Google Analytics (GA) utilizza cookie come _ga e _gid per distinguere i singoli utenti su un dominio. Questi cookie non sono classificati come strettamente necessari, attivando così i requisiti stabiliti dal Regolamento Generale sulla Protezione dei Dati (GDPR) e dalla Direttiva ePrivacy per il consenso esplicito dell'utente prima della loro installazione. Ciò è in linea con il principio secondo cui solo i cookie strettamente necessari sono esenti dagli obblighi di consenso (Parlamento Europeo e Consiglio, 2016).
I requisiti di consenso variano a seconda della giurisdizione all'interno dell'UE, come dimostrato dalle diverse interpretazioni e applicazioni da parte delle Autorità per la Protezione dei Dati (DPA):
- L’Information Commissioner’s Office (ICO) del Regno Unito classifica i cookie di analisi come non essenziali, richiedendo esplicitamente il consenso dell'utente prima di attivare i cookie di GA (ICO, 2020).
- La DPA tedesca richiede il consenso esplicito per i cookie di analisi solo se i dati vengono trasferiti a terzi, riflettendo un approccio più condizionale (BfDI, 2021).
- Autorità come la DPA austriaca, la CNIL francese e il Garante italiano hanno emesso decisioni secondo cui Google Analytics viola il GDPR, in particolare a causa di problemi di trasferimento dei dati e di garanzie insufficienti (CNIL, 2022; Garante, 2023).
Queste decisioni si concentrano su:
- Trasferimenti di dati verso paesi terzi, in particolare gli Stati Uniti, che non dispongono di decisioni di adeguatezza ai sensi del GDPR.
- Anonimizzazione o pseudonimizzazione insufficiente dei dati personali trasmessi ai server di Google.
- Assenza di basi giuridiche valide per il trattamento dei dati personali tramite GA senza un consenso esplicito.
Le implicazioni per i gestori di siti web sono significative:
- Devono ottenere un consenso esplicito e informato prima di installare i cookie di GA.
- Dovrebbero valutare se il loro uso di GA è conforme alle linee guida delle DPA specifiche per giurisdizione.
- Alternative o misure aggiuntive (ad es. tracciamento lato server, anonimizzazione avanzata) potrebbero essere necessarie per garantire la conformità.
In sintesi, l'uso di Google Analytics ai sensi del GDPR non è esente dai requisiti di consenso, con forti segnali normativi da parte di diverse DPA che sottolineano la necessità del consenso esplicito a causa dei rischi per la privacy legati all'uso dei cookie e ai trasferimenti di dati transfrontalieri. La non conformità può portare ad azioni normative, incluse sanzioni.
