“Il sito web che utilizza il servizio Google Analytics, senza le garanzie previste dal Regolamento Ue, viola la normativa sulla protezione dei dati perché trasferisce negli Stati Uniti, Paese privo di un adeguato livello di protezione, i dati degli utenti.”
Con tre righe di testo scarse, il Garante della Privacy ha stabilito che Google Analytics non rispetta il GDPR o regolamento generale sulla protezione dei dati personali, assestando un colpo devastante a tutti i siti web che utilizzano Google Analytics come strumento per l’analisi dei dati.
Nel mirino del Garante, il fatto che Google Analytics trasferisce i dati degli utenti fuori dall’UE – vale a dire negli Stati Uniti – dove la legge non offre sufficienti garanzie in materia di privacy degli utenti.
In questo articolo vediamo perché il garante è arrivato a queste conclusioni e quali sono le alternative a Google Analytics che puoi adottare.
Google Analytics e GDPR: perché il garante ha decretato lo stop
Quali sono le conseguenze per chi usa Google Analytics
Google Analytics 4 e GDPR: una possibile soluzione?
Alternative a Google Analytics
Google Analytics e GDPR: perché il garante ha decretato lo stop
Google Analytics è lo strumento di Google che nel corso degli anni si è di fatto affermato come lo strumento di web analytics per eccellenza.
Tramite l’inserimento di un codice di tracciamento all’interno del sito web, permette al proprietario di monitorare nel dettaglio dati come le visite totali su una pagina, i tassi di interazione, il tempo medio, l’origine del clic e via dicendo.
Google Analytics però non calcola questi dati in astratto: per farlo deve installare dei cookie di tracciamento (cookie di terze parti) sul dispositivo dell’utente, che gli permettono di conoscere e memorizzare l’indirizzo IP del dispositivo.
L’indirizzo IP permette a Google di capire se ad esempio più visite sul sito siano dovute a più utenti (indirizzi IP diversi) o ad uno stesso utente (stesso indirizzo IP).
Questo dato, che pure non è accessibile dall’utilizzatore finale di Analytics, tuttavia viene portato oltreoceano – dopo un processo di anonimizzazione tramite il troncamento delle ultime cifre – nei server statunitensi di Google.
Qui nasce il problema per il Garante della Privacy.
Per le autorità europee, l’indirizzo IP costituisce a tutti gli effetti un dato personale che viene trasferito al di fuori dello spazio comunitario, nello specifico in un paese dove le leggi in materia di privacy sono insufficienti e incompatibili con i diritti privacy dei cittadini europei.
In determinate condizioni – ritenute inaccettabili dall’UE – la legge americana consente infatti alle agenzie di intelligence di obbligare le aziende con sede negli Stati Uniti a fornire tutti i dati in loro possesso, anche quelli relativi a cittadini di paesi terzi.
Ma dopotutto non stiamo parlando di soli indirizzi IP e per altro troncati? Che utilità potrebbero avere per le autorità americane?
Per il Garante italiano, così come per quello austriaco e francese, il problema è che Google in realtà dispone di tanti ulteriori dati con cui arricchire questo indirizzo IP seppur monco: l’account di gmail, maps, il play store e tutti gli altri strumenti gratuiti offerti da Google.
L’indirizzo IP – che viene passato oltreoceano come conseguenza della navigazione di un sito terzo – sommato a tutti gli altri dati di cui dispone Google e alla legge americana di fatto mette un enorme potere nelle mani delle agenzie di intelligence americane.
“l’indirizzo IP costituisce un dato personale e anche nel caso fosse troncato non diverrebbe un dato anonimo, considerata la capacità di Google di arricchirlo con altri dati di cui è in possesso”.
Per questo motivo, allo stato attuale Google Analytics non rispetta il GDPR.
Quali sono le conseguenze per chi usa Google Analytics
Ora, il problema concreto è appunto che Google Analytics è utilizzato da tutti i siti web italiani. Tecnicamente, quindi stanno tutti violando il GDPR.
Il Garante naturalmente ha già lasciato intendere che non si metterà a dare la caccia dall’oggi al domani a tutti i siti web non conformi. Oltre ad essere molto difficile a livello pratico, i siti a norma che troverebbe si potrebbero contare sulle dita di una mano.
Ha perciò dato tempo per mettersi a posto a tutti i gestori e titolari di siti web fino al 7 settembre 2022, data a partire dalla quale verificherà sulla base di segnalazioni e attività ispettive mirate la conformità al GDPR dei siti web in materia di web analytics e trasferimento di dati.
Posto che bisognaagire entro il 7 settembre rimane il dubbio del che fare: rinunciare ai web analytics o valutare soluzioni alternative?
Google Analytics 4 e GDPR: una possibile soluzione?
Una delle soluzioni ventilata da alcuni e naturalmente caldeggiata da Google, è il passaggio a GA4, l’ultima versione di Google Analytics.
Dal 2023 infatti il vecchio Universal Analytics (Google Analytics 3) – ancora ampiamente utilizzato – verrà definitivamente mandato in pensione per lasciare spazio alla nuova versione del software.
Ben consci degli sviluppi nel vecchio continente, in Google hanno prontamente dichiarato che il software nasce con il concetto di privacy al proprio centro e che – crucialmente – Google Analytics 4 non salverà gli indirizzi IP.
Google Analytics 4 è GDPR compliant quindi?Difficile esserne sicuri.
Il garante della privacy infatti non è tenuto a dare una propria approvazione ad un determinato strumento prima che venga immesso sul mercato italiano o europeo. Essendo un organo di garanzia infatti agisce a posteriori, sulla base di segnalazioni o notifiche che gli arrivano.
La responsabilità di trovare e utilizzare uno strumento che sia a norma di GDPR pertanto ricade interamente sul titolare del trattamento dei dati personali.
Detto questo, dalle prime analisi sembrerebbe che, nonostante quanto dichiarato, Google Analytics 4 non sia GDPR compliant.
Secondo Federico Capello, socio dello studio Regip e DPO Nurtigo il problema è chec’è ancora un trasferimento di dati e che questo trasferimento avviene in violazione del regolamento europeo.
F.C: “Google Analytics 4 ancora oggi basa il trasferimento dei dati negli Stati Uniti sulle clausole contrattuali tipo. Ma come esplicitato dai Garanti austriaco, francese e italiano non si può applicare una clausola contrattuale tipo come base per il trasferimento dei dati, se poi dall’altra parte dell’oceano c’è una legge – la FISA 702 – che prevede la possibilità di sorvegliare i dati dei cittadini europei.”
Alternative a Google Analytics
Se Google Analytics 3 non va più bene e il 4 non offre garanzie, rimangono fondamentalmente due le strade percorribili: rinunciare ad avere uno strumento di web analytics sul sito o trovare delle alternative a Google Analytics.
La buona notizia è che ci sono numerose alternative che puoi adottare. Vediamone due: Matomo Analytics e Nurtigo.
Matomo Analytics
Matomo Analytics è uno strumento di web analytics che ricorda molto da vicino il caro vecchio Google Analytics 3 o Universal Analytics.
Basta un colpo d’occhio alla dashboard per ritrovarsi subito a casa: sulla sinistra si ritrovano le due voci fondamentali come acquisizione e comportamento, dove si possono vedere le fonti di traffico e le pagine più visitate, con percentuali di rimbalzo, tempo di visualizzazione e quant’altro.
Per certi versi Matomo è più simile a Universal Analytics (GA3) di quanto non lo sia il successore (cosa che ha fatto arrabbiare e disperare non pochi utilizzatori).
La differenza fondamentale con i prodotti di casa Google è che Matomo non utilizza cookie di terze parti per elaborare i suoi dati. Registra sì dati come sistema operativo, browser, indirizzo IP e lingua del browser, ma li comprime in un’unica stringa di caratteri casuali che ogni 24 cambiano e vengono completamente anonimizzati.
In altre parole, nemmeno Matomo, se volesse, potrebbe decodificarli e utilizzarli per identificare una persona.
In secondo luogo, Matomo offre l’opportunità di tenere tutti questi dati on-premise sui propri sistemi aziendali, mettendoli di fatto al riparo dalla mano di agenzie d’intelligence d’oltreoceano.
Non a caso utilizzano Matomo siti come quello della Commissione Europea e dei Garanti della privacy italiano e francese.
Nurtigo
Nurtigo, è invece una soluzione di marketing automation dotata di funzionalità di web analytics, che permettono all’utilizzatore di vedere in modalità aggregata tanto le visite ad una pagina quanto le visite dei contatti.
La differenza fondamentale tra Matomo e Nurtigo si ha sul ruolo e il trattamento degli utenti che visitano il tuo sito.
Matomo vuole offrirti una soluzione di data analytics il più anonima possibile, dove tutti i dati sono completamente anonimizzati e le persone che visitano il tuo sito non sono altro numeri all’interno di un grafico. Lo scopo del software è quello di mostrarti le statistiche del tuo sito.
Nurtigo invece adotta un punto di vista differente: ti mostra sì le statistiche del tuo sito relative alle pagine visitate dagli utenti e alla fonte del traffico, esattamente come gli altri strumenti di data analytics, ma il suo focus verte su quanto accade durante e dopo la visita al sito web.
Nurtigo infatti permette di registrare i dati personali degli utenti nel momento in cui compilano i form di registrazione (es. per l’iscrizione alla newsletter, per la richiesta di un preventivo, etc) assegnando quindi un nome e una mail alle azioni specifiche che sono state compiute durante una visita.
In questo modo, Nurtigo ti offre:
- la possibilità di conoscere i dati effettivi sull’andamento del tuo sito
- gli strumenti per convertire i visitatori in lead (pop-up, form, landing page)
- gli strumenti per contattare i lead e trasformarli col tempo in clienti: mail automatizzate, reminder, follow-up.
Nurtigo permette di fare questo in maniera totalmente GDPR compliant: gli utenti (anonimi e conosciuti) possono rifiutare in ogni momento il consenso alla profilazione, quello ad essere contattati, così come possono chiedere la totale cancellazione dal database.
Inoltre Nurtigo è un’azienda con sede all’interno dello spazio economico europeo: tutti i dati che tratta sono fisicamente in Europa e sono tutelati dal regolamento europeo per la privacy.
Conclusioni
Per ricapitolare.
Google Analytics viola apertamente il GDPR perché trasferisce fisicamente i dati personali dei cittadini europei negli Stati Uniti, dove la legge americana consente alle agenzie di intelligence di accedervi.
I titolari o gestori dei siti che utilizzano Google Analytics devono trovare un modo per mettersi in regola entro il 7 settembre, prima che il Garante inizi a muoversi in base a segnalazioni e indagini.
Fortunatamente esistono molte soluzioni alternative a Google Analytics, tra cui Matomo e Nurtigo.
Questi i key takeaway dell’articolo. Ma naturalmente qui abbiamo solo scalfito la superficie del problema.
Se vuoi approfondire la questione puoi guardare quando vuoi il webinar gratuito che abbiamo tenuto lo scorso 12 luglio su questo tema cliccando sul banner qui sotto.
Federico Capello, esperto privacy e DPO Nurtigo, ci spiega tutte le ragioni del provvedimento del garante e cosa devi fare per avere un sito a prova di GDPR.