by Design previsti dal GDPR al fine di dimostrare, in caso di ispezione, di avere considerato tutti gli elementi utili per la conformità alle norme privacy e GDPR.
Rimaniamo a disposizione per ulteriori informazioni circa la corretta configurazione ai fini del rispetto dei principi di Privacy by Design del GDPR.
