Nuovo sciopero contro l'utilizzo di Google Analytics in Europa: lo ha fatto il Garante italiano per la protezione dei dati personali Trovare l'utilizzo del popolare strumento di analisi da parte di un editore web locale non è conforme alle norme UE sulla protezione dei dati a causa del trasferimento dei dati degli utenti negli Stati Uniti, un paese che non dispone di un quadro giuridico equivalente per proteggere le informazioni dall'accesso da parte di spie americane.
IL Garanzia ha scoperto che l'utilizzo di Google Analytics da parte dell'editore web ha comportato la raccolta di molti tipi di dati utente, tra cui indirizzo IP del dispositivo, informazioni sul browser, sistema operativo, risoluzione dello schermo del browser, selezione della lingua e data e ora della visita del sito, che sono stati trasferiti a l'editore web. Stati Uniti senza l’applicazione di adeguate misure aggiuntive per aumentare il livello di protezione fino ai necessari standard legali europei.
Le protezioni applicate da Google non erano sufficienti per affrontare il rischio, aggiunge, facendo eco alla conclusione di diverse altre autorità di protezione dei dati dell'UE che hanno anche riscontrato che l'uso di Google Analytics viola le norme di blocco della protezione dei dati in materia di esportazione dei dati.
L'Autorità per la protezione dei dati italiana ha concesso all'editore in questione (una società denominata Caffeina Media Srl) 90 giorni per porre rimedio alla violazione di conformità. Ma la decisione ha un significato più ampio perché ha avvertito anche altri siti web locali che utilizzano Google Analytics di prenderne atto e verificare la propria conformità, scritto in un comunicato stampa. [translated from Italian with machine translation]:
[T]L'Autorità richiama l'attenzione di tutti i gestori di siti web italiani, pubblici e privati, sull'illegittimità dei trasferimenti effettuati verso gli Stati Uniti tramite GA [Google Analytics]anche in considerazione delle numerose segnalazioni e quesiti che pervengono all'Ufficio, e invita tutti i titolari del trattamento a verificare la conformità delle modalità di utilizzo dei cookie e degli altri strumenti di tracciamento utilizzati sui propri siti web, con particolare attenzione a Google Analytics e altri servizi simili, alla normativa in materia di protezione dei dati personali.
All'inizio di questo mese, l'autorità francese per la protezione dei dati ha pubblicato linee guida aggiornate che mettono in guardia contro l'uso illegale di Google Analytics, a seguito di un'analoga constatazione di cattiva condotta relativa all'uso del software da parte di un sito web locale a febbraio.
Le linee guida della CNIL suggeriscono solo possibilità molto limitate per i proprietari di siti con sede nell'UE di utilizzare legalmente lo strumento di analisi di Google, applicando una crittografia aggiuntiva quando le chiavi sono tenute sotto il controllo esclusivo dell'esportatore di dati stesso o di altre entità stabilite in un territorio che offre un livello adeguato . o protezione; oppure utilizzando un server proxy per evitare qualsiasi contatto diretto tra il terminale dell'utente ed i server di Google.
A gennaio, anche l'Autorità per la protezione dei dati austriaca ha accolto un reclamo simile riguardante l'utilizzo di Google Analytics da parte di un sito.
Mentre il Parlamento europeo si è trovato in una situazione delicata sullo stesso tema centrale all'inizio dell'anno.
Tutti questi attacchi contro Google Analytics si riferiscono a una serie di reclami strategici presentati Agosto 2020 dal gruppo europeo per la campagna sulla privacy noyb, che ha preso di mira 101 siti web con operatori regionali che aveva identificato come inviati di dati negli Stati Uniti tramite Google Analytics e/o integrazioni di Facebook Connect.
Queste denunce fanno seguito a una sentenza storica della più alta corte del blocco nel luglio 2020, che ha invalidato un accordo sul trasferimento di dati tra l’UE e gli Stati Uniti, chiamato Privacy Shield, e ha chiarito che le DPA hanno il dovere di intervenire e sospendere i flussi di dati verso terzi. paesi in cui sospettano che le informazioni dei cittadini dell’UE siano a rischio.
La cosiddetta decisione “Schrems II” prende il nome dal fondatore di Noyb e attivista europeo di lunga data per la privacy Max Schrems, che ha presentato una denuncia contro i trasferimenti di dati di Facebook tra l'UE e gli Stati Uniti, citando le pratiche di sorveglianza rivelate dall'informatore della NSA Edward Snowden, che è finito – tramite rinvio giudiziario – davanti alla CGUE. (Una precedente contestazione di Schrems ha portato la corte a ribaltare il precedente accordo sul trasferimento dati UE-USA nel 2015.)
In uno sviluppo più recente, è in arrivo una sostituzione del Privacy Shield: A marzo l’UE e gli Stati Uniti hanno annunciato di aver raggiunto un accordo politico su questo punto.
Tuttavia, i dettagli legali del quadro di trasferimento dei dati pianificato devono ancora essere finalizzati – e il meccanismo proposto rivisto e adottato dalle istituzioni europee – prima che possa essere utilizzato. Ciò significa che l’uso dei servizi cloud con sede negli Stati Uniti rimane circondato da rischi legali per i clienti dell’UE.
I legislatori del blocco hanno suggerito che l'accordo sostitutivo potrebbe essere finalizzato entro la fine di quest'anno, ma non esiste una patch legale semplice che gli utenti europei di Google Analytics possano ottenere nel frattempo.
Inoltre, tIl divario tra la legge statunitense sulla sorveglianza e la legge europea sulla privacy continua ad ampliarsi sotto alcuni aspetti – e non è affatto certo che la sostituzione negoziata sarà abbastanza forte da sopravvivere alle inevitabili sfide legali.
Una semplice patch legale per un conflitto così fondamentale di diritti e priorità sembra un livello elevato, a meno di una riforma sostanziale delle leggi esistenti (che nessuna delle due parti sembra propensa a proporre).
Abbiamo quindi iniziato a vedere risposte a livello di software da parte di alcuni giganti del cloud statunitensi – per fornire ai clienti europei un maggiore controllo sui flussi di dati – con l’obiettivo di trovare un modo per aggirare il rischio legale dei trasferimenti di dati.
Aggiornamento: Un portavoce di Google ci ha inviato questa dichiarazione in seguito al Garanzia decisione:
Le persone vogliono che i siti web che visitano siano ben progettati, facili da usare e rispettosi della loro privacy. Google Analytics aiuta gli editori a capire quanto bene i loro siti e le loro app funzionano per i visitatori, ma non identificando gli individui o monitorandoli sul Web. Queste organizzazioni, non Google, controllano quali dati vengono raccolti con questi strumenti e come vengono utilizzati. Google aiuta fornendo una serie di misure di salvaguardia, controlli e risorse per la conformità.
Ci ha anche detto che Google stava rivedendo la decisione della Garante italiana.
In un post sul blog di ritorno al passato Gennaio l'azienda ha cercato di riformulare la narrazione attorno a Google Analytics, affermando che lo strumento non viene utilizzato per tracciare le persone sul Web o profilarle; e sostenendo che non costituisce un rischio per la privacy suggerendo ai clienti di mantenere il controllo sui dati che raccolgono tramite lo strumento di analisi; oltre a evidenziare che offre funzionalità di anonimizzazione IP.
Il post sul blog di Google sottolinea anche le “molte misure” che afferma di adottare per “proteggere i dati e proteggerli dall’accesso del governo”.
Tuttavia, diverse autorità europee per la protezione dei dati sono ora giunte a una conclusione molto diversa riguardo al rischio Schrems II associato all'uso di Google Analytics, in particolare (nel caso dell'autorità austriaca per la protezione dei dati) concludendo che, anche se l'anonimizzazione dell'IP se l'indirizzo fosse stato attivato dal sito, ciò non avrebbe risolto il rischio.
Anche se, in risposta a questo punto, il portavoce di Google ha sottolineato un recente aggiornamento (Google Analytics 4) che, a suo dire, ha introdotto più controlli e configurazioni dei prodotti dalle versioni del software all'origine dei reclami alle autorità di protezione dei dati; e che, a suo avviso, potrebbe aiutare ad affrontare le preoccupazioni sui rischi dell’esportazione dei dati, ad esempio attraverso la capacità di fermare l’esportazione dei dati trasferimento di indirizzi IP (compresi indirizzi IP anonimizzati) extra UE; Dabilitare la raccolta dei dati di Google Signals a livello nazionale; e Dconsentire la localizzazione granulare e la raccolta dati sui dispositivi a livello nazionale.
Ha aggiunto che mentre Google rimane convinto che l’unica soluzione duratura alla ricorrente incertezza sulle esportazioni di dati dall’UE agli Stati Uniti sia un quadro giuridico sostenibile, il colosso della tecnologia sta esplorando la possibilità di sviluppare controlli aggiuntivi per fornire ai propri clienti ulteriori garanzie riguardo la tutela dei dati degli utenti.
Questo rapporto è stato aggiornato con ulteriori risposte da Google.