Il seguente articolo è tratto dalla newsletter inviata ai miei iscritti il 5.7.22.
Dopo avere ricevuto tante domande, ho deciso di condividerla anche sul blog sperando possa aiutare tutti a fare chiarezza sulla situazione relativa a Google Analytics e a prendere una decisione informata su cosa fare.
Google Analytics illegale: perché ho disattivato GA da tutti i miei siti.
Ho deciso di preparare questa newsletter perché il mondo del digital marketing in questo momento è in subbuglio e la cosa riguarda tutti i possessori di un sito web o chiunque stia pensando di aprirne uno.
Google Analytics è stato dichiarato illegale dal Garante della Privacy.
Premetto che l’argomento è alquanto complesso sia a livello tecnico che a livello legale e premetto inoltre di NON essere un avvocato.
Tutte le informazioni che troverai qui dentro sono frutto dello studio degli scorsi giorni e mi scuso già da ora se alcune cose che riguardano la parte legale risultassero imprecise.
Il mio scopo però è quello di semplificare il più possibile in modo che chiunque abbia un sito o stia pensando di aprirne uno, capisca quale sia la situazione attuale e sia in grado di prendere una decisione o di comprendere l’impatto di questa situazione sui suoi piani futuri.
Table of Contents
Partiamo dal fatto: il Garante delle Privacy ha dichiarato Google Analytics illegale.
Se non sei completamente a digiuno della materia, potresti domandarti se questo vale anche nel caso tu abbia impostato nel tuo GA l’anonimizzazione degli IP.
La risposta è si: anche con IP anonimizzato, il dato trasmesso a Google si porta dietro svariate informazioni, tra cui risoluzione schermo, versione del browser e sistema operativo.
Il cuore del problema.
Google, mettendo questi dati insieme a quelli che ha già in pancia, è in grado di identificare l’utente e negli USA, le agenzie di intelligence potrebbero accedere a questi dati senza alcuna tutela garantita al titolare del dato stesso.
Il problema è tutto qua: trasferendo i dati fuori dall’UE (in questo caso negli Stati Uniti), il titolare dei dati perde le tutele di cui invece gode sotto il GDPR. Il trasferimento dei dati negli Stati Uniti è quindi il problema principale che ci troviamo ad affrontare (e che non riguarda solo GA, ma di questo parleremo successivamente).
Il GA4 può essere considerato a norma?
GA4 riceve l’indirizzo IP su server europeo e lo utilizza per dedurre una serie di dati (città, paese etc), disfandosene subito dopo.
La ricezione implica però il trattamento del dato e sebbene il dato venga ricevuto su server europeo facente capo a Google Irlanda, il parere di alcuni avvocati è che, essendo Google Irlanda una controllata di Google LLS (azienda statunitense), GA4 non possa essere ritenuto a norma. Google LLS sarebbe infatti tecnicamente in grado di ricevere il dato e trattarlo.
Precisazione.
Essendo il parere dei vari Garanti basato su Google Analytics 3, tutto ciò che riguarda Google Analytics 4 è da catalogare come pareri e deduzioni. Non siamo in grado ad oggi di dire con certezza se GA4 verrà ritenuto a norma o meno.
Possibili soluzioni.
Soluzione Server Side Tagging o Proxy.
La questione qui si fa più tecnica.
Il Server Proxy fa riferimento a una soluzione nella quale i dati non vengono inviati direttamente a Google ma a un server intermediario che si trova in Unione Europea e che sia totalmente sotto il nostro controllo.
Dentro questo server abbiamo la possibilità di applicare dei filtri che facciano il modo che, una volta che il dato viene passato a Google, sia ripulito da tutto in modo che il tracciamento non si porti dietro informazioni personali dell’utente.
Possibile problema: il Garante Francese ha lui stesso parlato della soluzione menzionata sopra come risolutoria e ci fa una lista dei dati che andrebbero tolti prima del passaggio dal server proxy a Google.
Te la faccio breve: la lista è talmente lunga che c’è da chiedersi se a quel punto valga la pena avere il dato.
Di fatto non puoi tracciare un singolo utente ma ti ritroveresti con un dato aggregato.
A quel punto GA servirebbe solo per vedere le pagine maggiormente visualizzate (dati che puoi ricavare anche con altri strumenti comunque molto affidabili).
Soluzione che si avvale di strumenti alternativi che siano a norma.
In questi giorni si parla tanto di Matomo.
Personalmente non lo conosco e quindi non posso attualmente dare un’opinione in merito. Si tratta però di uno strumento a pagamento e che varrebbe la pena di analizzare.
Soluzione estrema (e si spera momentanea).
L’unica soluzione sicura in questo momento è la disattivazione di GA.
Personalmente ho optato per questa su tutti i miei siti.
Capisco che per certi business questa soluzione possa avere un impatto davvero forte.
Suggerisco in questo caso di decidere tra il server Proxy o la migrazione a GA4 nella speranza che il Garante si esprima in termini favorevoli a riguardo e soprattutto suggerisco di rivolgersi a un avvocato competente in materia.
Effetto palla di neve?
Cosa dire di Mailchimp, Active Campaign e Facebook Ads giusto per citarne alcuni?
Non voglio neanche menzionare Shopify e altre piattaforme usate da tante imprese italiane per fare ecommerce…
Nella migliore delle ipotesi, potremmo dovere ripensare i nostri strumenti e il modo in cui li utilizziamo, nel peggiore dei casi, questa cosa potrebbe avere effetti molto pesanti per le nostre PMI e per gli imprenditori che oggi lavorano con il digital marketing.
Non ci rimane che sperare nel parere positivo del Garante circa GA4 e in un nuovo Privacy Shield tra Europa e Stati Uniti.
Richieste cancellazione dati.
Questa situazione sta aprendo “il mercato degli speculatori”.
Se anche tu hai ricevuto email che ti chiedono la cancellazione dei dati, ti consiglio la lettura di questo articolo scritto dagli avvocati di Legal Blink.
Sul loro sito troverai anche altre risorse che riguardano questa faccenda (come potrai vedere loro sono abbastanza ottimisti sulla conformità di GA4).
0 commenti