Davvero Google Analytics minaccia la nostra privacy?

Nei giorni scorsi, su vari quotidiani italiani è comparsa una pubblicità di Google che recita: «Non vendiamo i tuoi dati personali a nessuno, nel rispetto di rigide norme di protezione della privacy». Che cos’ha spinto Alphabet (società madre di Google) a una campagna di questo tipo? La privacy è ormai un tema talmente sentito da elevarsi a protagonista del marketing o si tratta forse di un’altra tappa del rapporto commerciale che Google ha da tempo instaurato con alcuni giornali? Dietro gli spot C’è una terza possibilità, e cioè che Google stia cercando di difendere la sua reputazione dopo il caso Analytics: il popolarissimo strumento della società guidata da Sundar Pichai usato (semplificando) per conteggiare i visitatori dei siti e che è finito recentemente nel mirino del garante della Privacy italiano. Attenzione, Google non è accusata di trattare o vendere in maniera impropria i dati di nessuno e, al contrario, il garante ha semmai richiesto agli editori online italiani di filtrare con più attenzione i dati degli utenti che invia al colosso di Mountain View, dal momento che queste informazioni vengono poi elaborate negli Stati Uniti violando il GDPR (il regolamento europeo per la protezione dei dati). Si tratta perciò di una vicenda, ai più oscura, di diritto e privacy, che probabilmente interessa poco il pubblico generale (nonostante l’attenzione verso la protezione dei dati stia finalmente aumentando) e che, dal punto di vista pratico, riguarda le attività che gli editori e gli altri enti che agiscono online devono mettere in atto per proteggere le informazioni personali dei loro utenti e lettori. Eppure, è possibile che i titoli dei giornali che si sono occupati dello “stop ad Analytics” abbiano fatto ritenere a Google che fosse il caso di lanciare una campagna riparatoria, nel caso in cui una lettura sbrigativa dei titoli abbia portato a qualche fraintendimento. Sotto la lente del garante, in effetti, non è Google Analytics in sé, ma l’uso che ne viene fatto. Il garante invita infatti – come scritto nel comunicato ufficiale – «a verificare la conformità delle modalità di utilizzo di cookie e altri strumenti di tracciamento utilizzati sui propri siti web, con particolare attenzione a Google Analytics e ad altri servizi analoghi». In caso contrario, l’ente non conforme potrebbe venir pesantemente multato. Il problema GDPR Ma perché l’utilizzo di Google Analytics è finito sotto accusa? Tutto nasce in seguito a una serie di reclami depositati nell’agosto 2020 dagli attivisti europei per la privacy di NOYB, che avevano individuato 101 siti internet i cui operatori inviavano dati negli Stati Uniti attraverso Google Analytics e non solo. Questi reclami erano figli della cosiddetta sentenza “Schrems II” (da Max Schrems, cofondatore di NOYB), con cui la Corte di Giustizia dell’Unione europea, nel luglio 2020, aveva invalidato l’accordo di trasferimento dei dati tra Ue e Usa noto come Privacy Shield. Da allora parecchie nazioni – tra cui Austria, Francia e adesso Italia – hanno posto particolare attenzione ai dati inviati ad Analytics ed elaborati negli Stati Uniti. Nel caso italiano, il garante ha dato a Caffeina Media (editore del sito Caffeina Magazine) 90 giorni di tempo per mettersi in regola. Tra i dati raccolti, segnala sempre il garante, ci sono «indirizzo IP del dispositivo dell’utente e informazioni relative al browser, al sistema operativo, alla risoluzione dello schermo, alla lingua selezionata, nonché data e ora della visita al sito web». Tra questi, ovviamente, il più importante è l’indirizzo IP, che «costituisce un dato personale e anche nel caso in cui fosse troncato non diverrebbe un dato anonimo, considerata la capacità di Google di arricchirlo con altri dati di cui è in possesso (e grazie ai quali può ricostruire l’identità dell’utente, ndr)». Intelligence e diritti Perché è un problema che una nazione alleata come gli Stati Uniti elabori i dati personali di utenti europei? È qui che il garante sottolinea l’aspetto più inquietante della vicenda, segnalando «la possibilità, per le autorità governative e le agenzie di intelligence statunitensi, di accedere ai dati personali trasferiti senza le dovute garanzie» e che «le misure che integrano gli strumenti di trasferimento adottate da Google non garantiscono, allo stato attuale, un livello adeguato di protezione dei dati personali degli utenti». Precauzioni eccessive o difesa dei nostri diritti? «Da questo punto di vista, il garante non ha né meriti né colpe: si limita ad applicare la sentenza della Corte di Giustizia», spiega a Domani Luca Bolognini, avvocato europeo dei dati e presidente dell’Istituto Italiano per la Privacy. «Il problema è che si carica sulle spalle degli operatori e delle imprese quella che è una responsabilità che dovrebbe essere di livello internazionale. Qualche dato potrebbe essere oggetto dell’interesse delle autorità statunitensi, ma questo non vale certo solo per Analytics e non soltanto per i servizi e i provider statunitensi, ma anche quelli di molti altri paesi». Il garante non colpevolizza Google Analytics, ma richiede di usarlo in maniera conforme alle norme. È possibile farlo? «In realtà, no. Il garante italiano, come già avvenuto in Francia e in Austria, impone l’adozione di misure tecniche che non sono di fatto applicabili», precisa Bolognini. «Poiché l’alternativa è inapplicabile, l’unica soluzione è smettere di usare Google Analytics». Il dilemma degli editori Che la responsabilità di un “uso conforme” ricada proprio sulle spalle degli editori e di tutti gli enti che ne fanno uso è stato tra l’altro sottolineato proprio da Google in una recente dichiarazione: «Le persone vogliono che i siti web che visitano siano ben progettati, facili da usare e rispettosi della loro privacy. Google Analytics aiuta gli editori a comprendere quanto i loro siti e le loro applicazioni siano funzionali per i loro visitatori, senza però identificarli o tracciarli nel web. Queste organizzazioni, non Google, controllano quali dati vengono raccolti con questi strumenti e come vengono utilizzati». Proprio in questi giorni, con un tempismo sicuramente non casuale, Google ha inoltre ricordato a tutti come il vecchio Analytics sarà presto ritirato e sostituito da una nuova versione – Google Analytics 4 – che dovrebbe risolvere almeno alcuni problemi. È così? «A leggere il provvedimento del garante, nemmeno questa nuova versione di Analytics risolverà nessun problema», chiarisce Luca Bolognini. «Nonostante il garante parli esplicitamente di indirizzo IP, che è considerato un dato personale, implicitamente sembra affermare che Google ha la possibilità comunque di inferire – tramite gli altri dati, i metadati e i microdati – l’identità dell’utente, e questo a prescindere che ci sia o meno l’identificativo dell’IP. Allo stesso tempo, non esistono alternative ad Analytics che offrano lo stesso tipo di servizio garantendo inoltre una completa protezione dei dati». Una possibile soluzione La soluzione più attesa, a questo punto, è il nuovo accordo per il trasferimento dei dati tra Usa e Ue che Joe Biden e Ursula von der Leyen hanno già annunciato, ma che ancora non si è materializzato. «In ogni caso, questo accordo servirà soltanto a prendere un po’ di tempo», spiega Bolognini. «Prevede un ordine esecutivo del presidente statunitense che dia più tutele ai cittadini europei limitando l’accesso alle agenzie di sicurezza statunitensi. Ma siamo ancora lontani dagli standard richiesti dalla Corte di Giustizia dell’Unione Europea e Max Schrems ha già annunciato che farà nuovamente ricorso. Probabilmente servirebbe una legge ordinaria del Congresso». Nel frattempo, altri colossi del settore hanno iniziato a prendere le contromisure necessarie a tenere a bada i mastini della privacy europei: Microsoft, per esempio, ha promesso di elaborare tutti i dati provenienti dalla Ue all’interno dei suoi confini. In generale, è molto probabile che le criticità relative al trasferimento dei dati stiano venendo studiate con attenzione da molti altri giganti tecnologici della Silicon Valley. D’altra parte, a inviare negli Stati Uniti dati raccolti in Europa, non è certamente solo Google.