Qual è il vero confine tra dati tratti da indagini di mercato e dati personali? Una domanda la cui risposta non è per nulla semplice, soprattutto in un mondo iperconnesso come quello contemporaneo, in cui il marketing digitale si basa quasi interamente su algoritmi che elaborano i dati degli utenti a velocità incredibili. In particolare, oggi, vi parliamo della recente pronuncia del Garante per la Protezione dei Dati Personali (GPDP) in merito all’utilizzo di strumenti di analisi (nel caso specifico di Google Analytics) e il labile concetto di privacy.
Tentiamo quindi di fare chiarezza, anche e soprattutto per capire come le aziende possono muoversi, in questo mondo le cui regolamentazioni appaiono sempre più sfuggenti. Per farlo abbiamo tenuto come riferimento una recente intervista di Netcomm a Guido Scorza, Componente del Garante per la Protezione dei Dati.
Analytics e privacy: cosa c’è da sapere
A complicare un tema già complesso di suo, c’è il fatto che attualmente ogni Paese sta attuando le proprie contromisure, mentre in Europa si cerca di trovare una linea comune. In Italia, ad esempio, il GPDP ha recentemente attuato delle verifiche nei confronti di una specifica azienda editoriale. Questa ha utilizzato Google Analytics, nella sua versione gratuita, per un’indagine di natura statistica. In particolare, apprendiamo dal report del GPDP, i dati sono stati ottenuti mediante l’utilizzo di cookies, registrando le attività degli utenti su determinati siti web.
Tra questi dati, successivamente automaticamente trasferiti negli Stati Uniti (il provider, Google ha sede in California), anche l’indirizzo IP. Nasce qui una prima domanda: l’indirizzo IP è considerabile un dato personale? Secondo il Garante si, dato che con esso è possibile identificare il soggetto interessato, ricollegandolo alle attività svolte in rete. Questo utilizzo di Analytics, per il GPDP come per la Corte Europea, rappresenta una violazione della privacy. Prassi, infatti, non conforme al Regolamento 679/2016 (GDPR).
Il provvedimento per l’azienda in questione è stato l’obbligo di repentina sospensione del servizio in questione (Analytics). Ma il problema in realtà è più ampio, e non riguarda solo Google. I maggiori servizi di analisi di mercato hanno infatti quasi tutti sede negli Stati Uniti, e la difformità consiste proprio nel trasferimento di determinati dati (tutti quelli considerati personali) negli USA.
Qual è il confine reale tra privacy e dati di mercato?
In sostanza, sebbene come premesso i confini siano estremamente labili, possiamo riassumere la questione asserendo che il tracciamento delle attività in rete (tramite cookies) è assolutamente parte di una legittima indagine di mercato. A fini statistici, questi dati, servono a ottimizzare campagne di marketing e monitorare i flussi di movimenti sul web con finalità commerciali.
Ciò che determina una potenziale invasione della privacy è l’associazione tra attività registrate e utente. Qualsiasi informazione che permetta di identificare un utente (in questo caso l’indirizzo IP), è da considerarsi dato personale. In particolare, l’oggetto della discussione, riguarda il trasferimento dei dati personali negli Stati Uniti, dove le autorità europee non sono in grado di garantire la protezione dei dati in questione.
Le aziende italiane possono utilizzare tranquillamente Google Analytics per le proprie indagini?
Attualmente le aziende italiane possono utilizzare Google Analytics (o strumenti analoghi), dato che la discussione normativa è ancora aperta. Nel caso preso in analisi, il GPDP ha però intimato all’azienda di sospendere tutte le attività con il provider statunitense, predisponendo una successiva verifica entro 90 giorni. Siamo quindi in una sorta di limbo, sebbene sia chiaro che il problema sia nel settaggio degli strumenti di analisi, e non nell’utilizzo aziendale degli stessi.
A dibattere sul tema è anche e soprattutto la Corte di Giustizia Europea (CGUE), che nel 2020 ha definito come “illegittima” la normativa vigente negli USA. Questo vuol dire che il modo in cui vengono trattati i dati negli Stati Uniti non è conforme alle normative europee. Ecco perchè il trasferimento di dati personali verso gli US è considerato “non lecito”.
Nello specifico: il trasferimento dei dati personali al di fuori dell’Europa è regolamentato dal Capo V del GDPR. Questo disciplina i “trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali”, e prevede un ferreo elenco di requisiti da rispettare, affinchè la protezione dei dati in questione sia garantita anche al di fuori della giurdisdizione europea.
Analytics e privacy: come si esce dal limbo?
L’unica soluzione sembra essere quella dell’attesa. Appare infatti evidente che in un mondo sempre più globalizzato, sia necessaria una regolamentazione condivisa tra stati. Lo scorso 25 marzo è stato annunciato che il Presidente degli Stati Uniti e la Presidente della Commissione Europea avevano raggiunto una prima intesa politica sul punto.
Un eventuale accordo potrebbe cambiare, ancora una volta, gli equilibri e le strategie di marketing attualmente in uso. Ma questo è l’inevitabile prezzo da pagare per un mondo costantemente connesso.
- Il nuovo GDPR privacy dopo il D.Lgs. 10 agosto 2018, n.101. Guida teorica e pratica con schemi riassuntivi e modulistica dei principali adempimenti
- LIBRO ABIS
- LEGGE CHIARA
- Bassoli, Elena (Autore)
Rimani aggiornato seguendoci su Google News!
Da non perdere questa settimana su Techbusiness
📈 SAP NOW 2024 l'intelligenza artificiale per il business conquista Milano💸 Come calcolare il ritorno sugli investimenti nell’Intelligenza Artificiale
👨⚖️ Direttiva NIS2 e cybersecurity nelle PMI italiane obblighi e opportunità
🔫 Metà degli attacchi informatici in Italia prende di mira le supply chain
📰 Ma lo sai che abbiamo un sacco di newsletter?
📺 Trovi Fjona anche su RAI Play con Touch - Impronta digitale!
🎧 Ascolta il nostro imperdibile podcast Le vie del Tech
💸E trovi un po' di offerte interessanti su Telegram!