Google Analytics è illegale in Norvegia?

Image of Carlo Cilento

Pubblicato il 3 mar 2023 e modificato il 15 ago 2023 da Carlo Cilento

In un reclamo ancora pendente, l'autorità norvegese per la protezione dei dati (Datatilsynet) è giunta alla conclusione preliminare che "l'uso di Google Analytics ha violato le regole di trasferimento del GDPR". L'autorità ha reso pubbliche le conclusioni ieri sul suo sito web (solo in norvegese) e prevede di adottare una decisione finale "non prima della fine di aprile".

Naturalmente, alla fine l'autorità potrebbe giungere a una conclusione diversa. Ma abbiamo buone ragioni per credere che non sarà così e che la Norvegia potrebbe presto unirsi all'Austria, alla Francia, all'Italia, alla Finlandia e alla Danimarca e vietare praticamente Google Analytics. Ecco perché.

shit_here_we_go_again.jpeg

  1. Google Analytics e il trasferimento dei dati
  2. Cosa hanno detto esattamente le altre autorità?
  3. Cosa possiamo aspettarci dalla decisione?
  4. Il quadro generale
  5. Considerazioni finali
Logo of the Government of the United KingdomThe UK Government chose Simple AnalyticsJoin them

Google Analytics e il trasferimento dei dati

Non abbiamo ancora una decisione, ma possiamo dare un'occhiata al quadro generale e fare un'ipotesi sul risultato più probabile e sulle ragioni che lo giustificano.

I problemi legali di Google Analytics con il GDPR non sono una novità: come abbiamo notato, altre autorità per la protezione dei dati (DPA) hanno già preso una posizione dura. La maggior parte delle loro decisioni deriva da una serie coordinata di reclami della ONG per la privacy noyb, in uno sforzo strategico per spingere le DPA a un'applicazione più rigorosa delle norme sul trasferimento dei dati del GDPR e della sentenza Schrems II della Corte di giustizia dell'UE.

I reclami di Noyb sono tutti uguali. L'utilizzo di Google Analytics richiede il trasferimento di dati personali (cookie e indirizzi IP) a Google LLC, con sede in California. Ma questo trasferimento espone i dati al rischio di sorveglianza statale negli Stati Uniti. Per questo motivo, i dati personali devono essere protetti attraverso adeguate garanzie contro la sorveglianza, come stabilito dalla Corte di giustizia nella causa Schrems II. Noyb sostiene che il trasferimento dei dati manca di queste garanzie richieste (note in gergo come misure supplementari ). Ciò rende l'uso di Google Analytics incompatibile con il GDPR e la sentenza Schrems II. Finora le** autorità** austriache, francesi e italiane hanno concordato con la noyb, mentre quelle danesi e finlandesi hanno abbracciato la stessa posizione in circostanze diverse.

(La sentenza Schrems II e i trasferimenti di dati sono altri argomenti. Abbiamo scritto di questi argomenti in modo più approfondito su un altro blog).

Cosa hanno detto esattamente le altre autorità?

Per essere chiari, tutti i reclami e le decisioni riguardano tecnicamente siti web specifici. Ecco perché diciamo che Google Analytics è praticamente vietato in alcuni Paesi. In teoria, un altro sito web potrebbe utilizzare Google Analytics in modo lecito, implementando misure di protezione diverse e migliori.

Ma la teoria è la parola chiave. In pratica, ci sono pochissime garanzie contro la sorveglianza dello Stato. Garantire la sicurezza del trasferimento dei dati è difficile per molti servizi e praticamente impossibile per Google Analytics, perché si basa sui cookie e per funzionare ha bisogno di elaborare gli identificatori dei cookie in chiaro(ne abbiamo scritto più avanti).

Quindi ogni decisione equivale praticamente a un divieto a livello statale, ed è per questo che i problemi legali di Google attirano molta attenzione nella comunità della privacy.

Cosa possiamo aspettarci dalla decisione?

Non abbiamo la sfera di cristallo, ma possiamo fare un'ipotesi basata sul quadro generale.

Finora le autorità hanno affrontato le denunce di Noyb nello stesso modo. Ciò è dovuto al fatto che hanno coordinato il loro approccio a livello europeo, come nota la stessa Datatilsynet nel suo comunicato stampa. Per questo motivo è probabile che alla fine l'autorità norvegese si pronunci contro l'uso di Google Analytics.

Va notato che Datatilsynet sta trattando il reclamo come un caso transfrontaliero. In pratica, ciò significa che altre autorità europee possono svolgere un ruolo sollevando obiezioni. Ma non ci aspettiamo che ciò accada. L'anno scorso l'autorità francese ha sottoposto la sua decisione contro Google Analytics anche ad altre autorità, e all'epoca non sono state sollevate obiezioni.

Vale anche la pena di ricordare che la Norvegia non è un paese dell'UE. Infatti, la Norvegia è soggetta al GDPR perché fa parte dello Spazio economico europeo. Se la decisione di Datatilsynet fosse confermata, la Norvegia diventerebbe il primo Paese non UE a pronunciarsi contro Google Analytics sulla questione del trasferimento dei dati.

Il quadro generale

Esistono molte alternative rispettose della privacy a Google Analytics, e Simple Analytics è una di queste. Riteniamo che il divieto di Google Analytics non sia la fine del mondo.

Ma il problema del trasferimento dei dati è più grande di Google Analytics. Molti servizi con sede negli Stati Uniti richiedono il trasferimento di dati personali e potrebbero finire sotto tiro. Abbandonare Google Analytics è relativamente facile (ciao Simple Analytics), ma fare a meno di servizi come Oracle e AWS è un'altra storia.

Per questo motivo, gli Stati Uniti e la Commissione europea hanno negoziato un nuovo quadro di riferimento per il trasferimento dei dati, al fine di facilitarne il trasferimento, e hanno preso provvedimenti per la sua attuazione. Nel dicembre 2022, la Commissione ha redatto una decisione di adeguatezza per gli Stati Uniti, in sostanza una decisione che facilita notevolmente i trasferimenti di dati con un determinato Paese. La decisione è in attesa di approvazione da parte degli Stati membri e sarà certamente impugnata in tribunale.

Vale la pena notare che la Corte di giustizia dell'UE ha già invalidato due decisioni di adeguatezza per gli Stati Uniti nei casi Schrems I e II. È difficile dire come si svolgerà un caso "Screms III". Per il momento, il futuro dei trasferimenti di dati rimane incerto.

Considerazioni finali

Stessa storia. Paese diverso. Non c'è nulla di nuovo da vedere: abbiamo visto diversi Paesi dell'UE giungere alla stessa conclusione delle autorità norvegesi. Tuttavia, ogni paese che prende posizione contro Google Analytics rafforza la richiesta di una migliore protezione dei dati. Google ha raccolto la crescente richiesta di maggiore privacy passando a GA4. Tuttavia, GA4 non risolve il problema.

Anche noi di Simple Analytics abbiamo raccolto la richiesta di maggiore privacy e abbiamo risolto il problema. Siamo un team piccolo e indipendente che crede fermamente che Internet debba essere un luogo che rispetta la privacy. È sicuramente possibile ottenere le informazioni di cui si ha bisogno ed essere al 100% conformi al GDPR senza bisogno di un cookiebanner. Non siete convinti? Provate voi stessi.

GA4 è complesso. Prova Simple Analytics

GA4 è come sedersi in cabina di un aereo senza licenza di pilota

Inizia prova di 14 giorni