GDPR e Google: cosa sapere e (soprattutto) cosa fare

Questo post è dedicato agli utenti aziendali di Google. Le imprese che hanno adottato i prodotti di Mountain View devono sapere se la loro scelta risponde ai requisiti sulla privacy. Google e GDPR, il nuovo regolamento europeo sulla protezione dei dati, sono compatibili?

GDPR e Google: cosa cambia per gli utenti
Edho Pratama

Nel 2006 ho attivato la posta aziendale su Gmail. Una scelta dettata dall’estrema semplicità e dalla solidità di questa soluzione. La suite di Google Apps (ora G Suite) offre una serie di strumenti collaborativi integrati fra loro: Google Drive, Google Calendar e Google Documents per citare i più conosciuti.

Hai un account Gmail? Avrai sicuramente ricevuto un avviso che ti informa su ciò che Google sta facendo per uniformarsi al GDPR. Ma quali sono questi cambiamenti? E soprattutto: cosa devo fare io, utente, per adeguarmi alla normativa?

DISCLAIMER – Questo post contiene pareri basati sulla mia esperienza personale. Non fornisco indicazioni con valore legale. La materia è in continua evoluzione ed è consigliabile l’assistenza di un consulente esperto.

Cosa fa Google per rispettare le leggi sulla privacy?

L’entrata in vigore del GDPR, a maggio 2018, è un’opportunità preziosa. È un motivo valido per verificare, ancora una volta, se la scelta che ho compiuto anni fa è stata corretta: affidare a Google i miei dati aziendali.

Su Gmail passa la corrispondenza dei miei clienti. Su Google Calendar organizzo, insieme ai miei collaboratori, i piani editoriali dei blog che gestiamo. Su Google Drive condivido le informazioni. I miei dati sono al sicuro?

Google sembra essere sul pezzo e ha mandato un’email per informare gli utenti (vedi l’immagine qui sotto). In particolare segnala l’aggiornamento delle norme relative al consenso degli utenti UE, e le modifiche ai termini del contratto che devono essere sottoscritte.

In realtà l’informativa non si limita a comunicare i cambiamenti in atto in Google. Ci ricorda anche le responsabilità degli utenti che derivano dalle nuove norme. In particolare sull’ottenimento del consenso al trattamento dei dati per i residenti nello spazio economico europeo.

Google dedica a questo argomento una pagina sulla tutela di aziende e dati. In sintesi, Google metterà in atto tutte le azioni possibili per garantire l’adeguamento al GDPR e, soprattutto, per migliorare l’esperienza dell’utente in relazione alla privacy. Vediamo in dettaglio i punti principali.

Nessuno strumento informatico può garantirti, in assoluto, l’adeguamento alle leggi sulla privacy. Occorre mettere in atto le procedure e le azioni necessarie per garantire, noi per primi, la protezione dei dati. Tu sei il primo responsabile. Poi devi pretendere da Google che faccia la sua parte.

I controlli e le certificazioni di Google

In vista della prossima scadenza che renderà attivo e applicabile il GDPR, Google comunica i controlli di sicurezza a cui sottopone i propri servizi. In particolare ci informa che sono conformi agli standard internazionali, come ISO e SSAE16/ISAE 3402.

La verifica della conformità è un obbligo per una società come Google che ha milioni di utenti in tutto il mondo. In effetti da Mountain View non mi aspetterei nulla di meno e, dal punto di vista delle certificazioni, ho le risposte che attendevo.

Come aggiornare i termini contrattuali per gli utenti G Suite

Nel frattempo Google richiede agli utenti di leggere e accettare le modifiche contrattuali relative all’adeguamento al GDPR. Nello specifico si tratta dell’emendamento sull’elaborazione dei dati. L’adesione ai nuovi termini del servizio è attivabile dal Profilo aziendale > Profilo della console di amministrazione.

Ho letto l’emendamento e, in sostanza, Google mette a conoscenza gli utenti dei propri diritti e del modo in cui sta trattando i dati. Specialmente quelli che sono oggetto di trasferimento di dati al di fuori della UE. In tal caso l’utente potrà richiedere informazioni e Google si impegna a proporre sistemi di trasferimento alternativi.

Il documento è complesso e articolato. Per fare una valutazione dovrei avere delle competenze legali di cui non sono in possesso. In ogni caso Google sta approntando modifiche e richiede il mio consenso, informandomi su aspetti che, oggettivamente, mi interessano.

Come registrare un responsabile della protezione dei dati o rappresentante UE

Se la tua impresa è soggetta all’obbligo di nominare un DPO (responsabile della protezione dei dati), un rappresentante UE o entrambi, devi comunicare i dati a Google. Questo è possibile accedendo alla sezione Profilo aziendale > Informazioni legali e sulla conformità.

La nomina del DPO è richiesta solo in alcuni casi. In ogni caso ti consiglio di farti assistere da un legale per verificare se la tua attività rientra in tale obbligo.

Il contratto di società in affari HIPAA per G Suite/Cloud Identity è valido per il clienti soggetti ai requisiti HIPAA (Health Insurance Portability and Accountability Act), G Suite e Cloud Identity sono in grado di supportare anche la conformità HIPAA.

Le comunicazioni sugli incidenti e interruzioni di servizio

Gli utenti G Suite possono accedere a questa pagina pubblica che comunica, in tempo reale, le eventuali interruzioni di servizio. Questi dati sono utili per informare gli utenti dei disservizi in corso.

Il fine della console di monitoraggio è chiaro: essere trasparenti e fornire ai clienti informazioni utili per attivare misure alternative di comunicazione. I servizi in cloud hanno la caratteristica di essere usufruibili via internet (nella maggior parte dei casi). Per cui il requisito di essere on line è fondamentale.

Google e la trasparenza verso gli utenti

Già da tempo Google offre la sezione My Activity, dove ritrovo le mie ricerche e l’utilizzo dei vari servizi. Tramite l’Account personale gestisco in autonomia aspetti rilevanti della mia privacy, come il diritto all’oblio e l’eliminazione dell’account Google.

Uno dei punti richiesti dal GDPR è quello di garantire l’accesso ai dati delle persone, come la possibilità di creare una copia dei proprie informazioni. La funzione scaricare i dati del mio account Google garantisce questo diritto.

C’è poi la sezione dove vengono elencati le tipologie di dati che Google conserva e per quali finalità. Oltre alle sezioni dedicate al controllo e alla sicurezza ti segnalo quella che descrive il funzionamento degli annunci.

In particolare Google assicura che le mie informazioni non saranno vendute a nessuno e che serviranno per mostrarmi annunci che potrebbero essere di mio interesse. Come la penso? Spero sia come dicono. Se così non fosse, come nel caso dello scandalo di Cambridge Analytica, che ha coinvolto Facebook, qualcuno dovrà pagarne le conseguenze.

Il trasferimento dei dati all’estero

La responsabilità per il trattamento dei dati è sia di Google che dell’utente G Suite che ha sottoscritto l’accordo di utilizzo. Il trasferimento dei dati personali nelle piattaforme cloud di Google non esenta dalla responsabilità di controllo. Inoltre non esula dall’obbligo di adottare tutte le misure necessarie per garantire l’adeguamento con il regolamento europeo.

In modo particolare si evidenzia il caso in cui i dati non sono residenti su server situati all’interno dell’Unione europea. I servizi cloud di Google, come Gmail, si appoggiano a diversi datacenter situati in diverse parti del mondo.

Sedi dei data center Google – Aggiornamento Aprile 2018

Una delle novità più rilevanti del GDPR? Quella che chiede alle società extra EU di adeguarsi alla normativa europea nel caso in cui i dati appartengano a cittadini o persone giuridiche residenti nell’Unione europea.

Google è una multinazionale con sede in California e ha uffici e infrastrutture in tutto il mondo. Per soddisfare le leggi europee Mountain View ha aderito al Privacy Shield che impone una serie di obblighi relativi al controllo e alla trasparenza. Nella sua scheda sono elencati i documenti prodotti e i doveri a cui Google intende sottostare.

Cos’è il Privacy Shield

Il Privacy Shield, ovvero lo Scudo EU-USA per la Privacy, è un accordo stipulato tra Commissione Europea e Dipartimento del Commercio degli Stati Uniti per tutelare la riservatezza dei cittadini europei in caso di trasferimento oltreoceano dei dati a scopo commerciale.

L’iscrizione allo scudo è volontaria e si basa sull’autocertificazione. Il rinnovo è annuale e deve essere accompagnato da una serie di documenti che attestino le finalità e le modalità con cui vengono trattati e conservati i dati.

Il Privacy Shield mette a disposizione dei residenti EU un meccanismo di arbitrato al quale ricorrere per verificare eventuali violazioni degli obblighi delle società partecipanti.

Google Analytics: come accettare l’emendamento sull’elaborazione dei dati

Anche su Google Analytics è richiesto il mio consenso per adeguarmi all’entrata in vigore del GDPR. In particolare devo accettare l’emendamento sull’elaborazione dei dati. I punti sono scritti in inglese e contengono diversi spunti di riflessione.

Qui sopra puoi vedere l’elenco dei processor service e il tipo di dato personale che trattano. Nel caso di strumenti di advertising e remarketing, l’incrocio con i dati di Google Analytics diventa uno strumento formidabile per profilare gli utenti.

Come accettare l’emendamento sull’elaborazione dei dati su Google Analytics

L’emendamento sull’elaborazione dei dati su Google Analytics pùò essere esaminato e accettato nella sezione “Impostazioni dell’Account“. Google intende informare gli utenti che utilizzano il servizio Google Analytics, abbinabile ad altri servizi di annunci e profilazione, sulle modalità con cui gestisce dati e i processor. Ovvero i servizi che trattano i dati provenienti da Google Analytics per finalità commerciali.

Per completare l’accettazione dell’emendamento devi inserire i dati relativi alla persona giuridica e il contatto relativo al responsabile del trattamento dati. Il bottone per accedere alla sezione di inserimento si trova sotto il pulsante “Esamina emendamento” in un’area di colore grigio.

Per le informazioni di contatto vale quanto scritto prima riguardo alle modifiche contrattuali degli utenti G Suite. La nomina del DPO non è obbligatoria, eccetto alcuni casi. Verifica quali informazioni fornire a Google.

Come ho già scritto più volte, occorre verificare con un esperto l’opportunità di inserire i dati richiesti.

Come anonimizzare Google Analytics

Secondo la cookie law attualmente in vigore, devi informare il visitatore del tuo sito web sul tracciamento delle informazioni principali (ad esempio l’indirizzo IP) e sugli incroci con altri dati per una sua potenziale identificazione. Questo riguarda servizi come Google Analytics e quelli che abbiamo visto in precedenza, ovvero quelli di advertising.

Questo riguarda anche l’obbligo di esporre un banner informativo al fine di garantire un’informazione inequivocabile. MarkCom utilizza, per soddisfare questi obblighi, il tool di Iubenda. La decisione che ho preso è stata quella di evitare a priori questi incroci per il sito web della MarkCom. Ecco qui sotto la procedura che ho seguito.

Se vuoi impedire che Google incroci i dati, accedi al tuo account Google Analytics e disattiva le autorizzazioni relative a “Prodotti e servizi Google”, “Benchmarking”, “Assistenza tecnica” ed “Esperti dell’account”. Ecco i passi da fare:

  • accedi al tuo account Google Analytics;
  • clicca su “Amministrazione” dal menu in alto;
  • scegli dal menu a tendina nella colonna di sinistra (Account) quello che intendi modificare;
  • clicca su “Impostazioni dell’Account”;
  • deseleziona le impostazioni come indicato nell’immagine qui sotto.

Fonte: Iubenda

Questa scelta è personale e non ha nessun valore legale. Consiglio di verificare con la propria agenzia web le impostazioni di Google Analytics al fine di non compromettere i servizi in essere.

Conservazione dei dati su Google Analytics

Il GDPR sensibilizza le imprese a valutare il periodo di conservazione dei dati. Il principio è semplice: il dato deve essere conservato per il tempo necessario. Con largo anticipo rispetto alla scadenza del 25 maggio, Google ha introdotto una funzione in Analytics, disponibile nella sezione Amministrazione dell’account.

Grazie a questa nuova funzionalità è possibile decidere il periodo di conservazione  dei dati prima di eliminarli automaticamente. Il deafult è 26 mesi. Ecco le altre opzioni:

  • 14 mesi
  • 26 mesi
  • 38 mesi
  • 50 mesi
  • Non scadono automaticamente

Secondo quanto viene specificato dalla pagina sulla Data retention di Google, quando i dati raggiungono la fine del periodo di conservazione vengono eliminati automaticamente ogni mese. Il mio suggerimento è di aspettare prima di cambiare le impostazioni di default, in attesa di verificarne l’impatto con l’analisi dei dati.

GDRP e Google: le conclusioni

L’entrata in vigore del GDPR a maggio 2018 mi fornisce un’occasione. Ho il pretesto per verificare, ancora una volta, se la scelta che ho compiuto anni fa è stata corretta. Ho affidato a Google la maggior parte dei miei dati aziendali.

Ma dove sono le mie informazioni? Come viene tutelata la mia privacy e quella dei miei clienti? Posso adempiere a quanto richiesto dal GDPR? Riesco a garantire il diritto all’oblio, alla portabilità del dato e l’accesso?

In questo post ho cercato di darmi delle risposte. Ora tocca a te, mi interessa la tua opinione. Hai già aggiornato le informazioni e sottoscritto le nuove regole di Google? Cosa stai facendo nella tua azienda per uniformarti al GDPR?

Lasciami la tua opinione nei commenti.

15 commenti su “GDPR e Google: cosa sapere e (soprattutto) cosa fare”

  1. Ciao Diego, per il discorso conservazione dati di Analytics, esiste un motivo per non impostare “Non scadono automaticamente”? e quindi conservarli. Si avrebbero problemi con la privacy? Tu consigli di lasciare i 26 mesi e quindi non intervenire?

    1. Ciao Emanuela, i dati devono essere conservati per il tempo necessario al trattamento. Da qui la modifica di Google Analytics che, secondo me non a caso, imposta il valore di default a 26 mesi. In ogni caso è un’impostazione che potrai cambiare in seguito. Questo è il mio modesto parere :-)

    1. Buongiorno Giovanni, anche noi usiamo Gmail, con gli account business offerti da G Suite. Il mio consiglio è di continuare a utilizzarla prestando la massima attenzione alla sicurezza e alla conservazione della password. Gmail è un ottimo prodotto usato da milioni di persone. Google ti chiederà di leggere le informazioni e accettare le modifiche che ha compiuto per uniformarsi al GDPR. Alcune le ho scritte nel post. Non ci rimane che aggiornarci sugli sviluppi. Grazie e buona giornata!

  2. Ciao Diego,
    ho un piccolo dubbio su questo vasto tema che essendo tra virgolette una novità sembra che ci sia confusione in giro. Ho impostato nei vari siti dei miei clienti con iubenda la privacy policy e la cookie law. Ma nel caso della GDPR i dati che per esempio li prende da da un form e li salva direttamente in un Google Sheet sono sufficienti per questa legge o bisogna fare altro: questo nel caso che una persona abbia un account non Gsuite ma un account google normale.
    In generale se per esempio ho un sito e mi aggancio il form o la newsletter ad un servizio tipo Google Sheet o Mailchimp per esempio sono apposto con la legge o devo fare qualcos’altro di particolare con i dati dell utente?

    Io sono un utente Gsuite e ho seguito il tuo utilissimo tutorial ma nel caso che una persona non abbia G suite tutto quello che hai scritto vale lo stesso?

    Grazie mille

    1. Ciao, per quello che riguarda Iubenda ti consiglio di scrivere nel loro forum di supporto. Sono molto bravi e precisi. Per quanto riguarda form di contatto, newsletter e le modalità con cui archivi i dati occorrere fare una verifica dettagliata. Con poche informazioni non me la sento di darti indicazioni precise. Grazie per il tuo interesse.

  3. ciao Diego, interessante post, grazie :)
    per quanto riguarda la portabilità non ho capito se la posta di gmail l’ha attivata o no e, sopratutto, come fare ad avere questa portabilità. mi sembra che secondo il gdpr – formato strutturato, di uso comune e leggibile da dispositivo automatico – e valgono anche per le mail per eventuale passaggio ad altro operatore mail. con gmail come si può fare? a chi chiedere? come dice il garante – Ad esempio, si potrà cambiare il provider di posta elettronica senza perdere i contatti e i messaggi salvati -. parlano per esempio di xml. ne sai qualche cosa in più? tnx. m

    1. Ciao Matteo, Google consente l’esportazione dei dati dalla pagina https://takeout.google.com/settings/takeout. L’esportazione dei messaggi Gmail è in formato MBOX. Per i contatti, ti invito a leggere questo post: https://support.office.com/it-it/article/importare-i-contatti-di-gmail-in-outlook-edbacfde-f48c-49da-a6a3-bcbb8f4f4819. Riguarda le modalità di esportazione dei contatti. Grazie per il tuo commento!

  4. Salve e complimenti per l’articolo. Se utilizzo Google Drive per archiviare i dati di clienti e fornitori, io resto il titolare del trattamento ma Google deve essere nominato responsabile? Come faccio a sapere se i server sono in UE o extra UE? Che responsabilità ha Google in merito al mio trattamento dati?

    1. Ciao Francesca. I server che Google utilizza per archiviare i tuoi dati sono distribuiti in tutto il mondo per garantire una protezione ottimale. Trovi la mappa qui: https://www.google.com/about/datacenters/inside/locations/index.html. Per ogni altra informazione relativa al GDPR, Google ha creato questa pagina: https://www.google.com/intl/it/cloud/security/gdpr/. In merito alla responsabilità di Google non riesco a darti una risposta precisa non essendo un legale. Tutto comunque dipende dal danno causato. Nell’articolo ho messo in evidenza quello che Google fa per proteggere i dati. Grazie per il tuo commento.

  5. Buongiorno,
    Ottimo articolo e direi molto esaustivo che a mio parere dovrebbe arrivare da Google direttamente come strumento utile per i suoi utilizzatori.
    Chiedo scusa se mi intrometto nella questione ma credo che Diego potrebbe essere di aiuto in una questione alla quale nessuno riesce a rispondere correttamente e per la quale, come consulente privacy ho la mia visione e vorrei condividerla e sapere cosa ne pensate anche voi.
    Premetto che anche io sono stato abbagliato da Gmail e dalle potenzialità da subito. Purtroppo poi ho compreso quanto fosse problematico gestire correttamente dati sensibili con tale mezzo. Consiglio per DRIVE di crittografare i dati con ottime soluzioni presenti sul mercato perchè, è vero che Google spiega bene come gestisce i dati ma pur sempre è Americano e si sa come amino spiare e violare la privacy con molta facilità. In fondo anche il Privacy Shield è molto debole ma per ora.. va bene cosi.
    Tornando a noi, da consulente trovo che le aziende e anche i singoli professionisti non possano utilizzare GMAIL o DRIVE nella forma gratuita o a pagamento ( drive solo per spazio archiviazione ) ma debbano acquisire il servizio GSUITE per poter avere tutte le certificazioni e garanzie fornite da Google e descritte in questo ottimo articolo. Questo perchè come Responsabile Esterno del Trattamento e Google lo è in archiviazione, transito, elaborazione etc… nella versione gratuita non esiste una dichiarazione ufficiale di Google o mi sbaglio?. Ora facendo un esempio: Io privato uso gmail Drive per archiviare i dati della mia vita personale e Google mi fornisce l’informativa al trattamento e mi dice come tratta la mia privacy. Ma se uso la mia gmail FREE per uso lavorativo e il Drive per caricare i fascicoli dei miei pazienti etc.. come giustifico correttamente la cosa?… guardate che migliaia di aziende usano GMAIL Free e Drive ma a mio parere non posso fare riferimento alle indicazioni che Google da per GSUITE perchè non si riferiscono a soluzioni free.
    Per cui mi viene da considerare GMAIL Free come un software antivirus FREE ovvero: IN casa lo posso usare ma in azienda no.
    Chiedo il vostro parere e magari un consiglio su come poter giustificare la cosa. Io personalmente uso Protonmail ma ad esempio anche nella soluzione Free protonmail indica la possibilità di scaricare la loro modulistica di contratto di responsabile esterno del trattamento. Io non la trovo su Gmail .
    Saluti e buon lavoro
    Alessandro

    1. Grazie Alessandro per il tuo commento. Quello che posso aggiungere è che in MarkCom utilizziamo da diversi anni il pacchetto G Suite (prima Google Apps) che è a pagamento. Per cui abbiamo fatto una scelta precisa, avvalendoci anche di servizi di assistenza più puntuali. L’utilizzo di piattaforme gratuite, in geneale, comporta dei rischi in più che devono essere analizzati e valutati. Per Gmail in versione gratuita consiglio di approfondire direttamente con il servizio di Google. Credo sia corretto per non dare risposte fuorvianti. Grazie ancora per il tuo intervento.

    1. Ciao Paolo, non posso e non voglio darti indicazioni precise su una materia di cui non sono esperto. Queste sono domande che devi rivolgere a un consulente specializzato in materia di privacy. Quello che ti posso dire, come ho scritto nel post, è che è fondamentale informare i tuoi clienti su quello che fai per tutelare la loro privacy. In ogni caso sei tenuto a rispondere nel caso te lo chiedano. Grazie per il tuo commento.

  6. Tutto chiaro, ma ci si pone in ogni caso un quesito molto importante. Per tutti gli utenti che utilizzano email gmail.com come email aziendale, ma senza un account G Suite di tipo Business, preclude la possibilità di selezionare la location del data center desiderato perchè in alternativa è Google che dedide (dato che in quel caso è un servizio Gratuito) quale data center utilizzare o in ogni caso per questione di “geo-distribuzione” utilizzarli tutti. Penso, magari mi sbaglio, che in quel caso sia giusto dire che le aziende devono adottare account G Suite Business sia per una serie di motivi tecnici, sia per avere la certezza sulla location del data center.

Lascia un commento

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.

#db4c00 24 14 14 #db4c00 #db4c00 #db4c00 #ffffff
Assistenza clienti