Il Garante si è espresso su Google Analytics

Era una decisione attesa da mesi e finalmente il Garante Italiano si è espresso su Google Analytics.

A seguito della segnalazione di un utente nei confronti della gestione dei dati raccolti sul sito di un noto quotidiano Online, il Garante ha fatto le dovute verifiche ed ha espresso la sua posizione rispetto a Google Analytics e l’adeguatezza al GDPR europeo.

Il Garante si è espresso su Google Analytics

Partiamo dall’inizio:

Il 17 agosto 2020 è stato fatto un reclamo al garante da parte di un utente del sito di un noto quotidiano online;

Nel reclamo, viene contestato il fatto che il sito avrebbe trasferito a Google LLC (con sede negli USA), i dati personali che lo riguardano raccolti dal sito internet in questione.

Il trasferimento sarebbe avvenuto in assenza delle garanzie previste dal GDPR (capo V del Regolamento) e soprattutto in assenza di una comunicazione all’utente di questo trasferimento dati.

Dopo le dichiarazioni di difesa dei titolari del sito e le dovute verifiche, il Garante si è espresso ed ha deciso di dare 90 giorni di tempo al sito in questione per adeguarsi alla normativa senza elevare alcuna sanzione amministrativa.

Questo in maniera mooolto semplificata, quello che è successo.
Trovi una descrizione più approfondita dell’accaduto a questa pagina: Il Garante Privacy dice no a Google Analytics.

Domande sui siti web di proprietà, sulla privacy sul mondo del web

CONSEGUENZE DELLA DECISIONE DEL GARANTE SU GOOGLE ANALYTICS?

Innanzi tutto, Google Analytics non potrà più essere utilizzato!

La questione infatti non è cookie, non cookie, anonimizzazione degli IP o tracciamento… Il problema è che i dati raccolti con GA sono trasferiti negli USA, paese che secondo la UE non offre adeguate garanzie nella privacy degli utenti, (leggi anche il mio post Google Analytics fuorilegge dove si parla di Privacy Shield) quindi, a meno di non avvisare esplicitamente l’utente che i dati raccolti vengono trasferiti in un paese senza le adeguate garanzie di privacy, Google Analytics non può più essere utilizzato. Nemmeno con l’anonimizzazione dell’IP, dato che, sempre secondo il Garante, anche con IP anonimizzato, la quantità di dati raccolti permetterebbe comunque a Google di risalire ad un singolo dispositivo.

In realtà, questo problema è un “non problema” dato che comunque Google aveva già annunciato la dismissione di Analytics per Luglio 2023 in favore di GA4.

QUINDI GA4 E’ CONFORME AL GDPR?

Ni… GA4 è un nuovo sistema di statistica per i siti web, talmente diverso da GA3 (analytics) che nemmeno i dati raccolti con la versione 3 possono essere importati nella versione 4.

E’ possibile scegliere di non raccogliere dati utente ed è maggiormente configurabile ma… c’è un MA.

Come accennato sopra, il problema di Analytics era il trasferimento dei dati negli USA.
Anche GA4 soffre dello stesso problema ovviamente; significa che può essere reso GDPR compliant ma limitando la quantità di dati raccolti.
Escludere gran parte dei dati raccolti per essere a norma col GDPR, tuttavia significherebbe per chi fa web marketing (campagne di pubblicità online) , rinunciare a tutte quelle informazioni che permettono di profilare e tracciare il comportamento utente, di fatto, rendendo inutili i dati raccolit e impossibile essere precisi nella selezione del target di clienti su cui andare a lavorare con le campagne, rendendo l’attività di web marketing equiparabile al gioco di mosca cieca (per chi lo ricorda).

Esiste però la possibilità di lavorare con GA4 installandolo su un server di proprietà, in modo da raccogliere dati utente su un nostro server e anonimizzare tutta una serie di informazioni che vengono poi passate a Google dal server, prima che queste vengaono inviate oltreoceano. Questa soluzione, oltre che essere tecnicamente molto più complessa, è anche ovviamente più onerosa da implementare.

Esistono anche altre alternative da utilizzare sempre con un grante MA… Difficilmente sono interfacciabili con i sistemi di web marketing e pixel vari, utilizzati per monitorare e valutare le campagne online.

In alcuni casi (Matomo per esempio) sono alternetive validissime, si possono installare sul proprio server, interfacciare con sistemi di monitoraggio, tracciamento e con le campagne di web marketing ma… anche qui esiste un grante MA (non ci facciamo mancare niente insomma):

Spostare la gestione delle statistiche da Google a una soluzione su server personale per essere in regola con il GDPR, elimina il problema della conformità ma ci sottopone al problema di diventare responsabili diretti dei dati raccolti e di dover rendere conto al Garante in caso di eventuali Data Breach. Insomma, togliamo di mezzo un ippopotamo per metterci un elefante…

Sito web di proprietà meglio dei social?

ALLORA CHE FARE PER ADEGUARSI ALLE INDICAZIONI DEL GARANTE?

Google Analytics va disattivato e abbandonato; su questo non ci piove.

Poi, andiamo avanti e facciamo un distinguo.

Se sul tuo sito Google Analytics è utilizzato prettamente a livello statistico (o di curiosità personale), allora si possono utilizzare tranquillamente sistemi alternativi che raccolgano dati senza comunicarli fuori dalla UE. In questo modo, pur partendo da zero con le statistiche, ci si mette al riparo da eventuali provvedimenti.

Se per il tuo sito fai attività di web marketing, quindi campagne di Google Ads, Facebook Ads, allora occorre valutare il passaggio a GA4 (il prima possibile per iniziare a raccogliere statistiche da utilizzare nei confronti e nei risultati), valutando se è sufficiente utilizzarlo in manera standard o se utilizzare una soluzione server-side.

In entrambi i casi, la gestione non sarà più semplice come lo era con Analytics ma è consigliabile avvalersi di un esperto sull’argomento. GA4 infatti alza l’asticella delle conoscente tecniche necessarie ad una corretta installazione, configurazione e gestione delle statistiche e dei dati raccolti.

LA SOLUZIONE A MIO PARERE…

L’unica vera soluzione definitiva a parere mio, ma anche di altri del settore, è che Google si adatti al GDPR, raccogliendo dati su server europei e trattandoli secondo il GDPR, anonimizzando o limitando gli stessi nel caso di un trasferimento oltreoceano.

Di certo c’è l’addio a Google Analytics.

La questione a questo punto non è solo tecnica ma anche politica (tra Europa e altri paesi) e non è limitata a Google, ma a tutti i servizi online con sedi in Europa e altri paesi e che condividono gli stessi dati (vedi WhatzApp, Facebook, etc.).

Altra indicazione che arriva da questa vicenda, è che se si utilizza un servizio con server negli USA (per esempio una newsletter), va dichiarato espressamente agli utenti in fase di accettazione dei cookie o dell’utilizzo del servizio, che i dati raccolti saranno trattati in un paese che non offre garanzie al pari del GDPR.

Tutto chiaro? Tranquillo, la situazione non è propriamente cristallina nemmeno per gli addetti ai lavori; in giro per la rete si trovano tante opinioni a volte apocalittiche, altre del tutto fantasiose.

La verità è che l’unica vera soluzione efficiente ed efficace, deve arrivare da Google, almeno per il momento. L’unica variabile sarà quanto si farà attendere.

Se vuoi fare una chiacchierata per capire meglio cosa fare con il tuo sito, non esitare

Ti è piaciuto l’articolo? Condividilo su

Facebook
Twitter
LinkedIn
Telegram
WhatsApp
Email
Print