Garante Privacy: rischio sanzioni per Google Analytics 3

È pari a più di 4 miliardi e mezzo di euro l’ammontare delle sanzioni che potrebbero arrivare alle aziende lombarde a causa della recente pronuncia del Garante della Privacy che ha dichiarato che l'utilizzo di Google Analytics 3 è illegale secondo la normativa GDPR. Le aziende italiane nel loro insieme rischiano ben 13 miliardi di sanzioni.

Questo è quanto emerge da una ricerca effettuata da Yourbiz, agenzia di Demand Generation, elaborando gli ultimi dati ISTAT disponibili sul fatturato delle aziende lombarde che si occupano di servizi di informazione e comunicazione, di supporto alle imprese e di attività professionali, scientifiche e tecniche.

Le sanzioni previste dal regolamento possono infatti arrivare fino al 4% del fatturato mondiale totale annuo delle imprese. Le aziende coinvolte nella ricerca rappresentano solo una piccola parte dell’intero fatturato della regione “motore d’Italia”, ma risultano emblematiche dei settori di attività che potenzialmente usano maggiormente il service di Google per il loro operato.

Il rischio di sanzioni esiste però per tutte le imprese, in tutti i settori e non solo per le più grandi, proprietarie di un sito web sul quale è attivo Google Analytics 3. Questo fa capire come in una regione come la Lombardia, dove le ultime stime parlano di circa mille miliardi di fatturato per 550 mila imprese, pari al 25% del totale nazionale (Watch PMI Banca IFIS – aprile 2022), il rischio di sanzioni possa raggiungere cifre decisamente più onerose.

La pronuncia

Il 9 giugno 2022 il Garante della Privacy si è espresso dichiarando che Google Analytics 3 (Universal Analytics) non è a norma con il GDPR. Il tutto è nato dall’ammonizione alla società Caffeina Media srl, che utilizza Analytics sul proprio sito, alla quale sono stati dati 90 giorni per adeguarsi di conseguenza. Questa ammonizione spiega che i siti web che utilizzano il servizio Google Analytics 3, senza le garanzie previste dal Regolamento UE, vìolano la normativa sulla protezione dei dati. Questo perché trasferiscono i dati degli utenti negli Stati Uniti, Paese privo di un adeguato livello di protezione. È stato quindi imposto a Caffeina Media, e implicitamente a tutti i gestori dei siti web, di adeguarsi alla sentenza entro 90gg (09 settembre 2022) per evitare sanzioni come da provvedimento del 23/06/22 nr 9782874.

Cosa è possibile fare per evitare le sanzioni?

“Premesso che il garante si è espresso solo su Google Analytics 3 e non su altri software che trasferiscono i dati negli Stati Uniti, l'unica azione certa per evitare le sanzioni è quella di rimuovere lo script di Google Analytics 3. – spiega Pietro Poli, docente del master International Marketing & Sales Communication dell’Università IULM e operation manager di Yourbiz - Si possono poi installare software di statistica che non trasferiscono i dati negli USA ad esempio Matomo che è già stato "consigliato" per la PA.”

“Un’altra opzione – continua Poli - sarebbe quella di usare Google Analytics 4. Su quest’ultimo c'è una soluzione definita Server Side che permette di modificare l'indirizzo IP, rendendo così impossibile a Google risalire agli utenti. Questa soluzione non è stata confermata esplicitamente dal Garante della Privacy italiano, come invece ha fatto l’omologo francese.”

Cosa potrebbe succedere se non ci si adeguasse?

“L’importo delle sanzioni è a discrezione dell’autorità di vigilanza, la quale valuterà la cifra basandosi sulle indicazioni del GDPR. Il Regolamento prevede che la sanzione stabilita per ogni caso sia efficace, dissuasiva e proporzionata, come indicato nell’articolo 83, comma 1 – afferma Pietro Poli - Gli importi delle sanzioni, in generale, possono variare da 10 a 20 milioni di euro e dal 2 al 4% del fatturato mondiale totale annuo, a seconda delle caratteristiche della violazione.”

Chi rischia le sanzioni?

“Tutti sono a rischio, tuttavia di sicuro ci si concentrerà dapprima sui big digitali, per poi muoversi anche sui siti più piccoli – spiega Pietro Poli – E quando dico tutti intendo chiunque sia proprietario di un sito web con un software che trasferisce i dati degli utenti negli Stati Uniti. A oggi l'indagato speciale è Google Analytics 3, ma la lista potrebbe allungarsi e vedere molti altri software.”

LASCIA UN COMMENTO

Inserisci il tuo commento
Inserisci il tuo nome