In questi giorni il mondo del Digital marketing italiano è in subbuglio, dopo che il Garante della privacy, a conclusione di un’indagine avviata nel 2020, ha rilevato una violazione della normativa sulla protezione dei dati da parte di un’azienda che utilizzava Google Analytics. Questa sentenza rischia di coinvolgere chiunque gestisca un sito web.
Il problema riguarda in particolare le modalità di trasferimento di dati dal browser di ogni utente a Google: capiamo insieme perché e qual è l’impatto reale di questa sentenza.
La presa di posizione del Garante su Google Analytics
Al termine di una complessa istruttoria, lo scorso 23 giugno il Garante della Privacy italiano ha dichiarato illecito l’utilizzo di Google Analytics su siti web da parte dell’azienda Caffeina Media Srl: un argomento sul quale i garanti austriaco e francese si erano già pronunciati e che ruota attorno alla raccolta e al trasferimento dei dati.
È emerso infatti che GA3 (o Universal Analytics), la versione utilizzata nel caso oggetto del provvedimento, raccoglie tramite i cookie dati che vengono trasferiti agli Stati Uniti, dove il livello garantito di protezione dei dati non incontra gli standard previsti dal Regolamento UE:
Il Garante ha evidenziato, in particolare, la possibilità, per le Autorità governative e le agenzie di intelligence statunitensi, di accedere ai dati personali trasferiti senza le dovute garanzie, rilevando al riguardo che, alla luce delle indicazioni fornite dall’EDPB (Raccomandazione n. 1/2020 del 18 giugno 2021), le misure che integrano gli strumenti di trasferimento adottate da Google non garantiscono, allo stato, un livello adeguato di protezione dei dati personali degli utenti. (GPDP)
A Caffeina Media Srl sono stati concessi 90 giorni per adeguarsi alla normativa del GDPR, con successiva verifica ispettiva da parte del Garante, per accertare la conformità dei trasferimenti di dati effettuati dai titolari. L’invito a conformarsi è stato esteso a tutte le aziende italiane che si occupano di gestione di siti web, sia pubblici che privati.
Non sarà più possibile utilizzare Google Analytics?
Allo stato attuale non vi è ancora nessun accordo tra Europa e Stati Uniti che garantisca la protezione dei dati anche negli USA secondo le normative del GDPR. Tuttavia, ci sono delle negoziazioni in corso e la speranza è che – nel giro di qualche mese – si trovi una soluzione.
Nel frattempo, occorre valutare tutte le soluzioni proposte dal mercato per garantire la minimizzazione del rischio.
E noi di Intesys?
In Intesys stiamo studiando le possibili soluzioni conformi al GDPR, valutando i pro e i contro sui fronti:
Sul mercato sono già presenti dei servizi di statistiche alternativi a Google Analytics che mantengano i dati all’interno dell’Europa, come per esempio Mapp Intelligence, Piwik Pro, Matomo, Plausible, Fathom e Simple Analytics. Inoltre, una delle ipotesi è effettuare un passaggio nel modo più rapido possibile a GA4 configurandolo attentamente con misure aggiuntive per garantire ulteriore protezione ai dati per adeguarsi agli standard del Garante.
Nel prossimo futuro è quindi fondamentale dedicarsi con ancora più cura e attenzione al rispetto del GDPR nell’utilizzo di strumenti di tracciamento, rimanendo vigili in attesa di nuove indicazioni dal Garante e prendendo sempre maggiore consapevolezza di come funzionano gli strumenti di tracciamento utilizzati dalle aziende.
Dunque, Google Analytics 3 viola davvero il GDPR?
Prima di giungere a conclusioni affrettate, è importante comprendere che il problema non riguarda Google Analytics in generale, ma solo la modalità che adotta per il trasferimento dei dati raccolti.
In particolare, i dati a rischio sono per esempio:
- identificatori;
- indirizzo del sito;
- nome del sito;
- dati di navigazione;
- indirizzo IP dell’utente;
- informazioni su sistema operativo;
- browser utilizzato;
- risoluzione dello schermo;
- lingua scelta;
- data e ora della visita al sito;
- eventuali dati connessi a Google account.
Non è Google Analytics in sé a essere illegale, quanto piuttosto il trasferimento di dati personali effettuato verso gli Stati Uniti.
A questo punto, la domanda da farsi è: allo stato attuale, GA può essere compatibile con il GDPR?
Se da un lato i gestori dei siti hanno la responsabilità di doversi adeguare alle normative ed eventualmente cercare delle alternative, dall’altro anche Google sta evolvendo i propri strumenti in questa direzione e dal 1° luglio 2023 non elaborerà più nuovi dati nelle proprietà standard con Universal Analytics, sollecitando il passaggio a GA4. Quest’ultimo potrebbe risultare la soluzione adeguata, ma solo con la configurazione Server Side. Con questo passaggio, infatti, dovrebbe risultare impossibile arrivare agli IP dei singoli utenti, garantendo il livello di privacy richiesto dal Garante. Al momento questa soluzione – come altre – è in fase di analisi e non mancheremo di pubblicare aggiornamenti, non appena avremo delle novità.
Amazing
Good
Bad
Meh
Pff
