GDPR e Google: cosa sapere e (soprattutto) cosa fare

Questo post è dedicato agli utenti aziendali di Google. Le imprese che hanno adottato i prodotti di Mountain View devono sapere se la loro scelta risponde ai requisiti sulla privacy. Google e GDPR, il nuovo regolamento europeo sulla protezione dei dati, sono compatibili?

Nel 2006 ho attivato la posta aziendale su Gmail. Una scelta dettata dall’estrema semplicità e dalla solidità di questa soluzione. La suite di Google Apps (ora G Suite) offre una serie di strumenti collaborativi integrati fra loro: Google Drive, Google Calendar e Google Documents per citare i più conosciuti.

Hai un account Gmail? Avrai sicuramente ricevuto un avviso che ti informa su ciò che Google sta facendo per uniformarsi al GDPR. Ma quali sono questi cambiamenti? E soprattutto: cosa devo fare io, utente, per adeguarmi alla normativa?

DISCLAIMER – Questo post contiene pareri basati sulla mia esperienza personale. Non fornisco indicazioni con valore legale. La materia è in continua evoluzione ed è consigliabile l’assistenza di un consulente esperto.

Cosa fa Google per rispettare le leggi sulla privacy?

L’entrata in vigore del GDPR, a maggio 2018, è un’opportunità preziosa. È un motivo valido per verificare, ancora una volta, se la scelta che ho compiuto anni fa è stata corretta: affidare a Google i miei dati aziendali.

Su Gmail passa la corrispondenza dei miei clienti. Su Google Calendar organizzo, insieme ai miei collaboratori, i piani editoriali dei blog che gestiamo. Su Google Drive condivido le informazioni. I miei dati sono al sicuro?

Google sembra essere sul pezzo e ha mandato un’email per informare gli utenti (vedi l’immagine qui sotto). In particolare segnala l’aggiornamento delle norme relative al consenso degli utenti UE, e le modifiche ai termini del contratto che devono essere sottoscritte.

In realtà l’informativa non si limita a comunicare i cambiamenti in atto in Google. Ci ricorda anche le responsabilità degli utenti che derivano dalle nuove norme. In particolare sull’ottenimento del consenso al trattamento dei dati per i residenti nello spazio economico europeo.

Google dedica a questo argomento una pagina sulla tutela di aziende e dati. In sintesi, Google metterà in atto tutte le azioni possibili per garantire l’adeguamento al GDPR e, soprattutto, per migliorare l’esperienza dell’utente in relazione alla privacy. Vediamo in dettaglio i punti principali.

Nessuno strumento informatico può garantirti, in assoluto, l’adeguamento alle leggi sulla privacy. Occorre mettere in atto le procedure e le azioni necessarie per garantire, noi per primi, la protezione dei dati. Tu sei il primo responsabile. Poi devi pretendere da Google che faccia la sua parte.

I controlli e le certificazioni di Google

In vista della prossima scadenza che renderà attivo e applicabile il GDPR, Google comunica i controlli di sicurezza a cui sottopone i propri servizi. In particolare ci informa che sono conformi agli standard internazionali, come ISO e SSAE16/ISAE 3402.

La verifica della conformità è un obbligo per una società come Google che ha milioni di utenti in tutto il mondo. In effetti da Mountain View non mi aspetterei nulla di meno e, dal punto di vista delle certificazioni, ho le risposte che attendevo.

Come aggiornare i termini contrattuali per gli utenti G Suite

Nel frattempo Google richiede agli utenti di leggere e accettare le modifiche contrattuali relative all’adeguamento al GDPR. Nello specifico si tratta dell’emendamento sull’elaborazione dei dati. L’adesione ai nuovi termini del servizio è attivabile dal Profilo aziendale > Profilo della console di amministrazione.

Ho letto l’emendamento e, in sostanza, Google mette a conoscenza gli utenti dei propri diritti e del modo in cui sta trattando i dati. Specialmente quelli che sono oggetto di trasferimento di dati al di fuori della UE. In tal caso l’utente potrà richiedere informazioni e Google si impegna a proporre sistemi di trasferimento alternativi.

Il documento è complesso e articolato. Per fare una valutazione dovrei avere delle competenze legali di cui non sono in possesso. In ogni caso Google sta approntando modifiche e richiede il mio consenso, informandomi su aspetti che, oggettivamente, mi interessano.

Come registrare un responsabile della protezione dei dati o rappresentante UE

Se la tua impresa è soggetta all’obbligo di nominare un DPO (responsabile della protezione dei dati), un rappresentante UE o entrambi, devi comunicare i dati a Google. Questo è possibile accedendo alla sezione Profilo aziendale > Informazioni legali e sulla conformità.

La nomina del DPO è richiesta solo in alcuni casi. In ogni caso ti consiglio di farti assistere da un legale per verificare se la tua attività rientra in tale obbligo.

Il contratto di società in affari HIPAA per G Suite/Cloud Identity è valido per il clienti soggetti ai requisiti HIPAA (Health Insurance Portability and Accountability Act), G Suite e Cloud Identity sono in grado di supportare anche la conformità HIPAA.

Le comunicazioni sugli incidenti e interruzioni di servizio

Gli utenti G Suite possono accedere a questa pagina pubblica che comunica, in tempo reale, le eventuali interruzioni di servizio. Questi dati sono utili per informare gli utenti dei disservizi in corso.

Il fine della console di monitoraggio è chiaro: essere trasparenti e fornire ai clienti informazioni utili per attivare misure alternative di comunicazione. I servizi in cloud hanno la caratteristica di essere usufruibili via internet (nella maggior parte dei casi). Per cui il requisito di essere on line è fondamentale.

Google e la trasparenza verso gli utenti

Già da tempo Google offre la sezione My Activity, dove ritrovo le mie ricerche e l’utilizzo dei vari servizi. Tramite l’Account personale gestisco in autonomia aspetti rilevanti della mia privacy, come il diritto all’oblio e l’eliminazione dell’account Google.

Uno dei punti richiesti dal GDPR è quello di garantire l’accesso ai dati delle persone, come la possibilità di creare una copia dei proprie informazioni. La funzione scaricare i dati del mio account Google garantisce questo diritto.

C’è poi la sezione dove vengono elencati le tipologie di dati che Google conserva e per quali finalità. Oltre alle sezioni dedicate al controllo e alla sicurezza ti segnalo quella che descrive il funzionamento degli annunci.

In particolare Google assicura che le mie informazioni non saranno vendute a nessuno e che serviranno per mostrarmi annunci che potrebbero essere di mio interesse. Come la penso? Spero sia come dicono. Se così non fosse, come nel caso dello scandalo di Cambridge Analytica, che ha coinvolto Facebook, qualcuno dovrà pagarne le conseguenze.

Il trasferimento dei dati all’estero

La responsabilità per il trattamento dei dati è sia di Google che dell’utente G Suite che ha sottoscritto l’accordo di utilizzo. Il trasferimento dei dati personali nelle piattaforme cloud di Google non esenta dalla responsabilità di controllo. Inoltre non esula dall’obbligo di adottare tutte le misure necessarie per garantire l’adeguamento con il regolamento europeo.

In modo particolare si evidenzia il caso in cui i dati non sono residenti su server situati all’interno dell’Unione europea. I servizi cloud di Google, come Gmail, si appoggiano a diversi datacenter situati in diverse parti del mondo.

Sedi dei data center Google – Aggiornamento Aprile 2018

Una delle novità più rilevanti del GDPR? Quella che chiede alle società extra EU di adeguarsi alla normativa europea nel caso in cui i dati appartengano a cittadini o persone giuridiche residenti nell’Unione europea.

Google è una multinazionale con sede in California e ha uffici e infrastrutture in tutto il mondo. Per soddisfare le leggi europee Mountain View ha aderito al Privacy Shield che impone una serie di obblighi relativi al controllo e alla trasparenza. Nella sua scheda sono elencati i documenti prodotti e i doveri a cui Google intende sottostare.

Cos’è il Privacy Shield

Il Privacy Shield, ovvero lo Scudo EU-USA per la Privacy, è un accordo stipulato tra Commissione Europea e Dipartimento del Commercio degli Stati Uniti per tutelare la riservatezza dei cittadini europei in caso di trasferimento oltreoceano dei dati a scopo commerciale.

L’iscrizione allo scudo è volontaria e si basa sull’autocertificazione. Il rinnovo è annuale e deve essere accompagnato da una serie di documenti che attestino le finalità e le modalità con cui vengono trattati e conservati i dati.

Il Privacy Shield mette a disposizione dei residenti EU un meccanismo di arbitrato al quale ricorrere per verificare eventuali violazioni degli obblighi delle società partecipanti.

Google Analytics: come accettare l’emendamento sull’elaborazione dei dati

Anche su Google Analytics è richiesto il mio consenso per adeguarmi all’entrata in vigore del GDPR. In particolare devo accettare l’emendamento sull’elaborazione dei dati. I punti sono scritti in inglese e contengono diversi spunti di riflessione.

Qui sopra puoi vedere l’elenco dei processor service e il tipo di dato personale che trattano. Nel caso di strumenti di advertising e remarketing, l’incrocio con i dati di Google Analytics diventa uno strumento formidabile per profilare gli utenti.

Come accettare l’emendamento sull’elaborazione dei dati su Google Analytics

L’emendamento sull’elaborazione dei dati su Google Analytics pùò essere esaminato e accettato nella sezione “Impostazioni dell’Account“. Google intende informare gli utenti che utilizzano il servizio Google Analytics, abbinabile ad altri servizi di annunci e profilazione, sulle modalità con cui gestisce dati e i processor. Ovvero i servizi che trattano i dati provenienti da Google Analytics per finalità commerciali.

Per completare l’accettazione dell’emendamento devi inserire i dati relativi alla persona giuridica e il contatto relativo al responsabile del trattamento dati. Il bottone per accedere alla sezione di inserimento si trova sotto il pulsante “Esamina emendamento” in un’area di colore grigio.

Per le informazioni di contatto vale quanto scritto prima riguardo alle modifiche contrattuali degli utenti G Suite. La nomina del DPO non è obbligatoria, eccetto alcuni casi. Verifica quali informazioni fornire a Google.

Come ho già scritto più volte, occorre verificare con un esperto l’opportunità di inserire i dati richiesti.

Come anonimizzare Google Analytics

Secondo la cookie law attualmente in vigore, devi informare il visitatore del tuo sito web sul tracciamento delle informazioni principali (ad esempio l’indirizzo IP) e sugli incroci con altri dati per una sua potenziale identificazione. Questo riguarda servizi come Google Analytics e quelli che abbiamo visto in precedenza, ovvero quelli di advertising.

Questo riguarda anche l’obbligo di esporre un banner informativo al fine di garantire un’informazione inequivocabile. MarkCom utilizza, per soddisfare questi obblighi, il tool di Iubenda. La decisione che ho preso è stata quella di evitare a priori questi incroci per il sito web della MarkCom. Ecco qui sotto la procedura che ho seguito.

Se vuoi impedire che Google incroci i dati, accedi al tuo account Google Analytics e disattiva le autorizzazioni relative a “Prodotti e servizi Google”, “Benchmarking”, “Assistenza tecnica” ed “Esperti dell’account”. Ecco i passi da fare:

  • accedi al tuo account Google Analytics;
  • clicca su “Amministrazione” dal menu in alto;
  • scegli dal menu a tendina nella colonna di sinistra (Account) quello che intendi modificare;
  • clicca su “Impostazioni dell’Account”;
  • deseleziona le impostazioni come indicato nell’immagine qui sotto.

Fonte: Iubenda

Questa scelta è personale e non ha nessun valore legale. Consiglio di verificare con la propria agenzia web le impostazioni di Google Analytics al fine di non compromettere i servizi in essere.

Conservazione dei dati su Google Analytics

Il GDPR sensibilizza le imprese a valutare il periodo di conservazione dei dati. Il principio è semplice: il dato deve essere conservato per il tempo necessario. Con largo anticipo rispetto alla scadenza del 25 maggio, Google ha introdotto una funzione in Analytics, disponibile nella sezione Amministrazione dell’account.

Grazie a questa nuova funzionalità è possibile decidere il periodo di conservazione  dei dati prima di eliminarli automaticamente. Il deafult è 26 mesi. Ecco le altre opzioni:

  • 14 mesi
  • 26 mesi
  • 38 mesi
  • 50 mesi
  • Non scadono automaticamente

Secondo quanto viene specificato dalla pagina sulla Data retention di Google, quando i dati raggiungono la fine del periodo di conservazione vengono eliminati automaticamente ogni mese. Il mio suggerimento è di aspettare prima di cambiare le impostazioni di default, in attesa di verificarne l’impatto con l’analisi dei dati.

GDRP e Google: le conclusioni

L’entrata in vigore del GDPR a maggio 2018 mi fornisce un’occasione. Ho il pretesto per verificare, ancora una volta, se la scelta che ho compiuto anni fa è stata corretta. Ho affidato a Google la maggior parte dei miei dati aziendali.

Ma dove sono le mie informazioni? Come viene tutelata la mia privacy e quella dei miei clienti? Posso adempiere a quanto richiesto dal GDPR? Riesco a garantire il diritto all’oblio, alla portabilità del dato e l’accesso?

In questo post ho cercato di darmi delle risposte. Ora tocca a te, mi interessa la tua opinione. Hai già aggiornato le informazioni e sottoscritto le nuove regole di Google? Cosa stai facendo nella tua azienda per uniformarti al GDPR?

Lasciami la tua opinione nei commenti.

Share

Diego Ricci

Innamorato di Internet, dal '97 mi occupo di servizi web per piccole e micro imprese. Ascolto e analizzo le esigenze dei Clienti e propongo soluzioni. Amo la buona compagnia, lo stare insieme e le cose semplici come una birra al pub.

Comments

  1. Ciao Diego, per il discorso conservazione dati di Analytics, esiste un motivo per non impostare “Non scadono automaticamente”? e quindi conservarli. Si avrebbero problemi con la privacy? Tu consigli di lasciare i 26 mesi e quindi non intervenire?

    • Ciao Emanuela, i dati devono essere conservati per il tempo necessario al trattamento. Da qui la modifica di Google Analytics che, secondo me non a caso, imposta il valore di default a 26 mesi. In ogni caso è un’impostazione che potrai cambiare in seguito. Questo è il mio modesto parere 🙂

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

gdpr-e-google-cosa-sapere-e-soprattutto-cosa-fare-markcom
Leggi articolo precedente:
migliori social network per aziende
Come scegliere i migliori social network per aziende

Quali sono i migliori social network per aziende? Questa è la domanda che molti imprenditori si (e ci) fanno prima...

Chiudi