L’Autorità svedese per la protezione della privacy (IMY) ha verificato il modo in cui quattro aziende utilizzano Google Analytics per le statistiche web. L’IMY ha comminato multe amministrative a due di queste aziende. Una delle aziende ha recentemente smesso di usare lo strumento statistico di propria iniziativa, mentre l’IMY ha ordinato alle altre tre di smettere di usarlo.

L’IMY ha verificato le modalità di trasferimento dei dati personali negli Stati Uniti da parte di quattro società attraverso Google Analytics, uno strumento di misurazione e analisi del traffico sui siti web. Le società controllate sono CDON, Coop, Dagens Industri e Tele2. Le verifiche riguardano una versione di Google Analytics a partire dal 14 agosto 2020.

Secondo il regolamento sulla protezione dei dati, il GDPR, i dati personali possono essere trasferiti a Paesi terzi, cioè a Paesi al di fuori dell’UE/SEE, se la Commissione europea ha deciso che il Paese in questione ha un livello adeguato di protezione dei dati personali corrispondente a quello dell’UE/SEE. Tuttavia, con la sentenza Schrems II la CGUE ha stabilito che gli Stati Uniti non potevano essere considerati un livello di protezione adeguato al momento della sentenza.

Nelle sue verifiche, l’IMY ritiene che i dati trasferiti agli Stati Uniti tramite lo strumento statistico di Google siano dati personali perché possono essere collegati ad altri dati unici trasferiti. L’autorità conclude inoltre che le misure tecniche di sicurezza adottate dalle aziende non sono sufficienti ad assicurare un livello di protezione sostanzialmente corrispondente a quello garantito all’interno dell’UE/SEE.

  • biofaust
    link
    fedilink
    Italiano
    arrow-up
    3
    ·
    1 year ago

    Lavoro nell’implementazione di sistemi di web analytics e BI con clienti svedesi (dato che parlo svedese) e sono sempre stato una Cassandra quando si parlava di GA (e anche GA4), dato che sono fissato con il GDPR e ePrivacy.

    In questo momento si sono tutti risvegliati e mi accarezzano chiedendomi cosa fare dei loro progetti di migrazione a GA4.

    Per inciso, nonostante anche Coop, non multata, si sia vista dare 20 giorni per togliere Google Analytics, un’implementazione di Google Analytics in regola è possibile.

    Il problema è che un sacco di roba non la si può mandare, perdendo funzionalità nei report e per aziende sopra ai 10M di eventi al mese la “bolletta” di GA360 sarà molto difficile da giustificare.

    Sto proponendo di portarli a Piwik Pro, che tra l’altro ha un’interfaccia molto simile alla vecchia versione di GA che è in sunset ed è una compagnia polacca con la possibilità di storage dei dati su data center in Svezia o Francia.

    Il problema è che l’ultima parola riguardo la raccolta indiscriminata di dati personali è stata data al marketing, che grazie all’influenza di Google e Facebook oggi è perlopiù popolata di pen-pusher umanisti zombie al servizio dei MAMAA.