Il prossimo 25 maggio entrerà pienamente in vigore il Regolamento UE 2016/679 relativo alla “protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati”.
La piena applicazione del GDPR e delle sanzioni per chi lo viola, ha forti implicazioni anche sui servizi web. Sono infatti molti gli strumenti web based che prevedono la raccolta e gestione dei dati personali degli utenti. Tra questi Google Analytics, il tool usato universalmente per monitorare e analizzare l’andamento di un sito web quanto a visite, fonti di accesso, comportamenti e molto altro. Si tratta di una risorsa gratuita messa a disposizione dal motore di ricerca più usato al mondo, attualmente dal 69,7% di utenti da desktop e dall’89,25% degli utenti da mobile (dati netmarketshare.com di aprile 2018). Cos’è il GDPR e come è possibile adeguare i servizi di Google? Vediamolo insieme.
GDPR: a chi si applica
La nuova disciplina, definita ormai con l’acronimo di GDPR, abroga la precedente ed è centrata sui diritti degli utenti a veder trattati i propri dati personali sulla base del consenso esplicito e, conseguentemente, viene definita la nuova disciplina sulla privacy.
L’articolo 2 del GDPR ne individua l’ambito di applicazione, che riguarda:
- aziende, professionisti, istituzioni pubbliche e private che effettuano il trattamento – automatizzato interamente, parzialmente o tramite supporti cartacei – di dati personali contenuti in un archivio o destinati a essere archiviati e trattati.
Il Regolamento prevede alcune esclusioni nell’applicazione della nuova disciplina:
- il trattamento di dati effettuato da una persona fisica per l’esercizio di attività a carattere esclusivamente “personale o domestico”;
- il trattamento di dati effettuato dalle autorità competenti a fini di prevenzione, indagine, accertamento o perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro minacce alla sicurezza pubblica e la prevenzione dei reati.
La nuova disciplina riguarda i soggetti che:
- hanno uno “stabilimento” nell’Unione Europea, se il trattamento riguarda l’attività che viene svolta nello stabilimento. In questo caso non rileva la nazionalità dell’utente interessato dal trattamento né importa che vengano offerti servizi o beni nell’Unione;
- oppure uno stabilimento fuori dall’Unione Europea svolgono attività di trattamento dei dati, quanto a gestione, raccolta, monitoraggio e profilazione, o propongono beni e servizi nell’Unione Europea destinata a utenti dell’UE.
Il concetto di stabilimento contempla l’avere un rappresentante sul territorio europeo o lo svolgimento di attività di trattamento dei dati in una nazione del SEE, lo spazio economico europeo composto dai 28 Paesi europei oltre a Islanda, Liechtenstein e Norvegia.
In breve, il GDPR è orientato a garantire la protezione dei dati personali e il loro trattamento, sulla base del consenso esplicito, reso o negato dai singoli utenti, responsabilizzando i titolari dei dati, secondo il concetto di accountability, a valutare i rischi di una diffusione indiscriminata dei dati gestiti e assumere le iniziative conseguenti.
GDPR: come prepararsi
Una vera novità rispetto alla normativa precedente è che il GDPR è ispirato al concetto di **privacy by design. **In sostanza l’obiettivo della protezione dei dati deve essere perseguito fin dalla fase di progettazione dei sistemi di raccolta, archiviazione e trattamento, orientati alla tutela degli utenti.
La valutazione d’impatto
L’articolo 35 del GDPR introduce la valutazione dell’impatto del trattamento in ordine alla necessità, proporzionalità e rischi nella gestione di alcune tipologie di dati, per programmare le opportune misure di sicurezza.
Si tratta del PIA, o Privacy Impact Assessment, che è alla base delle regole introdotte dal GDPR. Nei casi in cui vengano trattati dati che presentano un grado di rischio elevato o dati sensibili è opportuno analizzare l’impatto della protezione dei dati attraverso un DPIA, o Data Protection Impact Assessment, per verificare gli aspetti relativi alla sicurezza nella conservazione e trattamento e programmare le azioni conseguenti.
GDPR: come adeguarsi
L’art. 32 del General Data Protection Regulation definisce le misure da implementare per garantire il trattamento dei dati con un livello di sicurezza adeguato.
Dunque nessuna linea guida o check list, ma concetti da applicare nella elaborazione della politica aziendale sul trattamento dei dati, a livello tecnico e organizzativo, derivante dalla valutazione d’impatto. Si tratta in sostanza di mettere in atto quattro elementi fondamentali, così come elencati dal citato art. 32 del GDPR:
- la pseudonimizzazione e la cifratura dei dati personali;
- la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
- la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;
- una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
Tali azioni devono essere programmate “tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche.
Dunque, in qualche modo, il titolare del trattamento deve adottare soluzioni che mettano in relazione i rischi della diffusione non autorizzata dei dati, in base alla natura degli stessi, e i costi per l’adozione di misure, processi e sistemi di sicurezza e gestione.
Il Data Controller e il Data Processor
Il Regolamento individua due figure essenziali per il rispetto della normativa, ecco una loro definizione:
- ll Data Controller, o DCO, che in Italia è il titolare del trattamento. é il soggetto – persona fisica, giuridica o organizzazione pubblica e privata – che stabilisce gli obiettivi e le modalità del trattamento, ed è responsabile giuridicamente dell’ottemperanza degli obblighi previsti dal GDPR;
- Il Data Processor, o DPO, responsabile del trattamento, è nominato dal Data Controller ed è la persona fisica, giuridica, pubblica amministrazione o ente che si occupa della elaborazione e gestione dei dati personali per conto del Data Controller, con il quale ne condivide la responsabilità.
Cosa è il Registro dei trattamenti
L’art. 30 del GDPR introduce l’obbligo di dotarsi di un nuovo strumento: il Registro dei trattamenti. In sostanza i titolari e i responsabili del trattamento dei dati personali – ad eccezione delle imprese e organizzazioni che hanno meno di 250 dipendenti, qualora non effettuino trattamenti ad alto rischio – sono tenuti a compilare un registro di tutte le attività di trattamento dei dati svolte. Lo strumento è compilabile in forma cartacea o elettronica e deve essere messo a disposizione dell’Autorità garante della Privacy per eventuali controlli.
Cosa contiene il Registro dei trattamenti
Il GDPR prevede che il registro del trattamento dati contenga tra l’altro:
- Il nome e i dati di contatto del titolare del trattamento e, se presente, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati;
- Le finalità del trattamento;
- La descrizione delle categorie di interessati e delle categorie di dati personali;
- Le categorie di destinatari a cui i dati personali siano stati o saranno comunicati, compresi i destinatari di paesi terzi;
- Se presenti, i trasferimenti di dati personali verso paesi terzi e la loro identificazione;
- I termini ultimi previsti per la cancellazione delle diverse categorie di dati;
- Una descrizione generale delle misure di sicurezza tecniche e organizzative.
Di fatto il registro dei trattamenti documenta la conformità del trattamento dati rispetto alle prescrizioni del GDPR responsabilizzando il data processor e il data controller relativamente ai trattamenti svolti per conto del titolare.
La protezione dei dati fuori dalla UE: il Privacy Shield EU-USA
Tema non secondario in un contesto economico globalizzato è quello della protezione dei dati dei cittadini europei utilizzati da aziende statunitensi. La tutela dei dati è stata oggetto nel 2016 di un accordo tra Commissione Europea e Dipartimento del Commercio degli Stati Uniti relativo alla riservatezza dei dati personali dei cittadini europei e al trasferimento dei database a scopo commerciale negli Stati Uniti.
Il GDPR rende ancora più stringenti gli obblighi di protezione dei dati personali, tanto che si prevede una nuova stesura dell’accordo per recepire nella sostanza la regolamentazione europea, con spirito di reciprocità rispetto a quella d’oltreoceano.
GDPR: le sanzioni
Il mancato rispetto del GDPR prevede importanti sanzioni, molto più rilevanti di quelle previste dalla precedente normativa.
Alle sanzioni penali si sommano quelle pecuniarie, che possono raggiungere i 10 milioni di euro o, se superiore, il 2% del fatturato a livello mondiale in molti casi, tra i quali ad esempio, la:
- violazione delle condizioni applicabili al consenso dei minori in relazione ai servizi della società dell’informazione;
- violazione dell’obbligo di nomina del DPO;
- mancata applicazione di misure di sicurezza dei dati.
Le sanzioni amministrative possono salire fino a 20 milioni di euro e raggiungere una somma pari al al 4% del fatturato dell’azienda su base mondiale, qualora si violi:
- l’osservanza di un ordine, di una limitazione provvisoria o definitiva concernente un trattamento, imposti da un’Autorità nazionale competente;
- si effettui il trasferimento illecito di dati personali ad un soggetto che opera in un Paese terzo.
Google e il GDPR
Il GDPR ha forte impatto sui siti web e sui prodotti proposti da Google per il loro monitoraggio e implementazione. è della fine di aprile una dichiarazione del CEO di Google Inc., Sundar Pichai, che ha risposto ai timori degli azionisti sostenendo che non ci sarà “alcun effetto negativo, perché stiamo lavorando, duramente, alla compliance del GDPR da 18 mesi. Non siamo preoccupati, perché la maggior parte della nostra attività pubblicitaria proviene dalla ricerca su Google, attraverso le parole chiave, per mostrare annunci o prodotti pertinenti”.
In effetti i prodotti di Google, come G Suite e Google Cloud, hanno recentemente aggiornato i termini contrattuali di utilizzo, in conformità con il GDPR. La questione tuttavia non è risolta con le sole modifiche agli accordi contrattuali.
Google sta infatti elaborando proposte di paid advertising che elimineranno completamente la possibilità di rivolgersi a una target audience personalizzata. Si intacca pertanto dalle fondamenta uno degli elementi più apprezzati dai marketer, alla base del business di Google, che permette di pubblicare annunci targettizzando il pubblico di riferimento per tutti i prodotti Google Ads, grazie ai cookie.
L’advertising di Google non opera infatti solo sulla base delle keyword, come afferma Pichai, ma soprattutto sulla possibilità di mostrare gli annunci solo agli utenti in target, profilati dai sistemi di data analytics di Mountain View o del cliente. La necessità di ottenere e conservare il consenso esplicito dei singoli utenti al trattamento dei dati ne complica infatti il loro utilizzo.
Google Analytics e il rispetto del GDPR
Tra i tool offerti dal colosso californiano, Google Analytics è uno dei più diffusi e apprezzati. La piattaforma è molto utile per effettuare l’analisi delle prestazioni di un sito web, del pubblico che lo visita e dell’efficacia delle campagne di advertising, tracciando il comportamento degli utenti.
La prima questione da considerare da chi utilizza Google Analytics è che Google svolge il ruolo di Data Processor, mentre il soggetto utilizzatore è in effetti il Titolare del trattamento, dunque ne ha la piena responsabilità riguardo al loro utilizzo e archiviazione.
Ecco quindi alcune attività da effettuare per continuare ad avvalersi di Google Analytics:
Confermare l’accettazione del DPA
Nella voce Impostazione dell’account di Google Analytics si deve confermare che l’utilizzatore accetta i Google Ads Data Processing Terms, che sono stati recentemente aggiornati proprio per adeguarli al GDPR.
Aggiornare il sito web pubblicando una nuova informativa sulla privacy
è necessario aggiornare l’informativa relativa al trattamento dei dati, nella quale sarà indicato che il tool di Google Analytics raccoglie i dati e li elabora, inserendo il link al contenuto di Google “Modalità di utilizzo dei dati da parte di Google quando si utilizzano siti o app dei nostri partner”. Si dovrà informare gli utenti che il sito si avvale dei cookie per la raccolta di dati e ottenere il consenso esplicito al loro utilizzo da parte di Google.
Nella informativa breve si dovrà specificare che il sito utilizza cookie di terze parti per migliorare l’esperienza degli utenti e le funzionalità del sito. Nel caso in cui Google Analytics sia collegato alla piattaforma AdWords si deve renderlo noto all’utente, inserendo l’informazione nella policy sull’utilizzo dei cookie il fatto che questi non sono utilizzati solo per finalità di carattere tecnico, ma per attività di profilazione, al fine di creare nuove audience.
Il GDPR non prevede più la notifica di alcune specifiche tipologie di trattamento al Garante dei Dati Personali, in quanto onerosa e complessa, tuttavia nei prossimi mesi le Autorità nazionali, dunque per l’Italia il Garante della privacy, potrebbero reintrodurre la notificazione per alcune categorie di dati particolarmente sensibili.
Gestire il consenso esplicito, tra opt-in e opt-out
Il GDPR evidenzia che il semplice ok sulla policy dei cookie, come la tipica Google Analytics opt-in, non è più adeguata. Si rende dunque necessario raccogliere il consenso esplicito prima di avviare il tracciamento di Google Analytics. Allo stesso modo bisogna mettere in evidenza nella policy le modalità per negare il consenso da parte dell’utente – in modo chiaro, dettagliato e per ogni browser – all’utilizzo dei cookie e quindi al tracciamento. Altra facoltà da segnalare esplicitamente all’utente è quella di poter revocare il consenso all’utilizzo dei cookie anche successivamente alla sua accettazione.
L’indirizzo IP, l’Email e l’anonimizzazione
Anche l’indirizzo IP dell’utente è considerato un PII, o personal identifiable indicator ai fini del GDPR ed è utilizzato da Google nella fase di elaborazione dei dati, i cui tecnici potrebbero comunque avvalersene. Si rende quindi necessario rendere anonimo l’IP, senza perdere in ogni caso uno degli elementi utili raccolti attraverso l’Internet Protocol address, ovvero la localizzazione, che non dovrebbe esserne troppo penalizzata rispetto al sistema attuale.
Pertanto, è consigliabile attivare la funzione di anonimizzazione IP in Google Analytics. è necessario quindi apportare una modifica al codice.
- Per chi utilizza Google Tag Manager, è sufficiente modificare il tag o la variabile Impostazioni di Google Analytics facendo clic su Altre impostazioni -> Campi da impostare e quindi aggiungi un nuovo campo denominato “anonymizeIp” con un valore di “true”.
- Se non non si utilizza Google Tag Manager si deve verificare che il sistema di gestione dei tag adottato preveda questa opzione oppure sarà necessario intervenire direttamente sul codice.
Effettuata una delle due azioni, Google rende anonimo l’indirizzo IP rimuovendo l’ultimo ottetto – così è denominata ogni porzione di tre cifre dell’IP address – prima che ne venga avviata la memorizzazione o l’elaborazione e sostituendo l’ultima porzione con lo 0. google garantisce che, una volta abilitate queste funzionalità, l’indirizzo IP completo non verrà mai registrato.
Anche l’indirizzo email dell’utente costituisce un PII, perché lo si utilizza in genere per rendere univoci i dati della navigazione rispetto ai dispositivi che utilizza. L’indirizzo email dovrà quindi essere criptato, senza tuttavia perdere la possibilità di seguire il customer journey cross device del singolo utente.
Google Analytics e le nuove funzioni relative al GDPR
Oltre ad aver modificato i termini contrattuali, Google ha già introdotto funzioni granulari relative ai dati che consentono di gestire la durata della loro conservazione sui server di Mountain View. A partire dal 25 maggio 2018 Google Analytics sarà in grado di eliminare automaticamente i dati relativi agli utenti e agli eventi più vecchi rispetto al periodo di conservazione selezionato dall’utilizzatore.
Infine Google ha dichiarato recentemente che è in fase di test un nuovo strumento di eliminazione degli utenti che consente di gestire la cancellazione di tutti i dati associati a un singolo utente che abbia esercitato il diritto alla cancellazione, dalle proprietà di Google Analytics e Analytics 360. Questo nuovo strumento automatizzato funzionerà sulla base di uno degli identificatori comuni inviati all’ID cliente di Analytics, cioè cookie di prima parte di Google Analytics, evitando le troppe azioni manuali svolte fino ad oggi dal gestore di Google Analytics.
Come fare per rispettare il GDPR
La nuova regolamentazione sulla tutela degli utenti e dei loro dati personali è materia complessa, che va affrontata con adeguato supporto legale e tecnico.
è quindi consigliabile avvalersi di un unico soggetto che integri la consulenza legale specifica sui temi della privacy e quella tecnica, legata alla gestione dei cookie, delle piattaforme CRM e delle attività di lead generation, dei linguaggi di programmazione e degli strumenti di data security. Nessuna azienda può rinunciare alla gestione dei database dei lead, delle transazioni e di clienti e fornitori e dei dati che costituiscono la vera ricchezza per lo sviluppo di ogni attività imprenditoriale.
Se ben gestito, il rispetto del GDPR può trasformarsi da adempimento percepito come costoso e complesso, in una opportunità di business.
