Il 23 Giugno 2022 il Garante della Privacy si è espresso sull’uso di Google Analytics sui siti che operano all’interno dell’UE dichiarando che violano il GDPR.
Vediamo insieme cosa sono gli Analytics, perchè li usiamo, perchè violano le regole del GDPR e alcune possibili soluzioni.
Che cosa sono gli Analytics
Google Analytics (GA) è un servizio, gratuito, offerto da Google che consente di analizzare le statistiche riguardanti i visitatori.
È il servizio di statistiche più utilizzato e raccoglie, tramite i cookie, diverse informazioni sugli utenti che visitano il sito. Tra i dati raccolti si trovano parte dell’indirizzo IP dei dispositivi, informazioni relative al motore di ricerca, al sistema operativo utilizzati, alla risoluzione dello schermo, alla lingua selezionata, data e ora della visita.
Perchè usiamo Google Analytics
Utilizziamo questo servizio di statistica sui nostri siti come strumento per il marketing e per la SEO. Esso ci consente di analizzare le tipologie di visite, la quantità, la frequenza e molto altro in modo da capire ad esempio quante visite ad un articolo abbiamo ricevuto, se una call to action è stata cliccaca, se abbiamo visite dall’estero e da quali paesi, se il nostro sito è più visitato da mobile o da desktop e moltro altro.
Può essere integrato con Google Ads in modo da analizzare le campagne online, monitorando la qualità delle pagina e la trasformazione della visita in obiettivo (vendite, visualizzazioni di una specifica pagina, iscrizione alla newsletter o il download di un file).
Tutte queste statistiche servono per poter migliorare il sito web o l’e-commerce sia a livello tecnico che a livello di strategia marketing e comunicativa. Ecco perchè è uno strumento indispensabile che utilizziamo sempre e che cercheremo di mantenere o sostituire, con strumenti altrettanto validi, seguendo le norme GDPR.
La violazione del GDPR
Dopo una serie di reclami e in coordinamento con altre autorità privacy europee il Garante Privacy italiano ha dichiarato che Google Analytics viola la normativa sulla protezione dei dati. La sentenza è arrivata a seguito di quella che è stata definita dall’autorità come una “complessa istruttoria”.
Perchè Analytics viola il GDPR
Il GDPR vieta esplicitamente il trasferimento dei dati degli utenti europei in paesi privi di adeguati livelli di protezione. Poichè Analytics trasferisce i dati negli Stati Uniti, Paese che non ha un adeguato livello di protezione, è un servizio che viola le disposizioni contenute nel Regolamento.
Analytics raccoglie informazioni con ad esempio l’IP, informazioni relative al browser, sistema operativo, risoluzione dello schermo ecc.. che, come sottolineato dal Garante, costituiscono dati personali. In particolare l’IP anche se troncato o anonimizzato non lo è mai veramente perchè può essere facilmente arricchito con altri dati in possesso di Google.
Entro quanto adeguarsi
Entro novanta giorni gli Analytics devono essere o disattivati o sostituiti con uno strumento di tracciamento in linea con le direttive GDPR. Ci sono già stati accertamenti e il Garante ha già ammonito varie aziende.
Google Analytics 4 possibile alternativa?
Il provvedimento è uscito da poco, quindi non è ancora stata fatta chiarezza su tutti gli aspetti. Non si sa ancora se questo provvedimento interesserà anche altri servizi Google (ad es Adwords) o altri servizi che forniscono newsletter. Ci siamo documentati e ci sono vari filoni di pensiero, ma che non hanno attualmente un riscontro certo.
Una possibile alternativa potrebbe essere Google Analytics 4. Google Analytics Universal entro luglio 2023 sarà dismesso e sostituito da Google Analytics 4 (GA4), abbiamo letto molti pareri contrastanti riguardo al fatto che GA4 potrebbe o no essere GDPR compliance.
La pagina di supporto dei nuovi Analytics 4 riporta che Google elimina eventuali indirizzi IP raccolti sugli utenti dell’UE prima di registrare questi dati tramite domini e server che si trovano nell’UE e fornisce controlli per disattivare la raccolta di dati granulari su località e dispositivo in base all’area geografica. In più tutte le operazioni che riguardano gli IP verrebbero eseguite su server in UE prima di inoltrare il traffico ad altri server per l’elaborazione.
È anche vero però che alcune delle aziende ammonite dal Garante usavano GA4.
Conclusioni
Come riportato sopra è una normativa appena uscita e ci sono 90 giorni per adeguarsi. Non è ancora stata fatta sufficiente chiarezza su ogni aspetto e non sappiamo ancora se a breve Google si adeguerà o no alla nuova normativa.
Abbiamo già avvertito tempestivamente, grazie al nostro consulente privacy, tutti i nostri clienti. Per quel che riguarda le altre direttive GDPR i nostri siti sono a norma e costantemente monitorati.
Il nostro suggerimento è aspettare ed attendere qualche chiarimento, prima di migrare dati e scegliere repentinamente uno strumento alternativo che potrebbe essere non consono.
Noi ci stiamo documentando su possibili alternative, come ad esempio Matomo, già da un quando è stato annunciato il passaggio obbligatorio ad Analytics 4, perchè per vari motivi tecnici ha sollevato, non solo a noi, perplessità a livello di usabilità. Ci impegnamo a tenervi aggiornati tramite questo articolo su ulteriori sviluppi.
Hai bisogno di aiuto con la privacy del tuo sito?
Foto di Edho Pratama da Unsplash