Google Analytics è illegale in Francia?

Image of Iron Brands

Pubblicato il 16 giu 2022 e modificato il 15 ago 2023 da Iron Brands

La Q&A del CNIL ha indicato esplicitamente che l'utilizzo di Google Analytics viola ancora il GDPR. Inoltre, ha dichiarato che non esistono circostanze in cui ciò non sia vero.

Nell'articolo in questione, analizziamo le dichiarazioni rilasciate dalla CNIL durante la sessione di domande e risposte.

  1. Schrems II e la violazione del Privacy Shield 1.0
  2. Aggiornamento del Privacy Shield 2.0
  3. Conclusioni della sessione Q&A del CNIL
  4. Le soluzioni
  5. Perché ci interessa?
Logo of MichelinMichelin chose Simple AnalyticsJoin them

Scaviamo!

Schrems II e la violazione del Privacy Shield 1.0

L'attuale situazione con Google Analytics è stata innescata dalla sentenza Schrems II che ha invalidato il Privacy Shield 1.0. Secondo il GDPR, i trasferimenti di dati al di fuori dell'UE sono possibili solo se vengono utilizzate garanzie adeguate. Lo scudo per la privacy fungeva da meccanismo di salvaguardia di questi trasferimenti di dati.

Schrems II ha invalidato lo scudo per la privacy: In breve, l'UE esige per i suoi cittadini diritti alla privacy che non sono rispettati dal governo statunitense. Per legge, Google si qualifica come "fornitore di servizi di comunicazione elettronica", il che significa che deve rivelare i dati dei cittadini dell'UE se i servizi segreti statunitensi li richiedono.

In risposta, il DSB (organo di controllo austriaco per la protezione dei dati) e il CNIL hanno dichiarato che l'uso di Google Analytics viola il GDPR e che le aziende dell'UE che continuano a utilizzare Google Analytics possono essere multate.

Aggiornamento del Privacy Shield 2.0

Da allora, gli Stati Uniti e l'UE hanno annunciato un accordo politico che sostituirà il Privacy Shield invalidato. Ne abbiamo scritto qui e abbiamo sottolineato che l'accordo non ha alcun valore legale. Si tratta invece di un accordo politico. Non esiste ancora un documento legale, che richiederà un po' di tempo per essere finalizzato.

Questo è stato notato anche dalla CNIL durante la sessione di domande e risposte della scorsa settimana. Hanno specificamente menzionato che la dichiarazione congiunta non è un quadro giuridico e non si può fare affidamento su di essa. La CNIL prevede che l'accordo non sarà concluso prima della fine dell'anno. Tuttavia, quando sarà finalizzato, quasi certamente dovrà affrontare nuove sfide legali per verificare se non sia effettivamente difettoso quanto il Privacy Shield 1.0. Per dare una prospettiva, il Privacy Shield 1.0 è stato dichiarato non valido nel luglio 2020. Ci è voluto fino al febbraio 2022 perché il DSB e il CNIL adottassero un'applicazione proattiva.

CNIL Google Analytics update

Conclusioni della sessione Q&A del CNIL

Secondo l'agenzia francese per la protezione dei dati, la conclusione principale della sessione Q&A è che Google Analytics è ancora illegale. Il CNIL ha inoltre confermato di aver emesso avvisi formali alle organizzazioni tra il primo annuncio di febbraio e oggi. Le aziende hanno un mese di tempo per adeguarsi, altrimenti riceveranno una multa.

La CNIL sostiene specificamente che i siti web dell'UE devono apportare modifiche all'utilizzo di Google Analytics. Tuttavia, ha anche dichiarato che, con le informazioni a disposizione, l'uso di Google Analytics non è in nessun caso legale. Google ha proposto diverse soluzioni per risolvere il problema. Tutte queste soluzioni sono state respinte dalla CNIL.

Google ha confermato che i dati sono ospitati sul territorio statunitense e che nessun cambiamento agli occhi della CNIL impedirebbe il trasferimento dei dati personali. Google ha proposto due soluzioni:

  • L'anonimizzazione dei dati personali.
  • L'uso di identificatori unici

La CNIL ha scartato entrambe le soluzioni in quanto Google non è riuscita a dimostrare che l'anonimizzazione dei dati sia avvenuta prima del trasferimento dei dati negli Stati Uniti. Anche l'uso di identificatori unici è risultato insufficiente, in quanto gli identificatori unici potrebbero essere combinati con altri dati.

Inoltre, la CNIL osserva che Google sta offrendo un maggior numero di soluzioni che tracciano gli indirizzi IP, il che significa che questi servizi consentono di effettuare controlli incrociati sugli indirizzi IP e quindi di risalire alla cronologia di navigazione degli utenti. Inoltre, ha sottolineato che la crittografia dei dati non sarà sufficiente finché Google avrà le chiavi di crittografia, consentendole di accedere ai dati personali se lo desidera.

Da quanto detto sopra, possiamo presumere che le multe saranno probabilmente più salate. Il fatto che non vi siano circostanze in cui Google Analytics possa essere utilizzato legalmente rende le linee guida semplici. Pertanto, l'applicazione della sentenza non è mai stata così semplice.

È in corso un dibattito sul fatto che questo provvedimento si applichi solo alla versione attuale di Google Analytics (universal analytics). La risposta breve è che si applica a tutte le versioni e configurazioni di Google Analytics, quindi anche alla versione più recente, Google Analytics 4. Ne abbiamo parlato più diffusamente in questo blog.

Le soluzioni

La prima soluzione proposta è stata la crittografia dei dati, dove la chiave per decifrare i dati dovrebbe essere nelle mani dell'esportatore dei dati (o di una terza parte fidata con sede nell'UE). In questo modo, i dati dei cittadini dell'UE sono protetti dall'essere consegnati ai servizi segreti statunitensi.

Un'altra alternativa potrebbe essere l'utilizzo di un server proxy. In questo modo, non vi è alcun contatto diretto tra l'esportatore di dati e Google, poiché il server proxy funge da intermediario.

L'ultima opzione proposta sarebbe quella di chiedere il consenso esplicito degli utenti per il trasferimento dei dati. Tuttavia, questa non è una soluzione praticabile, poiché sarebbe un orrore richiederlo a ogni visitatore per ogni visita. Quindi potrebbe funzionare solo in circostanze eccezionali.

Tuttavia, l'implementazione delle soluzioni sopra descritte potrebbe essere costosa e ci si chiede se queste soddisfino anche le esigenze operative.

Se tutto questo non vi sembra all'altezza e non volete più avere a che fare con la seccatura del GDPR, esistono alternative a Google Analytics che rispettano la privacy. Simple Analytics è una di queste. Prima di pubblicizzare spudoratamente la nostra soluzione come la migliore, abbiamo esaminato tutte le alternative rispettose della privacy e abbiamo trovato quattro soluzioni che potreste voler controllare.

Perché ci interessa?

Siamo un team indipendente composto da due persone che hanno a cuore la privacy e che credono che il futuro dell'analisi web sia senza cookie. Se siete pronti ad abbandonare Google Analytics e volete verificare ciò che abbiamo costruito, provateci pure.

GA4 è complesso. Prova Simple Analytics

GA4 è come sedersi in cabina di un aereo senza licenza di pilota

Inizia prova di 14 giorni