HOME

/

DIRITTO

/

PRIVACY 2024

/

TRATTAMENTO DATI NELL'UTILIZZO DEL SERVIZIO DI GOOGLE ANALYTICS

Trattamento dati nell'utilizzo del servizio di Google Analytics

I rischi in capo ai Titolari del trattamento dei dati personali collegati all’utilizzo del servizio di Google Analytics

Ascolta la versione audio dell'articolo

Google Analytics è un servizio di web analytics, fornito da Google, che consente di analizzare delle dettagliate statistiche sui visitatori di un sito web; ad es. al fine di misurare il numero di visite degli utenti del sito stesso.

La funzionalità di Google Analytics consente inoltre ai gestori di siti Web di monitorare e mantenere la stabilità del proprio sito Web, ad esempio tenendoli informati di determinati eventi come un picco di audience o l'assenza di traffico. 

In questo contesto, Google Analytics raccoglie, tra le altre cose, la query (i.e., l'interrogazione di una base di dati da parte di un utente), http dell'utente e informazioni sul browser e sul sistema operativo dell'utente. […] una richiesta http, per qualsiasi pagina, contiene i dettagli del browser e del dispositivo che effettua la query, come il nome di dominio e le informazioni sul browser come il tipo, il referer (il referer è semplicemente l'URL di un elemento che conduce all'elemento corrente: ad esempio, il referer di una pagina HTML può essere un'altra pagina HTML. In sostanza, esso rappresenta la fonte dalla quale un utente è venuto a conoscenza di una pagina. Google Analytics memorizza e legge i cookie sul browser dell'utente per valutare la sessione dell'utente e altre informazioni sulla query. (Fonte: Wikipedia)

Lo strumento è utilizzato per osservare vari tipi di statistiche come la durata della sessione, la provenienza della visita, il numero di pagine visitate, le pagine più viste, la posizione geografica, ecc.

Google Analytics funziona includendo un pezzo di codice JavaScript nelle pagine di un sito web.

Quando un utente visita una pagina Web, questo codice attiva il caricamento di un file JavaScript e quindi esegue l'operazione di tracciamento per Google Analytics. L'operazione di tracciamento consiste nel recuperare i dati relativi alla query attraverso vari mezzi e inviare tali informazioni ai server di Google Analytics.

A ciascun visitatore, pertanto, viene assegnato un identificatore univoco. Questo identificatore (che di per sé costituisce un dato personale) e i dati associati vengono trasferiti da Google negli Stati Uniti.

L'articolo continua dopo la pubblicità

Dello stesso autore ti potrebbe interessare il pacchetto di due ebook:  Tutela della Privacy - (Pacchetto 2 eBook) disponibili anche singolarmente:

1. Privacy - Commento breve al D.lgs 101/2018  -  recante disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento UE 2016/679, pdf di 270 pagine 

2. Commento breve al Regolamento europeo per la privacy Commento al Regolamento generale sulla protezione dei dati (Regolamento UE 2016/679), articolo per articolo, pdf di 308 pag. + Normativa

1) Il punto sul rispetto del GDPR sul trasferimento dei dati negli Stati Uniti

Alla luce della sentenza "Schrems II" della Corte di giustizia dell'Unione europea (CGUE)   del 16 luglio 2020, che ha invalidato il Privacy Shield, la CGUE aveva evidenziato il rischio che i servizi di intelligence americani accedano ai dati personali trasferiti negli Stati Uniti se i trasferimenti non fossero adeguatamente regolamentati.

Ebbene, suddetti trasferimenti negli Stati Uniti non sono attualmente sufficientemente regolamentati. Infatti, in assenza di una decisione di adeguatezza in merito ai trasferimenti negli Stati Uniti (che stabilisca che questo Paese offre un livello di protezione dei dati sufficiente rispetto al GDPR), il trasferimento dei dati può avvenire solo se sono previste garanzie adeguate. 

Ad oggi, sebbene Google abbia adottato misure aggiuntive per regolamentare i trasferimenti di dati nell'ambito della funzionalità di Google Analytics, queste non sono sufficienti per escludere l'accessibilità di questi dati per i servizi di intelligence statunitensi.

Nelle more di una presa di posizione ufficiale da parte del Garante per la protezione dei dati personali, si registrano le pronunce adottate da altre Autorità europee che, sebbene non abbiano valore prescrittivo in Italia, certamente influiranno a livello comunitario

La Autorità di controllo Francese (CNIL), al termine della sua istruttoria ha concluso che: “Pertanto, si deve concludere che la società non può invocare nessuno degli strumenti previsti dal Capo V del Regolamento per giustificare il trasferimento di dati personali dei visitatori del proprio sito web, ed in particolare identificatori univoci, indirizzi IP, dati del browser e metadati, a Google LLC negli Stati Uniti. Di conseguenza, con questo trasferimento di dati, la società compromette il livello di protezione dei dati personali degli interessati come garantito dall'articolo 44 del GDPR.”. (il link al quale collegarsi per leggere il testo in forma integrale è il seguente:  https://www.cnil.fr/en/use-google-analytics-and-data-transfers-united-states-cnil-orders-website-manageroperator-comply)

 La Autorità di controllo austriaca (DSB), in merito alla decisione adottata da Google di ricorrere all’anonimizzazione dei dati, nella decisione del 22/04/2022 ha affermato che “l’anonimizzazione da sola non è sufficiente” e ciò in quanto “l’indirizzo IP completo viene elaborato sul server di Google LLC per un certo periodo di tempo, anche se molto breve. Questo breve periodo di trattamento dei dati è sufficiente per soddisfare i requisiti dell’articolo 4, paragrafo 2, del GDPR.” E ancora afferma che “anche supponendo che l’indirizzo IP sia stato trattato solo da server nel SEE durante il periodo di tempo, si deve notare che Google può comunque essere obbligato dai servizi segreti statunitensi a consegnare l’indirizzo IP in base alla legge statunitense in materia”. (il link al quale collegarsi per leggere il testo in forma integrale è il seguente: https://www.dsb.gv.at/download-links/bekanntmachungen.html)

I Suddetti dati vengono quindi trasferiti negli Stati Uniti in violazione degli articoli 44 e segg. del GDPR. 

Si rende quindi necessario chiedere al gestore del sito web di rendere conforme tale trattamento al GDPR, interrompendo l'utilizzo della funzionalità di Google Analytics (alle condizioni attuali) o utilizzando uno servizio simile che non comporti un trasferimento al di fuori dell'UE. 

In attesa di una presa di posizione del Garante italiano, si suggerisce ai Titolari del trattamento di agire nei seguenti modi: 

  • Sospensione del servizio di Google Analytics; per violazione dell’art. 44 (Principio generale per il trasferimento) del GDPR.
  • Eventuale utilizzo, in alternativa a Google Analytics, del servizio Web Analytics Italia, offerto da AgID come Software as a service (SAAS: trattasi, in estrema sintesi, di un modello di servizio del software applicativo dove un produttore di software sviluppa, opera e gestisce un'applicazione web. Con l'utilizzo di SaaS, il software utilizzato non è installato localmente, ma viene messo a disposizione dei clienti tramite una connessione Internet. Tale soluzione è indicata come priorità nelle linee di indirizzo della digitalizzazione pubblica amministrazione, e basata sul software opensource in riuso Matomo. 
  • Compiere un censimento/monitoraggio finalizzato ad accertare se siano presenti applicazioni di Google Analytics, o similari, negli applicativi forniti ed in uso all’interno della organizzazione facente capo al Titolare del trattamento, da parte dei Fornitori.
La tua opinione ci interessa

Accedi per poter inserire un commento

Sei già utente di FISCOeTASSE.com?
ENTRA

Registrarsi, conviene.

Tanti vantaggi subito accessibili.
1

Download gratuito dei tuoi articoli preferiti in formato pdf

2

Possibilità di scaricare tutti i prodotti gratuiti, modulistica compresa

3

Possibilità di sospendere la pubblicità dagli articoli del portale

4

Iscrizione al network dei professionisti di Fisco e Tasse

5

Ricevi le newsletter con le nostre Rassegne fiscali

I nostri PODCAST

Le novità della settimana in formato audio. Un approfondimento indispensabile per commercialisti e professionisti del fisco

Leggi anche

LA RUBRICA DEL LAVORO · 29/10/2024 Fascicolo informatico d'impresa: pubblicate le linee guida

Le linee guida per la creazione, gestione e accesso al fascicolo informatico d'impresa presso i SUAP . Cos'è, a cosa serve, modalità di accesso

Fascicolo informatico d'impresa: pubblicate le linee guida

Le linee guida per la creazione, gestione e accesso al fascicolo informatico d'impresa presso i SUAP . Cos'è, a cosa serve, modalità di accesso

Controllo mail dipendenti: nuove sanzioni dal Garante

Ancora una sanzione significativa dal Garante per la privacy per utilizzo di un software di controllo e back up delle mail dei dipendenti

Cybersicurezza: Direttiva UE 2022/2557 CER e decreto attuativo

Cos'è la direttiva UE 2022/2557 CER (Critical entities resilience) per la sicurezza fisica e cibernetica dell'Unione europea da attuare entro il 18 ottobre. Il decreto attuativo

L'abbonamento adatto
alla tua professione

L'abbonamento adatto alla tua professione

Fisco e Tasse ti offre una vasta scelta di abbonamenti, pensati per figure professionali diverse, subito accessibili e facili da consultare per ottimizzare i tempi di ricerca ed essere sempre aggiornati.

L'abbonamento adatto alla tua professione

Fisco e Tasse ti offre una vasta scelta di abbonamenti, pensati per figure professionali diverse, subito accessibili e facili da consultare per ottimizzare i tempi di ricerca ed essere sempre aggiornati.

Maggioli Editore

Copyright 2000-2024 FiscoeTasse è un marchio Maggioli SPA - Galleria del Pincio 1, Bologna - P.Iva 02066400405 - Iscritta al R.E.A. di Rimini al n. 219107- Periodico Telematico Tribunale di Rimini numero R.G. 2179/2020 Registro stampa n. 12 - Direttore responsabile: Luigia Lumia.

Pagamenti via: Pagamenti Follow us on:

Follow us on:

Pagamenti via: Pagamenti

Maggioli Editore

Copyright 2000-2021 FiscoeTasse è un marchio Maggioli SPA - Galleria del Pincio 1, Bologna - P.Iva 02066400405 - Iscritta al R.E.A. di Rimini al n. 219107- Periodico Telematico Tribunale di Rimini numero R.G. 2179/2020 Registro stampa n. 12 - Direttore responsabile: Luigia Lumia.