Google Analytics: quali scelte possibili, dopo l’intervento del Garante?

di Luisa Di Giacomo, Avv.
PDF

Dello stop del Garante Privacy a Google Analytics si è già parlato in lungo e in largo, ma resta ancora il tema caldo del momento. E se ormai gli enti pubblici e privati sanno di avere 90 giorni per “adeguarsi” al provvedimento dell’Autorità, che ha dichiarato illegittimo il trasferimento dei dati verso gli Stati Uniti, il problema vero è: che cosa fare in pratica? Qualcuno dice di eliminare Analytics e basta, altri di utilizzare versioni “compliant” dello stesso tracciatore come GA4, oppure di utilizzare software alternativi, che però non sono e non saranno mai come l’originale. Ma la confusione resta alta.

Che cosa devono fare, quindi, le aziende?

      Indice

  1. Soluzione radicale: rimuovere Google Analytics
  2. Soluzione consapevole: entrare nel merito e continuare ad usare GA facendosi scudo con l’accountability
  3. Soluzione attendista: non fare niente e aspettare
  4. In ogni caso, le aziende dovrebbero cogliere questa opportunità

1. Soluzione radicale: rimuovere Google Analytics

Non tutti si possono permettere di rinunciare tout court ai servizi di GA, ma il mercato offre soluzioni alternative: Web Analytics Italia per le PA (suggerito dalla stessa AgID), Matomo, Piwik, Plausible per i privati. Gli addetti ai lavori affermano che nessuno di questi servizi offre il medesimo grado di utilità ed affidabilità di GA, ma si tratta di soluzioni che non solo permettono un maggior controllo sui dati, ma soprattutto di mantenerli nel perimetro dell’Unione Europea, e dunque di bypassare il problema del trasferimento dei dati verso gli USA; considerati paese pericoloso in ambito di data protection.

2. Soluzione consapevole: entrare nel merito e continuare ad usare GA facendosi scudo con l’accountability

Si fa presto a dire Google Analytics. In verità, scegliere in maniera adeguata e consapevole passa attraverso una analisi, compiuta dal Titolare, sull’effettivo utilizzo di GA nella propria organizzazione, per comprendere in primo luogo quali dati vengono effettivamente fatti transitare verso gli USA (dati comuni, IP, dati particolari).

In assenza di prescrizioni da parte del Garante, che sarebbero incompatibili con il regime di accountability sancito dal GDPR, ciascun Titolare potrebbe, magari attraverso una valutazione di impatto, stabilire innanzi tutto se l’utilizzo di GA è davvero indispensabile, secondariamente se sia possibile sostituirlo con servizi alternativi, oppure rischiare e continuare ad usarlo con correttivi, mettendo in atto le “misure tecniche ed organizzative” necessarie per garantire la sicurezza dei dati anche in caso di utilizzo di GA.

Sulla vicenda leggi anche: Google Analytics dichiarato “illegale” dal Garante: e ora che succede?

3. Soluzione attendista: non fare niente e aspettare

Biden e Von Der Leyen si sono stretti la mano sull’accordo per il trasferimento die dati tra Unione Europea e Stati Uniti, quindi qualcosa prima o poi si muoverà a livello politico. Lo sanno gli addetti ai lavori e lo sa il Garante, che infatti non ha sanzionato la società che ha dato il la a tutta la vicenda, ma l’ha soltanto ammonita e le ha concesso 90 giorni per mettersi in regola.

Una tattica attendista, dunque, potrebbe essere la strategia giusta da adottare per quelle aziende che non possono o non vogliono mettere in campo soluzioni tecniche rischiose e costose, ma al contempo non possono o non vogliono rinunciare ad utilizzare GA sui propri siti: anche in questo caso l’accountability tutto copre e tutto permette, salvo poi essere in grado di documentare questa scelta in maniera consapevole e fondata sulla data protection by design.

4. In ogni caso, le aziende dovrebbero cogliere questa opportunità

Oggi è GA nell’occhio del ciclone, ma considerato che giornalmente utilizziamo soluzioni informatiche made in USA, non possiamo essere certi che domani non toccherà a Microsoft o Apple, tanto per fare due nomi a caso.

Quindi, prima che la tentazione di abbandonare del tutto l’informatica e tronare alla cara vecchia Olivetti Lettera 32, aziende ed enti pubblici dovrebbero utilizzare l’affaire GA per cogliere un’opportunità: quella di sfruttare l’obbligo di compliance come propulsore per ripensare alla propria strategia di data protection, non più in mera ottica di “mi devo adeguare perché è obbligatorio”, ma “voglio gestire consapevolmente i dati, perché sono la ricchezza della mia azienda”: un’ottica innovativa che farebbe veramente entrare le aziende italiane nella rivoluzione digitale di cui si parla tanto e per la quale rischiamo, diversamente, di essere irrimediabilmente in ritardo e pertanto tagliati fuori.

Volume consigliato:

Diventa autore di Diritto.it

© RIPRODUZIONE RISERVATA

luisa-di-giacomo

Luisa Di Giacomo

Laureata in giurisprudenza a pieni voti nel 2001, avvocato dal 2005, ho studiato e lavorato nel Principato di Monaco e a New York. Dal 2012 mi occupo di compliance e protezione dati, nel 2016 ho conseguito il Master come Consulente Privacy e nel 2020 ho conseguito il titolo Maestro per la Protezione dei Dati e Data Protection Designer dell’Istituto Italiano per la Privacy. Mi occupo di protezione dei dati e Cybersecurity, sono docente e formatore per Maggioli s.p.a. e coordino la sezione Cybersecurity della pagina diritto.it. Sono Data Protection Officer e consulente per la protezione e sicurezza dei Dati in numerose società nel nord Italia. Ho una pagina Instagram e un Canale YouTube in cui parlo dell’importanza dei Dati e della Cybersecurity, con l'obiettivo di contribuire a diffondere una maggiore cultura e consapevolezza digitale. Mi piace definirmi Cyberavvocato. I miei social: LinkedIn Instagram YouTube


Per la tua pubblicità sui nostri Media:
maggioliadv@maggioli.it  |  www.maggioliadv.it

Gruppo Maggioli
www.maggioli.it

  • Rimani aggiornato sulle novità del mondo del diritto
  • Leggi i commenti alle ultime sentenze in materia civile, penale, amministrativo
  • Acquista con lo sconto le novità editoriali – ebook, libri e corsi di formazione

Rimani sempre aggiornato iscrivendoti alle nostre newsletter!

Iscriviti alla newsletter di Diritto.it e