Google Analytics incassa una sonora bocciatura anche in Italia, dove il Garante per la Privacy ha ammonito un editore perché non rispettava le norme del GDPR. A voler entrare un po’ di più nello specifico, bisognerebbe spiegare che a finire sotto la lente di ingrandimento è stato il settaggio di Google Analytics: benché l’IP fosse anonimizzato, questo dato è stato ritenuto sensibile e come tale non può venire trasferito negli Stati uniti d’America, senza che siano state date delle adeguate garanzie.
Il motivo per cui i dati che finisco negli Usa preoccupano il Garante della Privacy è legato ad una legge statunitense, che permette alla NSA, ossia all’Agenzia delle Sicurezza Nazionale Americana di accedere a qualsiasi tipo di dato relativo a persone che non siano residenti negli Stati Uniti, ma che siano archiviati sui server delle società americane. Questo può avvenire senza che ci sia un intervento diretto di un giudice, come invece è necessario nell’Unione Europea. Appare molto chiaro, a questo punto, che il dibattito sui dati gestiti attraverso Google Analytics passa attraverso due filoni molto importanti:
- predisporre un’adeguata protezione dei dati che vengono raccolti attraverso Google Analytics;
- passaggio dei dati dall’Unione Europea agli Stati Uniti d’America.
Google Analytics, un setting a prova di privacy
Iniziamo a tranquillizzare molti esperti del settore. Il Garante della Privacy ha puntato il dito contro un settaggio datato 2020. Quindi sostanzialmente è legato a Google Universal Analytics, che è la versione che stanno utilizzando la maggior parte dei digital marketers. Questo prodotto verrà dismesso il 1° luglio 2023, fra un anno circa. In questa versione di Google Analytics c’era la possibilità di rendere anonimi gli IP, andando a cancellare le ultime sei cifre, rendendo impossibile andare a riconoscere l’utente che ha navigato sul sito. Purtroppo non offre delle garanzie adeguate sullo stoccaggio e sulla visualizzazione dei dati una volta che sono stati archiviati negli Stati Uniti.
La versione Google Analytics 4 ha introdotto alcune novità molto importanti e si è pensato maggiormente alla privacy degli utenti. La nuova versione non salva in alcun modo l’IP degli utenti, ma soprattutto, tramite un opportuno settaggio, permette di non memorizzare le informazioni che permettono di rendere riconoscibile l’utente. Tra queste ci sono la versione del browser e la risoluzione dello schermo, solo per fare alcuni esempi. Con qualche altro accorgimento è possibile configurare Google Analytics in modo da ricevere l’IP del server in cui è installato il software e non quello reale dell’utente.
A questo punto sembrerebbe proprio tutto risolto. Sembrerebbe proprio di no, almeno per il momento. Per il momento il Garante della Privacy avrebbe aperto ad alcune proposte, che sono arrivate direttamente dal mercato. Ma nessuna di queste avrebbe dato la garanzia di essere sicura al 100% in fatto di compliant.
La punta di un iceberg
Questa volta il dito è stato puntato contro Google Analytics e contro il suo metodo di tracciamento. Ci si scorda, però, che la maggior parte dei tool che vengono utilizzati all’interno dei vari siti web provengono dagli Stati Uniti d’America. Teoricamente sarebbero, in qualsiasi momento, passibili di un’ammonizione simile a quella che abbiamo appena visto. Basti pensare ai vari sistemi di email marketing, a quelli di advertising o di cart recovery, solo per citarne alcuni.
Il problema del trasferimento dei dati dall’Europa agli Stati Uniti è cominciato con la sentenza Schrems II 2020, quando la Corte europea ha provveduto ad invalidare il Privacy Shield, che era attivo tra le due sponde dell’Atlantico, per il semplice fatto che la normativa statunitense non fornisce una garanzia sulla protezione dei dati e della privacy simile a quella che c’è nell’Unione europea. Questo significa che, utilizzare un qualsiasi tool statunitense sul proprio sito internet, senza che ci sia un’adeguata protezione dei dati, apre la porta – almeno potenzialmente – all’illegalità, in quanto non conforme al GDPR. Sarà necessario, comunque, andare a valutare caso per caso: non è possibile fare un discorso generico.
Google Analytics ma non solo: di cosa avere paura
A questo punto sembra che il problema sia molto più ampio e non abbia come oggetto solo Google Analytics. La questione sembra diventare politica: il presidente degli Stati Uniti d’America e la presidente della Commissione Europea starebbero cercando di creare un tavolo per concordare ed arrivare a garantire un corretto passaggio dei dati personali, che dovrebbe funzionare da e verso entrambe le parti. Per il momento, comunque, non sembra che sia stato ancora definito un bel niente e si corre il rischio che possano arrivare delle altre ammonizioni per tuti quei tool che sono utilizzati a fini di marketing.
L’unica strada che possono percorrere al momento i tecnici, è quella di ridurre al minimo l’export dei dati personali. Già oggi sul mercato esistono degli strumenti adatti per farlo.