Se usi Google Analytics devi notificare al Garante (e spendere 150€)

07.06.2015 By 26 Comments

cmonster

CHIARIMENTO: Ciao! Questo post, nato come "trolling" al Garante, sta ricevendo più attenzione di quanto mi aspettassi. Vediamo un po’ di chiarire per bene il mio punto di vista. Secondo me la Notificazione è limitata ai soli soggetti palesemente dediti allo "svolgimento dell’attività di profilazione", quindi retargeting, remarketing, profilazione a tutto tondo. Non ai siti che usano semplicemente Analytics. MA – c’è sempre un MA – la definizione che viene data nei chiarimenti ufficiali contrasta PALESEMENTE e LOGICAMENTE con quanto qui sopra riportato. Nel dubbio vale la normativa (no notificazione se non fai attivamente profilazione), ma il cosiddetto chiarimento ha generato solamente scompiglio. E’ troppo auspicare un chiarimento che chiarifichi invece che gettare scompiglio?

Ho aspettato a scrivere alcunché sul provvedimento del Garante (il provvedimento sulla Cookie Law) semplicemente perché lo ritenevo ancora troppo farragginoso per comprendere esattamente cosa diavolo intendesse. Vi sono, infatti, una pletora di casi d’uso che (per ignoranza o leggerezza) il provvedimento non demarca in modo serio e compiuto, probabilmente solo per il fatto che cerca in tutti i modi di scrivere provvedimenti "tecnologici" in un "burocratichese": tanto sciocco quanto controproducente.

Comunque sia i miei dubbi, dopo gli ennesimi chiarimenti ufficiali dati dal Garante, sono finalmente svaniti. Se usate Google Analytics dovete pagare la notifica al Garante e spendere i 150 euro. Incontrovertibilmente. O almeno così si legge da cosa scrive il Garante. Ovviamente spero di essere smentito, anche perché la normativa dice una cosa molto diversa, ma come vedrete è l’unica soluzione razionale dopo i "chiarimenti" del garante.

Ma vediamo insieme perché: all’interno dei sopra-citati chiarimenti, il Garante spiega una volta per tutte come comportarsi con i Cookie Analitici. Lo spiega in modo chiaro e preciso grassetto mio):

"

Se i cookie analitici sono messi a disposizione da terze parti i titolari non sono soggetti ad obblighi (notificazione al Garante in primis) qualora:
A) siano adottati strumenti che riducono il potere identificativo dei cookie (ad esempio tramite il mascheramento di porzioni significative dell’IP);
B) la terza parte si impegna a non incrociare le informazioni contenute nei cookies con altre di cui già dispone.

Quindi, per NON essere soggetti alla notifica (quella dei 150€) è necessario quindi il concorso di due differenti precondizioni che devono sussistere simultaneamente: si deve ad un mascheramento o direttamente cancellazione degli IP ed al contempo i dati NON devono essere incrociati con altri.

Orbene, vediamo un po’ Google Analytics:

  • Il mascheramento degli IP non è lo standard di Google Analytics. Per attivarlo è necessario modificare manualmente i settaggi dello script da includere in tutte le pagine come viene spiegato qui. Questa operazione, inoltre, impatta negativamente sulla geolocalizzazione (ovviamente); Quindi "a scatola chiusa" e come lo state usando, Google Analytics non rispetta i prerequisiti del Garante per non necessitare di notifica
  • Le informazioni di Google Analytics vengono sistematicamente incrociate sia con l’account AdSense che con l’account AdWords. E non ci potete fare niente. Anche ammesso che seguiate le procedure per evitare la "condivisione delle informazioni", google ci tiene a sottolineare che "Se disattivi questa opzione (il collegamento, ndr), i dati possono comunque essere inviati ad altri prodotti Google collegati esplicitamente ad Analytics."

Google_Analytics

Quindi? Quindi se usate Google Analytics pare siate tenuti alla notifica e tenuti al pagamento. A meno che, ancora una volta, il Garante non esca con qualche altra rettifica che, invece di rettificare, getta ancora più scompiglio :)

Per finire, OVVIAMENTE siete altresì tenuti alla notifica e tenuti al pagamento qualora utilizziate ogni forma di pixel tracking" e/o retargeting che sia di Google, Facebook o Twitter. Sì, vale anche per i pixel di conversione delle campagne di Social Media.

Inutile dire, credo sia chiaro, che spero fortemente di essere smentito. Ma "rebus sic stantibus" è l’unica interpretazione possibile.

UPDATE 1: È assolutamente interessante vedere come procedono le conversazioni su questo tema sulla pagina Facebook: i due fronti contrapposti sostengono da un lato il fatto che rientrino nel comma 3 della direttiva, ma il testo delle "chiarificazioni" è completamente contrapposto a questa impostazione. Buffo, lo so, ma così è. Sono comunque d’accordo con gli amici giuristi che tra i due, il primo domina :) Estote parati.