Qual è il comportamento Virtuoso per essere a norma con il proprio sito web dopo la bufera scatenata dal Garante della Privacy/Google Analytics?
Cos’è successo?
In Italia è stato emanato il 23 giugno dal Garante Privacy un provvedimento indirizzato a vietare l’uso dei cookie di Google Analytics, in merito al trasferimento di dati personali, col rischio di un loro accesso da parte delle autorità USA.
Come i tuoi utenti ti possono creare problemi?
Nel sacrosanto diritto di protegge la privacy, può succedere che un utente ti mandi una mail per chiedere la cancellazione di tutti i suoi dati di navigazione dal pannello di controllo del tuo Google Analytics. La risposta certa con tutte le informazioni va data entro 30 giorni dalla richiesta, salvo dover rispondere con un risarcimento danni. Vedi il caso della mail inoltrata da Federico Leva e la soluzione su come rispondere per essere in regola: https://www.digife.it/come-rispondere-alla-mail-di-federico-leva-e-altre-richieste-simili/.
Il Garante della Privacy ha dato un tempo massimo di 90 giorni per mettersi in regola con le nuove linee guida.
Scenario giuridico/politico Europa vs America
La piattaforma di Analytics misura il traffico sui siti web e traccia il comportamento degli utenti. L’illegittimità deriverebbe dal trasferimento di dati verso gli Stati Uniti che era disciplinato dal regime giuridico previsto dal Privacy Shield. Nel luglio dell’anno scorso la sentenza Schrems II della Corte di Giustizia dell’Unione europea ha dichiarato l’invalidità di questo regime giuridico. La ragione dietro questa scelta è, in sostanza, che esso non garantisce un livello di protezione come quello che vige all’interno dell’Unione europea grazie alla Gdpr. Stati Uniti ed Europa stanno negoziando un nuovo accordo che sostituisca il Privacy Shield. Attraverso una serie di provvedimenti, come il Data Acts e i due pacchetti normativi (Digital Market Act e Digital Services Act) che sono pronti per entrare in vigore nei prossimi mesi, le regole delle piattaforme e dei mercati digitali destinate a cambiare.
Analytics è l’unico software sotto accusa?
In realtà Analytics è solo la punta dell’ iceberg, poiché ci sono tantissimi software che utilizzano un tracciamento della navigazione e che trasmettono dati a server sotto il controllo di società non europee. Tra i casi più noti, ad esempio, c’è Facebook che, con l’installazione del pixel per gli ADS, esegue un tracciamento analogo ad Analytics.
Con questo provvedimento il Garante ha voluto dare un segnale forte, per coinvolgere i cittadini sui temi della privacy e dei dati che vengono “catturati” ed elaborati dalle società, al fine di influenzare la loro quotidianità.
Soluzioni Possibili
Possono esserci diverse soluzioni da adottare, che in qualche modo possono essere riassunte in queste 3:
- scegliere un servizio alternativo a Google Analytics che permetta di avere un maggiore controllo sui dati e di mantenere gli stessi nel perimetro dell’UE (verificando quindi che i dati non possano essere acceduti da paesi terzi extra UE, così come accade ora per Google Inc.);
- mantenere Google Analytics utilizzando l’ ultima release GA4, che ha diverse soluzioni di anonimizzazione, ed eventualmente utilizzare ulteriori accorgimenti, come ad esempio il server proxy, per salvaguardare i dati di navigazione;
- cancellare in autonomia i codici di collegamento con Google Analytics e disattivare il pannello.
La scelta della soluzione più adeguata dipende da un’analisi dell’uso che si fa di Google Analytics nella propria organizzazione, sia per capire se c’è un’effettiva necessità e, di conseguenza, una maggior performance dall’utilizzo di questo strumento, sia per capire quali dati vengano effettivamente trasferiti alle grandi corporation americane.
Questo problema va affrontato per una maggiore consapevolezza che su internet vengono sempre forniti dei dati importanti, sia personali che comportamentali, ed è giusto che le big corporation non si approfittino della nostra ingenuità nell’ utilizzo degli strumenti digitali.
Oggi inizia una nuovo capitolo di Internet dove le aziende devono attivarsi per la tutela dei propri navigatori, così come nelle proprie attività fisiche non permetterebbero di rendere pubblico nome, cognome e dati sensibili dei loro clienti.
