Da qualche tempo in Italia si aggira una “voce” secondo la quale usare Google Analyitcs sarebbe “illegale”. Nel silenzio della magistratura — l’unica titolata a stabilire definitivamente un fatto del genere — e dell’Autorità garante per la protezione dei dati personali, si moltiplicano iniziative più o meno organizzate che “diffidano” le pubbliche amministrazioni a non utilizzare la piattaforma di Big G. Molti “DPO” — i data protection officer — per non saper né leggere né scrivere consigliano i propri clienti di sbarazzarsi tout court dello scomodo strumento. In realtà, tuttavia, le cose non sono così semplici e dunque per capirci qualcosa possono tornare utili queste FAQ – di Andrea Monti – Inizialmente pubblicato su Strategikon – un blog di Italian TechChi ha stabilito in modo definitivamente vincolante che l’uso di Google Analytics è illegale?
In Italia, ancora nessuno.
Ma allora come mai si dice che sono fuori legge?
Perché così ritengono il Garante francese e il Garante austriaco.
Queste decisioni valgono per tutta la UE?
No. Ogni autorità nazionale di protezione dei dati è autonoma.
E non potrebbero mettersi d’accordo per evitare differenze fra un Paese e l’altro?
Sì. Potrebbero e dovrebbero farlo, ma non è ancora accaduto.
Ma che valore hanno le decisioni dei Garanti?
Valgono fino a quando una sentenza non le conferma o smentisce. In Italia, solo la Corte di cassazione ha il potere di stabilire principi di diritto. Nel frattempo, tuttavia, vanno rispettate.
Non ho ancora capito: perché Google Analytics sarebbe fuori legge?
Perché, secondo i due Garanti, nel momento in cui un sito inoltra l’IP del visitatore a Google e Google ha altre informazioni sull’utente, può associare il vecchio al nuovo e aumentare il dettaglio della profilazione sulla singola persona. Siccome questo accade in Usa, non ci sarebbero adeguate tutele per i cittadini degli Stati UE. Ci sarebbero anche altri aspetti da considerare, ma già questo basterebbe.
Sul serio l’IP, da solo, è un dato personale?
No, e lo ha stabilito anche la Corte di giustizia UE. Per essere un dato personale l’IP va associato ad altri elementi (per esempio, la registrazione per superare un paywall o accedere al proprio account su un sito di e-commerce).
Quindi, un sito che si può consultare senza registrazione può usare Google Analytics?
In linea generale sì, perché la normativa sulla protezione dei dati personali si applica a chi li tratta direttamente (nel senso che ha tutte le informazioni per identificare un individuo), non a chi raccoglie dati anonimi (il solo IP) e poi li inoltra a qualcun altro che li può ricombinare.
Allora perché mi stanno consigliando di abbandonare Analytics?
E chi lo sa? Per poter rispondere sarebbe necessario analizzare caso per caso il modo in cui è stata implementata la piattaforma. Senza questa verifica preventiva e dettagliata, “scaricare” Google Analytics si traduce soltanto in ulteriori costi consulenziali e operativi.
E i miei consulenti non potevano avvertirmi prima?
La risposta è complessa. Ci sono consulenti che hanno una conoscenza teorica della normativa. Quindi sono in grado di fornire indicazioni solo se c’è un caso precedente al quale riferirsi. Fanno, in altri termini, gli archeologi senza mai avere visto uno scavo. Non è una coincidenza che Google Analytics sia diventato un caso, ma solamente dopo che qualche autorità si è pronunciata. Invece, i consulenti che, nel corso del tempo, hanno evidenziato i problemi dell’utilizzare servizi Made in Usa sono stati considerati delle Cassandre e i loro consigli non sono stati presi in considerazione. In più, molti soggetti (pubblici e privati) sono restii ad adottare soluzioni alternative. Se “così fan tutti”, perché dovremmo fare qualcosa di diverso? Infine, chi sviluppa piattaforme web trova più comodo utilizzare Google Analytics (non fosse altro perché funziona) e non si pone il problema dell’esistenza di strumenti alternativi.
Ma perché succede tutto questo?
Perché da tempo Usa e UE si stanno combattendo nella Guerra degli Analytics.
Possibly Related Posts:
- Chi ci protegge dal dossieraggio tecnologico?
- Webscraping e Dataset AI: se il fine è di interesse pubblico non c’è violazione di copyright
- Perché Apple ha ritirato la causa contro la società israeliana dietro lo spyware Pegasus?
- Le sanzioni UE ad Apple e Google aprono un altro fronte nella guerra contro Big Tech (e incrinano quello interno)
- La rottura tra Stati e big tech non è mai stata così forte