Cookie, Google Analytics e GDPR: provvedimenti del Garante

05 aprile 2023Ultimo aggiornamento 11 luglio 2024
Tempo di lettura stimato: 5'
Torniamo a parlare di sanzioni e marketing. Abbiamo già trattato il tema delle banche dati acquisite illecitamente e quello dei Social Network. In questo articolo riprendiamo un tema già trattato altre volte in questo blog, ma sempre molto attuale: Google Analytics, cookie di tracciamento per la pubblicità online e il retargeting. 

Un breve riepilogo di quanto accaduto nell’estate del 2022

In Italia, siamo concentrati sul mondo di Google Analytics già da un po’ di tempo, da quando il Garante per la privacy – nel provvedimento del giugno 2022 che ha interessato Caffeina Media srl - ha dichiarato che i proprietari di siti web che utilizzano Google Analytics, senza adeguati livelli di protezione dei dati, violano il GDPR in riferimento al trasferimento dei dati negli Stati Uniti. Come sappiamo, da quando il Privacy Shield è stato dichiarato non conforme, il trasferimento dei dati verso gli USA è possibile solo se sono garantite misure di protezione adeguate o se è stato fornito il consenso dell'interessato.

Eppure, quando molte aziende hanno ricevuto la mail dell'attivista Federico Leva - una mail che, in qualche modo, ha disturbato la quiete di molti dipartimenti marketing – non sempre si è capito di cosa si trattasse. Molte organizzazioni non si sono accorte di averla ricevuta, altre se ne sono accorte tardi, quando la mail era finita in spam, altre ancora non l'hanno neanche riconosciuta come la richiesta di un esercizio dei diritti. In fondo, qual è l'utente che si mette a inviare un'istanza sull’utilizzo dei cookies? Bisogna essere dei tecnici e soprattutto si deve impostare la richiesta correttamente. È un’attività che richiede tempo e richiede conoscenza tecnica. 

Questo episodio ha evidenziato, però, che non c’è sempre la necessaria consapevolezza nell’uso dei sistemi di tracciamento. Ecco perché torniamo a parlare della questione dal punto di vista delle sanzioni del Garante e diamo alcuni consigli operativi per gestire questa attività che, è bene saperlo, l’autorità ha preso a cuore.

Il provvedimento del Garante contro Fastweb: Google Analytics 360 non può essere usato

Il 21 luglio del 2022, in seguito a un reclamo di un utente, presentato nell’agosto del 2020, il Garante italiano per la protezione dei dati ha pubblicato un provvedimento nei confronti di Fastweb in relazione al trattamento tramite Google Analytics 360. Senza entrare nei dettagli del caso, è importante sottolineare quanto previsto dal Garante privacy e cioè che:
  • Google Analytics è stato ritenuto da più Garanti privacy come non conforme al GDPR per quanto riguarda l'argomento del trasferimento dei dati extra UE.
  • Di conseguenza, il Garante ha dichiarato l’illiceità del trattamento dei dati personali degli utenti per il tramite di Google Analytics
  • Ha ingiunto al titolare di conformare il trattamento entro 90 giorni e ha ordinato la sospensione dei flussi verso la società di Google americana. 
  • Lo ha poi ammonito, anche tenendo conto dei precedenti provvedimenti adottati in questi casi.
Un provvedimento che ricalca quello che ha interessato Caffeina Media srl. Tuttavia, il Garante privacy italiano non è stata l’unica autorità a pronunciarsi in materia: anche i garanti danese, francese e austriaco hanno decretato che Google Analytics non può essere più utilizzato. Non solo, il Garante danese si è pronunciato anche sulla nuova versione, messa in campo da Google, sostenendo che anche GA4 non è affidabile. 

Servizi di Analytics Google: si possono usare? Alcuni indirizzi operativi

Ci si auspica che, prima o poi, si arrivi a un accordo tra l'Unione europea e gli Stati Uniti. Nel frattempo, vediamo alcuni indirizzi operativi utili per gestire queste attività: 

1 – Il sito è un sito vetrina? Meglio togliere Google Analytics
Se il titolare ha un sito vetrina e non c’è sia l'oggettiva necessità di farne uso, anche se anonimizzato, si consiglia di togliere il servizio Google Analytics. Non mettiamo i cookie sul sito vetrina. 

2 – Il sito è complesso e si fa attività di marketing? Meglio passare a GA4 e impostarlo correttamente, consapevoli del rischio
Se titolare ha un sito complesso - per esempio svolge attività di marketing, ha une-commerce, fa retargeting… - e non intende abbandonare Google Analytics, si consiglia di passare alla versione GA4 e impostarlo in modo corretto. In questo caso il titolare è cosciente di accettare, allo stato attuale, alcuni rischi legali
  • anche con GA4 il servizio potrebbe ancora effettuare trasferimento dati extra UE in modo non conforme alla legge; 
  • è possibile che si possano ricevere reclami, procedimento ispettivi e/o sanzionatori;
  • e quindi incorrere in un rischio a carattere reputazionale
Alla luce di quanto detto dal Garante danese – per quanto si tratti di una pronuncia danese e non italiana – sarebbe bene evitare GA4. 

3 – È necessario creare delle procedure
Vi è poi la necessità di creare delle procedure sia rispetto all'impostazione di GA4 sia per l'esercizio dei diritti degli utenti. 

4 – Optare per un’altra soluzione, alternativa a Google Analytics e a GA4
Invece dei servizi di Google, si può ipotizzare l'implementazione di altre soluzioni tecniche come, per esempio, quelle offerte dal Garante privacy francese (che sono Piwik PRO Analytics Suite e Matomo).

5 – Richiesta di cancellazione da GA4 o Google Analytics? È bene creare un modello di risposta
È necessario creare un modello di risposta standard per eventuali richieste di cancellazione da GA4 o Google Analytics da parte di un utente, per esempio dando istruzioni per recuperare il client ID.

6 – Coinvolgere i tecnici 
Visto il forte tecnicismo del caso, si consiglia di coinvolgere fin da subito il fornitore dello sviluppo e manutenzione del sito, responsabile esterno per la protezione dei dati. 

7 – Non c’è solo Analytics: attenzione anche agli altri strumenti di Google
Si ricorda che altri servizi o strumenti forniti da Google installati sul sito potrebbero essere non conformi alla legge, non garantire misure di sicurezza adeguate né garanzie per il trasferimento dati extra UE, sempre per il principio dell’accountability. Infatti, anche altri strumenti di società come Google, non necessariamente Analytics, potrebbero non essere compliant. Ed è bene ricordare che, anche se sono presenti le standard clauses, i titolari sono tenuti a verificare caso per caso, in collaborazione con Google, che siano rispettate queste garanzie. 

8 – Aggiornamento di banner e cookie policy
Nel momento in cui viene fatta questa modifica, si dovranno poi modificare il banner e i testi delle cookie policy. Esistono strumenti, come ad esempio ELMO, che si aggiornano automaticamente. Tuttavia, secondo me, questa attività andrebbe messa a registro, verificando che sia tutto conforme. Perché molto spesso i siti non sono neanche gestiti dal titolare, ma di fatto se ne occupano le agenzie di comunicazione. Quindi è importante adottare delle procedure di manutenzione del sito internet.

Ancora un assaggio… ma non è finita qui!

Abbiamo parlato di banche dati, Social Network, cookie e Google Analytics. Ti aspettiamo con l’ultimo approfondimento sulle sanzioni del Garante in ambito marketing: nel prossimo articolo, approfondiremo il tema del marketing diretto.  
Non vuoi aspettare? Puoi iscriverti subito a Raise Academy e accedere alla formazione completa e aggiornata su GDPR, privacy e cybersecurity. Raise Academy è l'Accademia di Formazione Efficace di PrivacyLab che coinvolge consulenti e professionisti del GDPR, grazie al connubio tra tecnologia, presenza, competenza, contatto, condivisione e diffusione.

RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.

Biografia dell'autore

PARTNER BD LEGAL - STUDIO LEGALE

Studi:
Laurea in Legge presso l’Università Bocconi, Business Law specializzazione in diritto internet, Milano. Tesi: “La tutela della privacy e tecniche di pubblicità online”.
Master Universitario di II livello in “Sicurezza delle informazioni e Informazione strategica” (SIIS) presso l’Università La Sapienza (dipartimento di ingegneria informatica) conseguito con borsa di studio della Presidenza del Consiglio. Tesi: “Il funzionamento e la privacy nei CERTs italiani ed esteri”.
Master Federprivacy in “Privacy Officer e Consulente della privacy”, Roma.
Lawful Interception Academy presso la Scuola di Polizia Tributaria, Roma.

Attività Professionale:
Francesca è Avvocato e Partner dello Studio bd LEGAL di Milano, esperienza ultra decennale in diritto delle tecnologie, in particolar modo per quanto riguarda la compliance della protezione dei dati personali, opera in questo settore fin dal conseguimento della laurea.
Si occupa di assistenza stragiudiziale. Ha iniziato il suo percorso professionale lavorando prima in Telecom Italia a Roma, presso il dipartimento Antitrust e poi nel team legale di Google a Milano, dove si è occupata prevalentemente di diritto all’oblio e di rimozioni online. Durante gli anni a Roma, ha collaborato con il Ministero dello Sviluppo Economico nell’ambito della cybersecurity (presso l’ISCOM – CERT nazionale) e su progetti di educazione digitale. A Milano ha lavorato presso una prestigiosa società di consulenza legale.

Assiste primarie società italiane di stampo internazionale su tutto il territorio nazionale, coordinando progetti di compliance GDPR e di adeguamento normativo, offrendo assistenza anche come DPO esterno.

È membro della Comunità SIIS dell’ Università La Sapienza. È Delegato dell’Associazione di Federprivacy e membro del network “Idraulici della Privacy”. È Privacy Officer e Consulente della Privacy certificato TUV Italia con licenza cdp_240 dal 2015. Ha vissuto e studiato in Canada.

Le categorie

Gli argomenti dei nostri articoli

La guida di PrivacyLab

Per orientarti tra i nostri articoli

Resta informato su quello che succede.

Lasciaci la tua email e riceverai le nostre comunicazioni informative e commerciali

informativa sulla privacy