Google Analytics è compatibile con GDPR? Questa domanda fa tremare molti professionisti del marketing, poiché lo strumento di analisi web è molto popolare. Qualche giorno fa le autorità austriache hanno ritenuto che il trasferimento di dati al di fuori dell’Unione Europea, relativo all’implementazione di Google Analytics su un sito web consultato da cittadini europei, rappresentasse una violazione del GDPR.
Questa decisione arriva a seguito di una denuncia della ONG NOYB e corrisponde in particolare all’annullamento del Privacy Shield da parte della Corte di giustizia dell’Unione Europea. Potrebbe diffondersi in tutta Europa.
Come si è difesa Google? Gli argomenti di Google (presentati in un comunicato) sono i seguenti.
- Google Analytics viene utilizzato per migliorare i siti e le applicazioni; non consente di tracciare gli utenti Internet sul web. Bene, ma non è proprio questo il punto.
- I TOS di Google Analytics vietano agli utenti di caricare dati che potrebbero consentire a Google di identificare le persone. Esistono strumenti per eliminare i dati. Se tali dati vengono trovati sui server di Google, non è colpa di Google: è colpa degli utenti.
- Google afferma che “le organizzazioni utilizzano Google Analytics perché scelgono di farlo” e pertanto non è responsabile della raccolta di dati effettuata da tali organizzazioni. Google paragona in qualche modo il suo strumento al software peer-to-peer: il problema legale non sta nell’applicazione in quanto tale, ma nell’utilizzo di alcuni utenti.
- Le organizzazioni mantengono la piena proprietà dei dati raccolti e Google interviene solo sugli ordini dei propri utenti. Google implica che questo titolo di proprietà è associato alla responsabilità del trattamento.
Google cerca di dimostrare la sua buona fede elencando gli strumenti messi a disposizione degli utenti per conformarsi alle leggi. Queste opzioni meritano un po’ di pubblicità: anonimizzazione degli indirizzi IP, disattivazione delle raccolte, periodo di conservazione dei dati, richiesta di cancellazione dei dati… Quale percentuale di utenti di Google Analytics è a conoscenza di questi strumenti?
Il caso di Google sembra sempre più un atto d’accusa contro i propri utenti. L’azienda ricorda quindi che è responsabilità degli editori di siti web informare esplicitamente gli utenti di Internet e ottenere il loro consenso al trattamento dei dati, quando le leggi lo richiedono.
Google cerca anche di convincere indicando che gli utenti di Internet possono utilizzare un’estensione del browser per bloccare Google Analytics. Vero, ma come lo facciamo sul cellulare? E spetta davvero agli utenti di Internet intraprendere un’azione (scaricare un’estensione) per proteggere i propri dati? Google risulta in contrasto con lo spirito del GDPR, che consacra l’opt-in contro l’opt-out.
Google conclude la sua argomentazione indicando che vengono intraprese molte azioni per consentire un trasferimento “conforme” dei dati verso i paesi in cui si trovano i suoi server, compresi gli Stati Uniti. La società giustifica questo trasferimento con la necessità di “velocità e affidabilità del servizio”.
Perché in Europa non abbiamo un server? La questione è ovviamente più complessa, così come l’interpretazione dei regolamenti e delle decisioni, che si tratti del GDPR, della sentenza Schrems II, del PIPL in Cina o delle leggi vigenti in California. La conformità dell’uso di uno strumento dipende da molti legislatori e non sempre i diritti delle nazioni nei confronti dei propri cittadini sono compatibili. Alcune argomentazioni di Google sono legittime, ma la posizione dell’azienda, che accusa i propri utenti, solleva ancora alcune domande.