La sentenza del Garante della Privacy del 26 giugno 2022 contro un Servizio di Google, cambia il web che conosci. Tutto il web e non solo Google.
Premessa.
Ho scritto questo articolo per essere il più possibile divulgativo, al limite della imprecisione, l’ho diviso in capitolo autonomi, se uno non ti interessa lo puoi saltare, ma l’argomento è davvero importante per tutti: dai consumatori, alle imprese, ai professionisti. Quindi ti invito a dedicargli i 4 minuti che sono il tempo di lettura.
Dopo aver ascoltato ore di interviste, letto moltissimi articoli, questo è il sunto che mi sento di presentarti, infondo all’articolo metterò tutti i link utili al tuo personale appronfondimento.
Dedicati del tempo per capire perchè dal 26 giugno 2022 potrebbe cambiare davvero tutto il mondo intorno a te.
La sentenza del Garante italiano della Privacy
Il 26 giugno 2022 il Garante italiano della Privacy condannava una azienda italiana per l’utilizzo improprio dei dati personali di un ricorrente.
Questa è la notizia pura e non come si è letto sulla stampa che “il Garante italiano ha multato Google” oppure “il Garante italiano ha chiuso Google”. Il Garante italiano non ha detto nulla direttamente a Google.
Il Garante italiano della Privacy è il nostro guardiano della nostra privacy e lo fa seguendo anche i dettami della nuova GDPR (General Data Protection Regulation) del 25 maggio 2018 e le normative italiane in merito al trattamento dei dati personali.
E’ bene specificare la nazionalità perchè ogni garante di ogni Stato si sta muovendo in autonomia.
Sul servizio Google oggetto del procedimento, Google Universal Analytics versione 3, si sono già pronunciati i garanti privacy francese, molto più severamente del nostro, e quello austriaco, molto più blandamente.
Purtroppo non c’è un organo europeo che decide all’unisono e detta strade uguali per tutti, ma abbiamo una forte GDPR che è da seguire per tutti gli europei o per chi opera in Europa.
Cosa è successo per arrivare alla sentenza: fatti e antefatti
Tutto il web che conosci è un insieme di software, programmi, e hardware, server, computer, tablet, cellulari, ma anche Smart TV, navigatori auto e prossimamente frigoriferiferi, cucina, lavastoviglie … che dialogano tra loro: si scambiano sempre più dati ed informazioni.
A fine articolo esprimerò un mio pensiero su questo, ma qui rimaniamo ai fatti.
All’interno dei siti web, ci sono pezzi di software creati da più aziende che dialogano tra loro col fine di rendere il sito stesso più fruibile, più veloce, più collegato ai social, più analizzabile dai motori di ricerca e quindi dal proprietario.
Il procedimento è stato istruito nel 2020, contemporaneamente ad altre centinaia di servizi simili, perchè un’azienda italiana ha configurato Google Analytics versione 3 su un sito e, dopo la vertenza, dopo le analisi effettuate, il Garante ha stabilito che questo software non rispetta normativa europea GDPR.
Citazione Il Sole 24 Ore, “Il GDPR europeo vieta di trasferire informazioni, a meno che non vengano prese misure tecniche, organizzative e contrattuali tali da garantire uno standard di tutela uguale a quello di ciascuno Stato membro”.
Tutela uguale a quella di uno Stato membro della Unione Europea, questo è un cardine.
Dove ha sbagliato Google?
Colpo di scena: da nessuna parte. Però è in difetto, vediamo perchè.
Quando utilizzi un sito web dove sopra c’è installato Google Analytics (milioni di siti web in Italia) una parte dei dati viene trasferita dal tuo sito al Google Europa che è in Irlanda: per esempio quale pagina viene letta, quanto tempo ci stai e così via. Fin qui nulla di male.
Google per motivi tecnici, poi trasferisce una parte dei dati sui server in USA e fin qui ancora nulla di male.
Negli Stati UNiti l’organo di polizia che effettua le indagini, può entrare nei server di qualsiasi azienda ed effettuare i controlli.
L’azienda è tenuta a non comunicare tale controllo a nessuno.
A questo punto i dati dei cittadini europei che fossero spostati dai server di Google Irlanda nei server Google USA sarebbero potenzialmente controllabili dalla polizia americana, senza alcuna riservatezza e per questo motivo il Garante della Privacy ha stabilito non è conforme alla GDPR.
Google ha provato a replicare, sostenendo che era solo un trasferimento tecnico e che poi i dati vengono eliminati.
Il Garante ha risposto che nessun dato personale deve essere controllabile senza seguire i dettami della GDPR e quindi nel dubbio non si possono trasferire.
Già qui si intravede una ombra piuttosto lunga sul trasferimento dei dati, non di google, ma di qualsiasi azienda fuori dall’Europa che poi debba essere conforme alla GDPR.
Ma, ahime, c’è di più.
Viene sostenuto che la polizia USA può entrare nei server di una azienda USA ovunque questa sia collegata, quindi, potrebbe entrare e controllare anche i dati nei server Google Irlanda.
Di fatto è un controllo su territorio europeo.
Se mi chiedete se questo è attualmente e tecnicamente possibile la mia risposta è “Si”, se mi chiedete se questo viene fatto realmente, la mia risposta è “non lo so”.
Dove ha sbagliato l’azienda ammonita dal Garante?
Qui serve la massima attenzione per capire l’errore di fondo nel ragionamento di tutti noi.
Google è un’azienda, ti mette a disposizione un servizio che tu privato o tu azienda chiedi e utilizzi: la tracciabilità degli utenti è responsabilità tua, perchè i dati sono tuoi, li gestisci te.
I dati che tracci e che utilizzi sono di responsabilità di chi gestisce questi dati quindi sempre te.
Se sei una azienda devi avere il DPO (Data Protection Officer) o anche detto Responsabile per la Protezione dei Dati (RPD) e se non l’hai indicato lo è l’Amministratore della azienda.
Se sei un privato, i dati sono responsabilità tua e te ne sei responsabile.
Molti affermano: ma i dati li utilizza anche Google.
No. Google non utilizza i dati personali e comunque non è colui che li richiede, chi li richiede è il titolare del sito web.
E chi Paga? E che Tempi ci sono per mettersi in regola e cosa c’è da fare? Un momento.
Colpo di teatro: Federico Leva e la mail che scassa tutto!
Chi? E’ la stessa cosa che ho eslamato io. Poi se lo sono chiesti migliaia di addetti ai lavori e anche alcuni dei miei clienti che hanno ricevuto la mail da Federico Leva.
Federico Leva è l’autore di un invio massivo di mail, sembra circa 30.000, in cui richiede al gestore dei dati del sito di rimuovere una sua traccia, un suo dato personale dal sito web a cui fa riferimento.
Ha scritto a te titolare del sito e ti ha detto “cancella il mio passaggio” che tu sia proprietario di un sito web o di un blog.
Capisci bene che questo diventerebbe un problema enorme il dover gestire migliaia di richieste del genere tutti i giorni a tutte le ore: cancellazioni su cancellazioni non semplici da fare.
Se sei nostro cliente e hai ricevuto quella mail devi chiamarmi subito.
Torniamo a Federico, nel video che ho linkato qui sotto, fa capire bene di essere un “attivista”, lui sta dalla parte del web che non desidera alcun tracciamento ed ha intrapreso questa guerriglia.
In maniera sgangherata, con molte riserve e lacune tecniche, ma non è questa la sede per parlarne.
Andiamo avanti verso le conclusioni.
Cosa devi fare se sei un privato con un sito che ha Google Analytcs
Devi valutare attentamente se il tracciamento ti è utile o meno e nel caso comunque sostituite google Analytics versione 3 con nuovi strumenti. Ovviamente poi rispondi obbligatoriamente alla mail di Federico Leva nei modi adeguati.
Cosa devi fare se sei una azienda
La prima cosa che mi viene da dire è di affidarti ad un professionista che ti sappia guidare nella scelta e nell’utilizzo.
Non devi fare nessuna azione precipitosa, ma valutare attentamente cosa ti è utile e cosa no.
Prima di tutto dovrai rispondere alla mail di Federico Leva, se ti ha scritto, e lo devi fare obbligatoriamente entro i 30 giorni in cui ti ha scritto ed in maniera corretta.
Dopo devi iniziare a pensare di togliere Google Analytics versione 3 perchè è un prodotto che lo stesso Google aveva annunciato di chiudere, cancellare dal 1 luglio 2023 quindi probabilmente lo farà molto presto.
Se del tracciamento comunque reputi ce ne sia bisogno potrai avere tante scelte davanti tra cui anche il nuovo GA4, il nuovo servizio di Google che potrebbe essere già a norma.
Google Analytics 4 non registra l’IP e quindi il problema non si pone: ciò che arriva al server statunitense è molto più criptato. Inoltre è possibile configurarlo in modo da non memorizzare altri segnali sensibili come città, browser, dispositivo, ecc. (soluzione server-side)
Come ho accennato, il Garante si deve esprimere su tantissimi altri ricorsi e lo farà a breve.
Conclusioni e mia opionione
Voglio iniziare la mia opionione con questo video
I più giovani non se lo ricorderanno, un colpo del marketing inventarsi un ippopotamo blu che parlava di pannolini.
Io ricordo, però, che in quegli anni ci si interrogava se la televisione commerciale, all’ora di cena dovesse presentare pannolini o assorbenti.
All’epoca la lamentela era sulla opportunità dell’argomento così diffuso, che andava dalle donne agli uomini, o dai bambini ai nonni.
Il mezzo, la televisione, era una unica, stava in salotto e ci accedevano tutti, oppure era più piccola ed era sopra il frigorifero della cucina.
Un mezzo unico propagava una pubblicità unica, per tutti uguale.
Oggi siamo ognuno diviso dagli altri, ognuno col suo telefono, ognuno con la sua linea di comunicazione.
Ha senso mandare a tutti un messaggio univoco che ha poca “penetrazione”?
Ha più senso mandare messaggi personalizzati, dando a ciascono il suo, senza invadere interessi di altri?
C’è una sana via di mezzo?
E poi come avrai potuto capire dal racconto che ho fatto sopra che, oggi, si parla di un servizio molto diffuso, ma che la stessa Google considera da chiudere, Google Analytics versione 3, ma è evidente che si può riferire a tutto ciò che non rispetta la GDPR perchè la polizia Statunitense può gurdare dentro le proprie aziende ovunque siano e quindi vedere anche cose che a cui non stai pensando:
gmail, google drive, ma anche facebook, instagram o twitter, oppure la lavatrice hoover che comunica con amazon di fargli rimandare il sapone, gli stessi server di Amazon, utilizzati da aziende, non per vendere, ma perchè ospitano milioni di siti nel mondo (poi un giorno parliamo dove fa i soldi Amazon).
Le carte di Credito Visa e Mastercard, ma anche le società che inviano mail come Mailchimp, ActiveCampain, i software antivirus e mille altre.
Personalmente mi piacciono le battaglie per i diritti dei singoli, ma non distruggendo tutto, sono per il dialogo ed il cambiamento progressivo e mai per spazzare via un intero sistema.
Per questo credo che nella buona fede di Federico Leva ci sia più un danno verso i piccoli, che adesso non sapranno cosa fare e come difendersi, che le grandi aziende che si troveranno a fare cambuiamenti costosi ma alla loro portata.
Ti saluto con un grazie di essere arrivati a leggere fino a qui e ti invito a scrivermi, a confrontarti e a cercare una soluzione o una chiacchiarata.
Alessandro
Gli ultimi articoli
- Pubblicità Esselunga: una analisi fatta dagli esperti
- Dalla Pianificazione in generale al Marketing
- Giornata Mondiale Oggi
- Calcolare il Tasso di Engagement: Guida Completa
- Unique Sell Proposition: la nostra guida completa