Iscriviti alla newsletter e ricevi la guida alla crezione della scheda di conformità industria 4.0.
Notizie

GDPR e Google Analytics e IP

Con l’arrivo del GDPR sono ritornate alla ribalta le problematiche dei cookie e del consenso al loro utilizzo. E’ da notare, prima di iniziare qualsiasi discorso, che il GDPR tratta la protezione dei dati personali e non sostituisce la Direttiva 2002/58/EC (e-Privacy Directive o EPD) che ogni paese dell’unione europea ha fatto propria con una legge e che riguarda anche l’utilizzo dei cookie. Questa direttiva è in fase di revisione e dovrebbe entro il 2018 essere sostituita con un regolamento. Da tenere d’occhio.

Il GDPR (Regolamento 2016/279) ci dice: per trattare i dati personali devi avere una base legale (ve ne sono 7 a disposizione) e poi devi seguire una serie di criteri durante il trattamento.

Quando si parla di Google Analytics, nel rispetto del GDPR, dobbiamo quindi chiederci quali dati personali andiamo a trattare, su quale base e con quali modalità. Ricavate queste informazioni andremo a verificare se sono compatibili o meno con il GDPR.

Nel caso di Analytics (se non sono attive funzionalità avanzate), il dato personale è l’indirizzo IP.

Indirizzo IP come dato personale

Può sembrare strano che l’indirizzo IP sia considerato dato personale ed è ragionevole avere questo dubbio. L’indirizzo IP identifica univocamente un dispositivo nel periodo in cui quello specifico indirizzo gli è stato assegnato. In alcuni casi l’indirizzo è assegnato temporaneamente, in alcuni casi è assegnato in modo permanente.

Ma, come detto, l’indirizzo identifica un dispositivo non una persona. Pensate ad un banale router ADSL da casa: il modem ha un indirizzo IP mentre tutti i dispositivi (pc, telefoni, …) che lo utilizzano per comunicare hanno un indirizzo interno, privato, ed escono pubblicamente con quello del router che si occupa di fare una mappatura (natting).

Eppure l’opinione della commissione europea è chiara sull’indicazione di dato personale ed in particolare dell’indirizzo IP. Non trovate queste interpretazioni nella legge, che è più generale, quindi  come si giunge a questa interpretazione?

Un esempio

Si possono proporre più soluzioni. Immaginiamo che l’azienda X acquisisca delle informazioni sull’indirizzo IP 12.34.56.78 in un certo istante riguardo la navigazione di un utente in un sito di prestiti.

La stessa azienda, in altro modo, vede che un suo utente Pippo sta consultando la posta attraverso un suo servizio sempre in quel momento e con lo stesso indirizzo IP. Si potrebbe costruire una relazione (magari rafforzata da altre informazioni) per cui la navigazione nel sito di prestiti è associabile alla persona fisica Pippo. Ecco che l’IP è diventato un dato personale perché ha permesso di identificare una persona fisica.

Come vedete la legge è scritta in modo da contemplare proprio i casi di analisi spinta dei dati che i grandi player online (USA) fanno da moltissimo tempo che li ha portati a dominare il mercato.

Giusto per non lasciare nulla al caso, il commento 30 del GDPR dice:

Le persone fisiche possono essere associate a identificativi online prodotti dai dispositivi, dalle applicazioni, dagli strumenti e dai protocolli utilizzati, quali gli indirizzi IP, a marcatori temporanei (cookies) o a identificativi di altro tipo, come i tag di identificazione a radiofrequenza. Tali identificativi possono lasciare tracce che, in particolare se combinate con identificativi univoci e altre informazioni ricevute dai server, possono essere utilizzate per creare profili delle persone fisiche e identificarle.

Questo ci indica di evitare di imbarcarsi nel tentativo di dire che l’IP non sia un dato personale, per quanto tecnicamente sostenibile, non lo sarebbe giuridicamente. Resta inteso che questa è una indicazione generale, se poi si discute un caso particolare può benissimo essere che in quel contesto l’indirizzo IP non identificasse una persona.

Google Analytics e l’indirizzo IP

Google Analytics raccoglie l’indirizzo IP, ed essendo un dato personale, secondo il GDPR noi lo stiamo trattando e lo stiamo facendo con il passaggio del dato a terzi (non la cessione che è altra cosa).

Ora ci serve sapere quale sia la base legale che possiamo utilizzare per fare questo. Dobbiamo chiedere il consenso? È una necessità contrattuale? È un obbligo di legge? È un legittimo interesse? Nessuno cita mai questo ultimo importante punto del GDPR, ma vale la pena soffermarcisi un po’ su. Dal commento numero 47 del GDPR (non dall’opinione dell’amico del cugino…).

I legittimi interessi di un titolare del trattamento, compresi quelli di un titolare del trattamento a cui i dati personali possono essere comunicati, o di terzi possono costituire una base giuridica del trattamento, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato, tenuto conto delle ragionevoli aspettative nutrite dall’interessato in base alla sua relazione con il titolare del trattamento. Ad esempio, potrebbero sussistere tali legittimi interessi quando esista una relazione pertinente e appropriata tra l’interessato e il titolare del trattamento, ad esempio quando l’interessato è un cliente o è alle dipendenze del titolare del trattamento. In ogni caso, l’esistenza di legittimi interessi richiede un’attenta valutazione anche in merito all’eventualità che l’interessato, al momento e nell’ambito della raccolta dei dati personali, possa ragionevolmente attendersi che abbia luogo un trattamento a tal fine. Gli interessi e i diritti fondamentali dell’interessato potrebbero in particolare prevalere sugli interessi del titolare del trattamento qualora i dati personali siano trattati in circostanze in cui gli interessati non possano ragionevolmente attendersi un ulteriore trattamento dei dati personali. […] Costituisce parimenti legittimo interesse del titolare del trattamento interessato trattare dati personali strettamente necessari a fini di prevenzione delle frodi. Può essere considerato legittimo interesse trattare dati personali per finalità di marketing diretto.

L’indirizzo IP potrebbe essere legittimamente trattato (senza il consenso) per prevenire le frodi, ma sotto questo cappello mi permetto di aggiungere anche di prevenire attacchi DOS, DDOS, utilizzo improprio del sito e altre azioni illecite.

Trattare l’indirizzo IP potrebbe essere anche un obbligo di legge ed in calce trovate un caso reale che dà spazio a molti ragionamenti.

Ed il trattamento per fini statistici?

La domanda è: può essere legittimo interesse della mia attività utilizzare l’indirizzo IP ai fini statistici attraverso Google Analytics? E questo trattamento, nelle modalità in cui io lo faccio, prevale forse gli interessi personali dell’individuo? Successivamente trovate un esempio di quello che potrebbe essere stato un legittimo interesse che, se non adottato, avrebbe messo in grossa difficoltà una piccola azienda.

Supponiamo che io decida di trattarlo. Il come lo tratto determina se lo sto facendo a norma e se sto potenzialmente prevalendo i diritti dell’interessato.

Nel caso di Google Analytics, il dato non viene incrociato con altre informazioni (farà parte del trattamento dati che voi sottoscrivete con Google Analytics come data processor), Google è certificato ISO 27001 e fornisce molte garanzie sul trattamento dei dati che gli vengono consegnati (memorizzazione, accesso, durata della memorizzazione, …).

Inoltre tra Europa e USA (dove finisce il dato) è in essere il Privacy Shield che, anche se non perfetto, fornisce ulteriori garanzie (se mandate i dati in Cina probabilmente non sono in essere regole da ritenere l’operazione sicura per i vostri utenti).

Tutte queste informazioni servono per decidere se il trattamento è fatto in modo corretto nel rispetto dei diritti dell’utente. Sarà sostenibile una causa legale perché ho passato l’indirizzo IP di chi naviga nel sito a Google Analytics?

Anonimizzazione

Passiamo alla parte interessante. A che cosa serve in Google Analytics l’indirizzo IP? Serve alla geolocalizzazione, cosa che è fondamentale per qualsiasi business degno di questo nome.

Non sapere da deve arrivano visitatori o clienti può portare a degli enormi svantaggi.

Ma per geolocalizzare si potrebbe, senza troppa perdita di precisione, utilizzare un IP anonimizzato. Un IP anonimizzato è un indirizzo “troncato”, ovvero si passa da 12.34.56.78 a 12.34.56. In questo modo non è neanche più identificabile il dispositivo di rete collegato, quindi tanto meno la persona fisica.

Se volete provare voi stessi l’effetto dell’anonimizzaizone, divertitevi con la geolocalizzazione di Maxmind usando il vostro IP completo e la versione con uno 0 alla fine.

Google Analytics permette in modo semplice di anonimizzare gli indirizzi IP. Usando quindi questa tecnica, non vi sarà più passaggio di dati personali e quindi nessun trattamento e quindi nessun problema con il GDPR.

Cosa si va a perdere? Non è possibile saperlo a priori, sicuramente la geolocalizzazione sarà meno precisa. Possiamo immaginare che se ci interessa la provenienza del traffico da Milano, non cambierà nulla. Per le aree di provincia potrebbero esserci imprecisioni maggiori, ma già adesso la geolocalizzazione con IP fuori dalle grosse città è affidabile a livello di regione non di sicuro di piccolo paese. E’ quindi presumibile che non cambi realmente la qualità dei nostri dati.

Nota: c’è sempre il cookie di Analytics usato per costruire le sessioni ed in visitatori unici. E’ però un cookie di prima parte, quindi legato al dominio del sito e non disponibile su altre sorgenti di informazioni come lo è un indirizzo IP.

Non finisce qui

Tutto ciò non basta, perché sicuramente salterà fuori qualcuno a fare altre considerazioni ed interpretazioni. Leggetevi anche i commenti 74, 75 e 76 del GDPR, dove si chiede di valutare il rischio concernente al trattamento di un dato personale ed anche in base a questo decidere se e come procedere.

Un elemento sempre presente nei siti è il form contatti: cosa fare con il GDPR?

I casi

Vi avevo promesso due casi particolari di cui sono stato spettatore e che sono interessanti proprio nell’ottica dei trattamenti dati.

Lo stalker

Un persona inizia ad essere bombardata di email e anche di telefonate che rispondono a sui richieste di preventivi, offerte di prodotti, prenotazioni viaggi e tutto quello che vi può venire in mente (anche appuntamenti di un certo tipo).

Ovviamente non è lei a fare queste richieste ma è uno che in questo modo e per qualche motivo vuole rompere le scatole. Questo atteggiamento se insistente e ripetuto è un reato penale.

La povera vittima inizia a raccogliere informazioni da chi l’ha contattato, ovviamente con la relativa denuncia ad ignoti, e fortunatamente ottiene molte volte l’indirizzo IP da cui sono partite le richieste a suo nome. Questo indirizzo incrociato con i tabulati del fornitore di connettività portano a scovare lo stalker.

Se nessuno avesse memorizzato l’indirizzo IP, sarebbe stato impossibile. Ecco che sussiste una base giuridica (il legittimo interesse) a memorizzare l’indirizzo IP di chi interagisce con il mio sito perché lo può utilizzare illecitamente un servizio che ha tutt’altro fine.

I dollari

Una piccola azienda campa vendendo un prodotto digitale in tutto il mondo. Dopo un aggiornamento minore del sito, dalla mattina alla sera, trova le vendite dimezzate. Il traffico è lo stesso, il sito non ha subito cambiamenti tali da giustificare il calo repentino di vendite, non sono comparse recensioni negative o altro.

Viene una idea: si va su Google Analytics e si incrociano il numero di conversioni per zona geografica. Lo possiamo fare perché passiamo a Google l’indirizzo IP. Subito non si vede nulla, ma spaccando il dato per paese, il crollo è palesemente riferibile agli USA e solo agli usa. Perché? Il prezzo è sempre lo stesso, il prodotto è sempre lo stesso, il modo di acquisto è sempre lo stesso.

Allora cerchi un proxy libero statunitense e guardi il sito come se fossi negli USA. Eureka! Il prezzo compare in euro invece che in dollari. Tutto qua, un sciocco errore JavaScript che era invisibile lavorando dall’Italia.

Ecco che il legittimo interesse ad utilizzare l’indirizzo IP permette ad una azienda di non rovinarsi. E se avesse tolto Analytics per paura del GDPR?


Resta aggiornato, iscriviti alla newsletter

About the author

stefano

Leave a Comment