Partiamo dall’evento spartiacque che ha sollevato in Italia un acceso dibattito e confronto: iI 23 giugno 2022 il Garante per la protezione dei dati personali, seguendo le orme delle autorità austriache e francesi, ha pubblicato un provvedimento, con cui dichiara illecito il trasferimento di dati personali al di fuori dell’Unione Europea effettuato da parte degli utilizzatori di Google Analytics (comunicato stampa).
Qualche mese fa, esattamente il 10 febbraio 2022, la Francia ha emesso un avviso formale a diverse realtà che utilizzano Analytics a causa del trasferimento illegale di dati negli Stati Uniti. Il DPA francese ha suggerito che l'uso di un proxy configurato correttamente può mitigare il rischio per gli utenti.
Google Analytics è il servizio di analisi web più popolare al mondo per monitorare traffico, conversioni e molti altri dati utili per aziende e marketer. È gratuito, fornisce statistiche vitali ed è semplice ed intuitivo nelle sue funzionalità principali. Si discute su possibili soluzioni e modifiche alle impostazioni di analisi in modo da soddisfare i requisiti del GDPR ma in generale le informazioni raccolte sui visitatori vengono trasferite negli Stati Uniti, un paese ritenuto sprovvisto di un adeguato livello di protezione ovvero gli Stati Uniti.
Google Analytics sfrutta i cookies per raccogliere numerose informazioni sulle interazioni con i visitatori (indirizzo ip, il browser, sistema operativo , componenti hardware del dispositivo utilizzato, data e ora dell'accesso, ecc ecc) per poi trasferire tutto quanto negli Usa. Nello specifico anche l'indirizzo IP costituisce un'informazione personale perché, anche se tronco, può essere ricostruita coi mezzi a disposizione dal gigante di Mountain View incrociando i dati con gli altri in suo possesso.
Nella decisione del Garante è stato proprio evidenziato che l’indirizzo IP costituisce un dato personale e che, anche se anonimizzato, Google sarebbe comunque in grado di risalirvi e da qui Le autorità hanno affermato che le misure tecniche di conformità di Google Analytics 3 sono insufficienti.
Il modo in cui funziona è abbastanza semplice, una volta incollato il codice di monitoraggio nel codice sorgente del tuo sito web quando un visitatore accede al sito e visualizza una pagina, il codice di monitoraggio viene eseguito nel browser del visitatore. Raccoglie e invia dati al server di Google Analytics identificando le pagine visualizzate e fornendo informazioni come per quanto tempo un visitatore rimane sul tuo sito e su quali link ha cliccato. Il codice di tracciamento si basa sui cookie di Internet sul browser del visitatore per raccogliere informazioni. Poiché i cookie raccolgono dati, Analytics non funzionerà su un browser utente che ha bloccato tali cookie.
Per impostazione predefinita, Google Analytics raccoglie:
Quando utilizzi Google Analytics, tieni presente che Google è il responsabile del trattamento dei dati. Il tuo sito web o la tua azienda è il titolare del trattamento, il che significa che sei tu a decidere perché e come utilizzare i dati del tuo sito web.
Al momento non il Garante non ha fornito una risposta a questa domanda, ha affermato che per continuare ad utilizzare Google Analytics sono necessarie delle misure di sicurezza aggiuntive, senza esplicitare tali misure che giustamente sono a carico del titolare del trattamento.
Va ribadito che le indagini riguardano Google Analytics 3 per cui non possiamo ancora sapere con certezza se l’utilizzo di GA4 sia sufficiente o meno.
Ogni titolare del trattamento dovrà fare le proprie valutazioni, analizzare i propri trattamenti, le misure implementate e valutare gli aggiornamenti del tool anche in attesa della stipula di nuovi accordi tra Europa e Stati Uniti per regolare il tema. Dovrà sostanzialmente essere deciso se:
Google ha annunciato numerosi miglioramenti della protezione dei dati per il nuovo Google Analytics 4 (GA4) che sono descritti da Google alla voce “ Dati e privacy incentrati sull'UE ”. GA 4 permetterà dei controlli a livello nazionale e delle opzioni di personalizzazione che consentiranno di minimizzare la raccolta dati di uno specifico visitatore. In sintesi, sono state annunciate le seguenti modifiche relative alla privacy che sulla carta dovrebbero rendere lo strumento compliant al GDPR:
Quanto sopra è sufficiente? Queste misure sono un passo nella giusta direzione, ma del tutto utili per revocare il divieto Ue? Ai posteri l’ardua sentenza!
Certamente permane il divieto di trasferimento di dati UE-USA: Secondo il Patriot Act, il Foreign Intelligence Surveillance Act (FISA) e il Clarifying Lawful Overseas Use of Data Act (Cloud Act), le autorità statunitensi hanno accesso a tutti i dati delle società statunitensi. Anche se è archiviato nell'UE. Pertanto in teoria, l'ubicazione dell'archiviazione nell'UE non risolve il problema reale che il regolamento UE sulla protezione dei dati è garantito per i cittadini dell'UE. Il tema è alquanto spinoso e tutto da chiarire!
Se si decide di utilizzare Google Analytics 4, ecco alcune azioni che si possono fare per essere il più conformi possibile:
Le nuove misure sono un passo nella giusta direzione dal punto di vista della protezione dei dati, va capito se le innovazioni apportate a G4 siano sufficienti. Non è ancora chiaro se il funzionamento di questa nuova versione abbia risolto il problema principale, cioè la trasmissione verso Google di dati di interessati identificati o identificabili che parrebbe continuare. Ad esempio tramite gli script e l'utilizzo di identificatori vari, pseudonimizzati o meno che siano. Questo rimanderebbe alle stesse criticità di fondo dei precedenti Analytics, se non smentite da una diversa, dettagliata analisi dei flussi di dati che escluda in modo radicale l’uso di dati personali. Certamente servirà anche l’entrata in vigore di un nuovo accordo a livello politico sui trasferimenti di dati tra l'UE e gli Stati Uniti, anche se al momento tutto tace.
Le aziende dovrebbero quindi valutare attentamente l’evolversi della situazione e capire se valga la pena passare da Universal Analytics a GA4 o passare a una soluzione UE alternativa che non dipenda né dagli accordi UE-USA né dal consenso degli utenti. Va chiarito che le soluzioni alternative non sono certo la panacea di tutti i mali ma si portano dietro diverse problematiche sia a livello di annunci pubblicitari che di sicurezza.
Matomo: Consente un servizio di statistica completo quasi come Google Analytics, ma che non ricostruisce i dati anonimi in alcun modo e fa in modo che tutti i dati analizzati rimangano di proprietà degli utenti. Fornisce una vasta gamma di informazioni sui visitatori del tuo sito Web, inclusi i motori di ricerca e le parole chiave che hanno utilizzato, la lingua parlata, pagine viste, gli elementi che hanno scaricato e altro ancora. Questa alternativa open source va però scaricata e installata sul tuo server web per gestire i tuoi database PHP MySQL.
Plausible Analytics : è una soluzione di tipo open-source semplice ed immediata, non utilizza cookie e questo la rende conforme al GDPR. La piattaforma si appoggia su un'infrastruttura Cloud in Europa, non effettua tracciamenti cross-site o cross-device e garantisce che i dati raccolti non vengano usati da terze parti.
Simple Analytics: é una soluzione alternativa che ha come come principale prerogativa la conformità con il GDPR. Prevede un'interfaccia semplice e lineare e consente di accedere a vari dettagli di approfondimento sui visitatori. Tutti i dati raccolti vengono cifrati, non viene archiviato alcun dato relativo agli utenti che visitano il sito, i server sono locati in Europa e nessuna informazione analizzata viene venduta per finalità di marketing.