Google è conforme al GDPR?
Per anticipare, la risposta alla domanda iniziale è: sì, Google Analytics e la protezione dei dati GDPR sono compatibili se si ottiene il consenso informato dell'utente. Questo articolo spiega in dettaglio come funziona.
Un po' di storia
I tempi in cui Google Analytics poteva operare silenziosamente sullo sfondo di un sito web sono definitivamente finiti. All'epoca era sufficiente una nota nell'informativa sulla privacy e il legittimo interesse del gestore del sito web alle statistiche per il funzionamento di Google Analytics e alla protezione dei dati come base giuridica.
Con lo sviluppo di Google Analytics come strumento di marketing, l'annullamento del Privacy Shield come base per il trasferimento dei dati con le aziende statunitensi da parte della Corte di Giustizia europea e la maggiore consapevolezza della privacy da parte di molti utenti di Internet, la situazione è cambiata radicalmente.
Ciò può essere dovuto anche al fatto che gli inserzionisti hanno esagerato. Inviare un'e-mail a un amico in vacanza in Olanda per poi vedersi mostrare poco dopo annunci di case vacanza olandesi mentre si naviga in rete fa riflettere. Gli organi giudiziari e le autorità di controllo della protezione dei dati hanno preso in considerazione questo aspetto e hanno fatto entrare in vigore il GDPR e anche la direttiva europea 2002/58/CE, che è stata parzialmente ignorata in Germania, nell'attuazione della legge sulla protezione dei dati delle telecomunicazioni e dei media (TTDSG).
Il risultato è che il pieno utilizzo di Google Analytics e la protezione dei dati sono possibili solo con un consenso volontario e informato. A cosa acconsentono gli utenti e come deve essere il consenso?
Le sfaccettature del consenso
1. consenso all'impostazione dei cookie
Il consenso per i cookie non riguarda principalmente la protezione dei dati, ma l'integrità dei dispositivi finali. § La sezione 25 del TTDSG stabilisce che i dati possono essere scritti nella memoria di un PC, di un laptop, di un tablet o di uno smartphone o possono essere letti da questi dispositivi solo con il consenso dell'utente. Ci opponiamo anche al fatto che una persona entri in casa nostra senza il nostro consenso e scriva sulla nostra bacheca o legga le note sul frigorifero.
2. consenso al tracciamento degli utenti
Con il tracciamento degli utenti, vengono registrati i movimenti sul sito web, i prodotti nel carrello, gli acquisti e anche le pagine su cui l'utente ha navigato in precedenza. Il comportamento di navigazione degli utenti viene anche tracciato su diversi siti web e condensato in un profilo. Le autorità di regolamentazione e i tribunali richiedono il consenso per questo.
3. consenso al trasferimento dei dati negli USA
L'argomento è complesso e non è ancora stato discusso a fondo. Ciò che è chiaro è che i dati raccolti tramite Analytics vengono memorizzati sui server statunitensi di Google e lì elaborati per gli scopi propri di Google. Ciò rende Google il responsabile del trattamento ai sensi del GDPR e non più solo un incaricato del trattamento che fornisce analisi e statistiche. Di conseguenza, è necessario stipulare e pubblicare un accordo di contitolarità ai sensi dell'art. 26 del GDPR.
C'è un secondo aspetto del trasferimento di dati dagli Stati Uniti che deve essere considerato. Tramite Google, le autorità di sicurezza statunitensi hanno accesso ai dati e ai profili di utenti che non hanno alcuna possibilità di ricorso se non sono cittadini statunitensi. Non sono nemmeno a conoscenza di questo accesso ai loro dati. Anche questo fatto deve essere chiarito affinché il consenso sia efficace.
Non dobbiamo nascondere che le autorità di vigilanza tedesche, a differenza di quelle di altri Paesi dell'UE, hanno un problema con il consenso al trasferimento negli Stati Uniti. Ciò significa che esiste un rischio residuo per le aziende locali e, se le autorità decidono a favore, l'unica opzione è quella di andare in tribunale. Tuttavia, ci sono forti voci a favore della soluzione del consenso per i trasferimenti negli Stati Uniti. Thomas von Danwitz, giudice della Corte di giustizia europea e coinvolto nella sentenza Schrems II, ha dichiarato in un'intervista che le esenzioni previste dall'art. 49 del GDPR, compreso il consenso, non sono ancora state "esplorate". L'opinione che la legge limiti queste esenzioni ai trasferimenti occasionali è controversa. La chiara dichiarazione dell'articolo 49 (1) del GDPR deve avere la priorità rispetto alla dichiarazione poco chiara del considerando 111. E le autorità di controllo in Austria e Francia lasciano aperta la possibilità del consenso nei loro pareri sugli analytics.
Pertanto, è opportuno seguire questa strada o rinunciare del tutto a Google Analytics. Non esiste un'alternativa equivalente al consenso. È difficile immaginare che la sottoscrizione delle clausole contrattuali standard dell'UE e delle misure aggiuntive a seguito di una valutazione dell'impatto del trasferimento (TIA) possa portare a un risultato positivo. Le informazioni disponibili sul trattamento dei dati da parte di Google sono troppo poche per poterlo fare. Una valutazione affidabile del rischio è semplicemente impossibile.
Progettazione del consenso
Il consenso può essere efficace solo se tutti e tre gli aspetti - l'impostazione dei cookie, il tracciamento con profilazione e marketing personalizzato e il trasferimento agli Stati Uniti con la possibilità di accesso da parte delle autorità di sicurezza - vengono spiegati chiaramente all'utente. È chiaro che questo deve essere fatto quando si entra nel sito, ed è per questo che abbiamo i banner dei cookie, noti anche come piattaforme complete di gestione del consenso, perché non si tratta più solo di cookie. La collocazione delle informazioni è ancora oggetto di discussione. Secondo gli esperti di protezione dei dati, tutto dovrebbe trovarsi nella prima finestra in cui viene dato il consenso e non solo in un secondo livello dopo un clic. Resta da vedere cosa sia possibile fare in questo caso.
Ma un'altra alternativa
Esiste un'alternativa: se il gestore del sito web è disposto a rinunciare ad alcune informazioni e all'utilizzo per il marketing personalizzato, è possibile ospitare direttamente Google Analytics. In questo modo si eviterebbe il trasferimento a Google negli Stati Uniti. Si potrebbe anche evitare l'impostazione dei cookie e quindi il riconoscimento degli utenti alla loro successiva visita o su altri siti web. Se poi si limita il tracciamento dei dati al proprio sito web e si lavora solo con dati pseudonimizzati, il consenso non è necessario. Tuttavia, ci sono anche autorità di vigilanza tedesche che non vogliono accettare questo tracciamento limitato con un indirizzo IP abbreviato senza consenso.
Conclusione:
Google Analytics e la protezione dei dati possono essere gestiti in modo conforme in due scenari:
- Senza consenso, con una portata ridotta dei servizi, in self-hosting senza Google, senza cookie e solo per l'analisi del vostro sito web.
- Oppure con il consenso all'uso dei cookie, alla profilazione e al marketing personalizzato e al trasferimento dei dati a Google con possibile accesso da parte delle autorità di sicurezza statunitensi.
Nessuno dei due scenari è assolutamente sicuro dal punto di vista legale, poiché le autorità di vigilanza tedesche mettono in discussione sia il consenso al trasferimento negli Stati Uniti sia l'analisi pseudonimizzata delle visite al sito web senza consenso.