Google Analytics invia sempre i dati negli Stati Uniti

Google Analytics è ancora lo strumento più diffuso per i siti web per spiare il comportamento degli utenti.

Qualche giorno fa, Google ha fatto un'ammissione sorprendente. Da allora è indiscutibile che tutti i dati raccolti su un sito web con Google Analytics vengono inviati negli Stati Uniti e vengono sempre elaborati lì.

Perché Google lo ha ammesso?

Questo è stato innescato da una denuncia da parte dell'organizzazione per la protezione dei dati noyb contro Google all'autorità di vigilanza austriaca. L'autorità ha quindi posto a Google oltre 20 domande.

Google ha risposto alle domande spesso in modo evasivo, spesso ignorante e incompleto. Il fatto che Google abbia proclamato l'archiviazione esclusiva negli USA dei dati di Google Analytics è ragionevolmente facile da spiegare. Devo approfondire un po' questo punto.

Qual è la situazione giuridica?

Dalla sentenza della Corte di giustizia europea sul Privacy Shield, nota anche come sentenza "Schrems II", gli Stati Uniti sono considerati un Paese terzo non sicuro. Il trasferimento di dati personali negli Stati Uniti richiede il consenso.

Sui siti web c'è sempre un trasferimento di dati personali perché l'indirizzo di rete dell'utente, l'indirizzo IP, è personale secondo una sentenza della Corte Suprema.

Gli USA sono considerati un Paese terzo non sicuro perché dispongono di strumenti legali che consentono alle autorità americane, come le agenzie di intelligence, di accedere ai dati delle aziende americane. Se un'azienda americana ha conservato dati di clienti tedeschi, l'America può accedervi.

Gli strumenti giuridici che legittimano i servizi segreti ad accedere segretamente ai dati sono, in particolare, il FISA Act e l'Executive Order EO12333. Nella sua risposta all'autorità di controllo, Google ha chiarito che entrambi i regolamenti autorizzano l'accesso solo ai dati archiviati al di fuori degli Stati Uniti.

La logica di Google è quindi la seguente: memorizziamo tutti i dati negli Stati Uniti, in modo che non sia possibile accedervi a causa del FISA e dell'EO12333. Ciò significa che i dati sono al sicuro con noi.

Tuttavia, questo non è vero, ma è probabilmente la migliore obiezione possibile che Google può avanzare. La creatività della dichiarazione di Google è probabilmente correlata in qualche modo agli stipendi degli avvocati di Google. Ciononostante, Google ha ammesso ciò che molti già sapevano ma non potevano dimostrare.

I dati negli Stati Uniti sono sicuri?

La domanda migliore è se i dati inviati da Google Analytics negli Stati Uniti e lì memorizzati siano sicuri.

A quanto pare, i dati analitici vengono generati in Europa quando un europeo apre un sito web che integra Google Analytics. Google raccoglie questi dati tramite un cosiddetto collettore.

Il collettore è un server che si trova possibilmente nelle vicinanze geografiche dell'utente e riceve i dati dall'endpoint. I dati vengono poi inviati agli Stati Uniti.

Ciò significa che la raccolta di dati avviene in tutto il mondo. Il FISA e l'EO12333 consentono alla NSA, in quanto agenzia di intelligence americana, di effettuare la cosiddetta raccolta a monte. Ciò comporta l'intercettazione di un cavo transatlantico attraverso il quale i dati provenienti da altri paesi confluiscono negli Stati Uniti.

Questo è ovviamente illegale di per sé senza consenso, si potrebbe ironizzare. A parte questo, le persone interessate dovrebbero essere informate di questo, cosa che probabilmente non avviene. Secondo il GDPR, ogni soggetto interessato deve anche avere un diritto di opposizione. Probabilmente nemmeno l'NSA conosce questo termine.

Richiesta di consenso per Google Analytics

A causa della raccolta di dati a livello mondiale e dei trasferimenti di dati solo negli Stati Uniti, il consenso per Google Analytics deve essere richiesto prima del caricamento dello strumento.

Nell'attuale configurazione standard, Google (Universal) Analytics utilizza cookies. Secondo § 15 comma 3 TMG, ciò è soggetto a consenso. Motivazione:

• I cookie vengono impostati e letti da Google Analytics
• I valori dei cookie vengono inviati ai server di Google
• I cookie non sono tecnicamente necessari. Prova: Google Analytics può essere utilizzato anche senza cookie.
• La direttiva ePrivacy richiede il consenso a tal fine all'art. 5, comma 3. È irrilevante quali dati siano memorizzati nei cookie. Non è nemmeno necessario che si tratti di dati personali
• Secondo la sentenza del BGH del 28 maggio 2020 - I ZR 7/16 ("Planet49"), il TMG deve essere interpretato in conformità con la direttiva ePrivacy.

È anche possibile che non sia possibile concludere una DPA efficace con Google, perché i subappaltatori sono distribuiti in tutto il mondo, perché Google "eventualmente" cancella i dati solo su richiesta dopo due mesi, ecc.

Tutto ciò è sufficiente per ipotizzare un requisito di consenso generale per Google Analytics, anche se non vengono utilizzati cookie.

Informazioni su Google Analytics

Chiunque abbia dato un'occhiata all'informativa sulla privacy di Google e al contratto per Google Analytics è probabilmente altrettanto intelligente di prima. Le informazioni di Google sono così contorte, sparse in vari documenti, vaghe e ambigue che sembra impossibile fornire informazioni trasparenti.

Secondo l'articolo 12 del GDPR, tuttavia, devono essere fornite informazioni trasparenti e comprensibili sul trattamento dei dati con Google Analytics.

Conclusione

Ottenere un consenso efficace per Google Analytics sembra difficile. Questi cosiddetti cookie pop-up sui siti web non sono solo fastidiosi, ma di solito sono anche illegali nella pratica.

Senza il consenso, Google Analytics può funzionare solo se non vengono utilizzati i cookie. Tuttavia, la qualità dei dati è discutibile perché Google Analytics non è ottimizzato per questa modalità operativa.

Un'analisi dei visitatori del sito web che rispetti la protezione dei dati è possibile con strumenti come Trackboxx. Senza cookie e senza impronte digitali significative, non è necessaria alcuna richiesta di consenso. L'attenzione è rivolta alla facilità d'uso, cosa che non è certo il caso di Google Analytics. Chiunque abbia guardato il cruscotto di Google Analytics non avrà capito tutto nemmeno dopo ore.

Penso anche che dovremmo favorire i fornitori tedeschi e smettere di fornire dati a Google gratuitamente il prima possibile.

Chiunque abbia mai avuto un caso di assistenza o una domanda generale a un'azienda conoscerà la sensazione di non aver ricevuto una risposta adeguata. Secondo la mia esperienza, i fornitori nazionali sono molto più attenti al cliente e hanno interiorizzato meglio il concetto di fornitore di servizi.