Google Analytics, cosa cambia per le aziende e come risolvere il problema
Tempo di lettura: 3 minutiSi tratta di un vero e proprio terremoto quello che ha colpito nelle ultime settimane Google Analytics in Italia e in Europa. Il Garante italiano per la protezione dei dati personali, seguendo il proprio omonimo svizzero e francese, ha ammonito la società Caffeina Media srl colpevole di usare, come si stima altri 50 milioni di siti web italiani ed europei, Google Analytics sul proprio sito. La società avrà 90 giorni per rimuoverlo e cercare una soluzione alternativa.
Inoltre diversi clienti ci hanno segnalato di aver ricevuto (e come loro probabilmente altre migliaia di aziende italiane) una mail da parte di un’attivista per i diritti digitali che, citando il provvedimento del garante, chiede la rimozione dei propri dati personali ottenuti navigando sul loro sito e quindi trasferiti da Google attraverso Analytics negli USA.
Perchè non si può più usare google analytics
Dall’indagine del Garante è emerso che i gestori dei siti web che utilizzano GA raccolgono, mediante cookie, informazioni sulle interazioni degli utenti con i predetti siti, le singole pagine visitate e i servizi proposti. Tra i molteplici dati raccolti ci sono l’indirizzo IP del dispositivo dell’utente e informazioni relative al browser, al sistema operativo, alla risoluzione dello schermo, alla lingua selezionata, nonché data e ora della visita al sito web. Tali informazioni sono oggetto di trasferimento verso gli Stati Uniti. Dunque non rispetterebbero le normative sul GDPR europeo.
Nel dichiarare l’illiceità del trattamento è stato ribadito che l’indirizzo IP costituisce un dato personale e anche nel caso fosse troncato non diverrebbe un dato anonimo, considerata la capacità di Google di arricchirlo con altri dati di cui è in possesso.
Guido Scorza, componente del Garante per la protezione dei dati personali, intervistato da Giornalettissimo spiega cosi la decisione presa:
«Il contesto è quello dell’ormai famosa decisione della Corte di Giustizia dell’Unione Europea che ha di fatto annullato il Privacy Shield che garantiva l’export di dati verso gli Stati Uniti d’America . La Corte di Giustizia ha evidenziato che tra i due ecosistemi non ci sono le stesse garanzie di tutela: negli Usa, le condizioni per i dati personali importanti dall’Europa non sono le stesse. In particolare, le agenzie di intelligence possono accedere con più facilità ai dati dei cittadini europei e i cittadini europei, in casi di violazioni, non possono appoggiarsi a una autorità garante della privacy che possa offrire loro tutela. Google Analytics, come un sacco di altri servizi americani, presuppone un trasferimento di dati dall’Europa agli Stati Uniti, dati potenzialmente utili a identificare gli utenti che visitano un sito internet che è cliente di Google Analytics: indirizzi IP, identificativi di browser, connessione e tempo di connessione. Essendo, ad oggi, vietato il trasferimento dei dati verso gli Usa, ed avendo ricevuto dei reclami nei confronti di questo aspetto, ci siamo adeguati. La nostra intenzione non era quella di trovare il cattivo del gruppo».
L’orizzonte è quello dei 90 giorni che il Garante ha concesso per effettuare le opportune verifiche. Ma la questione non può risolversi in alcun modo “in casa”. Si tratta di un problema politico, che deve giocarsi tra Bruxelles e Washington. Esattamente come accaduto a marzo dell’anno scorso, quando il presidente Usa e quella della commissione europea avevano trovato un’intesa sull’annoso problema del trasferimento dei dati personali a parità di garanzie.
Cosa devono fare le aziende
Ai nostri clienti e alle diverse aziende che hanno installato Google Analytics e che ci hanno contattato stiamo prospettando diverse opzioni:
- Togliersi il pensiero semplicemente rimuovendo Google Analytics, è la soluzione più “drastica” ma anche la più veloce. Drastica perchè si andrebbero a perdere tutte quelle statistiche e quei dati utili all’analisi del proprio sito, all’ottimizzazione di questo e delle proprie strategie, utili per fare digital marketing in maniera adeguata, ma non per forza necessarie.
- Sostituire Google Analytics con un altro tools possibilmente europeo, cosi da essere compliance con il gdpr. Ne esistono diversi (Matomo, Pickwik), li stiamo testando per i nostri clienti, ci sono pro e contro ma comunque tutti in grado di sostituire GA senza troppi rimpianti.
- Puntare a Google Analytics 4, il nuovo aggiornamento di Google Analytics (la versione 3 Universal è quella oggetto di diatriba) eventualmente anche con alcuni accorgimenti consigliati (installazioni server) dal Garante francese CNIL e dalla stessa Google.
In molti (sicuramente una larga fetta di imprese), forse anche involontariamente, stanno optando per una quarta opzione, ovvero non fare nulla. La questione è sicuramente complessa e c’è chi è convinto che si arriverà a una soluzione tra Stati Uniti e Unione Europea. A Caffeina media srl sono stati dati 90 giorni di tempo, si parla quindi di fine settembre per risolvere la situazione. Dunque anche dovessero arrivare altre segnalazioni si avranno 3 mesi per risolvere la problematica. I siti interessati sono potenzialmente tanti e con la filosofia del “mal comune mezzo gaudio” in molti non si stanno neanche interessando al problema.