La tua azienda ha un sito web?
Per tracciare e analizzare le visite e i comportamenti degli utenti del sito utilizza Google Analytics nella sua versione più diffusa, che si chiama Universal Analytics (o Google Analytics 3) e si presenta come nell’immagine che riportiamo qui sotto?
Se la risposta è sì a entrambe le domande, forse ti conviene leggere queste righe che spiegano:
– perché l’attuale versione di Google Analytics è stata dichiarata illegale in Italia in relazione alla protezione dei dati personali degli utenti di un sito web;
– quali sono le conseguenze per i proprietari di un sito e quali sono le azioni minime che conviene intraprendere.
Affronteremo il tema, in modo semplice e sintetico, prevalentemente sotto il profilo della conformità aziendale alla normativa sulla protezione dei dati personali, ovvero al GDPR 679, perché questa è la nostra competenza specifica.
Dedicheremo invece pochi cenni all’aspetto più strettamente informatico, per il quale ti consigliamo di rivolgerti al tuo webmaster per un confronto sugli interventi da fare al più presto.
Continua a leggere per scoprire cosa fare per essere in regola con il GDPR 679 senza perdere l’accesso alle statistiche del tuo sito.
Google Analytics 3 è veramente illegale?
Ahimè sì. Tutto nasce da una sentenza del Garante italiano per la Privacy (per i curiosi questo è il pronunciamento integrale del Garante), che lo scorso 9 giugno 2022 ha dichiarato illegale l’implementazione di Google Analytics fatta da una società italiana.
La sentenza si riferisce alla versione chiamata Google Analytics 3 o Universal Analytics, attualmente la più diffusa nei siti web come strumento di tracciamento e analisi degli utenti e del loro comportamento.
Analoghi provvedimenti sono stati presi anche dalle autorità garanti di altri paesi europei.
Perché Google Analytics 3 è illegale?
Alla base dell’illecito non c’è l’utilizzo di Google Analytics in sé e per sé, bensì il fatto che Google Analytics raccoglie e detiene dati personali degli utenti.
Le agenzie per la sicurezza governative statunitensi (a partire da NSA e CIA) possono accedere ai dati raccolti da società con sede negli Usa, come di fatto è Google, compresi i dati degli utenti. Inoltre possono farlo senza particolari intoppi burocratici e senza che gli interessati ne abbiano notifica o possano opporvisi, anche nel caso di cittadini europei.
Questa libertà di accesso ai dati personali si scontra con le tutele previste dal GDPR 679, che è il quadro di riferimento europeo per il trattamento dei dati personali.
Cosa si intende in questo caso per dati personali?
I dati personali sono informazioni che rendono identificabile direttamente o indirettamente una persona.
Nel caso di Google Analytics, tramite l’acquisizione e combinazione di indirizzo IP (la stringa di numeri che identifica ogni singolo dispositivo su internet), geolocalizzazioni e comportamenti di navigazione su web è possibile, per gli algoritmi di Google, identificare una persona, indipendentemente dalle procedure di anonimizzazione degli IP. L’operazione risulta ancora più facile se chi naviga è loggato al proprio account Google, come spesso capita.
Chi rischia?
A rischiare le sanzioni del garante, sia ben chiaro, non è Google, bensì la vostra azienda, in quanto titolare del trattamento dei dati.
Esistono soluzioni alternative?
In attesa di un accordo governativo tra Europa e Usa, in grado di risolvere in via definitiva la questione, è possibile trovare soluzioni temporanee, adatte a singoli casi, che proviamo a riassumere nei punti successivi.
Caso 1: avete Google Analytics ma non lo usate!
Può darsi che il vostro sito sia collegato a Google Analytics ma voi non lo sappiate. Per prima cosa dunque chiedete informazioni in merito al vostro webmaster.
Può darsi che il vostro sito sia collegato a Google Analytics ma che in questi anni abbiate guardato le statistiche distrattamente e non vi interessino più di tanto. Questo è il caso di aziende che concepiscono il sito come una semplice vetrina, senza rilevanti attività di webmarketing, come ad esempio l’utilizzo di Google Ads (gli annunci a pagamento che compaiono nelle pagine di ricerca di Google).
In entrambi i casi valutate la possibilità di chiudere in via definitiva Google Analytics, senza ricorrere a strumenti di tracciamento alternativi.
Caso 2: avete Google Analytics e lo usate con soddisfazione!
Se avete un e-commerce, o semplicemente utilizzate il sito web come strumento attivo per le vostre iniziative commerciali e di marketing, rinunciare a tracciare visite e comportamento degli utenti è impossibile, siamo tutti d’accordo.
Cosa fare? Le strade sono sostanzialmente due, sia pure non definitive. Installare la nuova versione di Google Analytics, già disponibile e denominata Google Analytics 4, oppure sperimentare altri sistemi di tracciamento, non legati a Google.
Google Analytics 4 è in regola con il GDPR?
Con tutta probabilità no… però ha almeno tre vantaggi.
Il primo è di non essere ancora stato analizzato ed espressamente vietato dal Garante Privacy.
Il secondo di essere un tool più attento alla privacy e in questo senso più customizzabile da parte di chi lo installa e lo utilizza.
Il terzo è quello di non stravolgere del tutto il sistema di tracciamento utilizzato finora con Google Analitycs ed eventuali sue integrazioni con Google Ads.
Potete cominciare a utilizzare Google Analytics 4 fin da subito, sempre chiedendo al vostro webmaster la sua attivazione ed eventuali personalizzazioni a ulteriore tutela della conformità al GDPR.
Alternative europee a Google, Perché sì, perché no!
Esistono strumenti alternativi a Google, forniti da aziende europee e dunque potenzialmente in regola con il GDPR? Sì esistono, però utilizzare queste alternative comporta almeno due elementi di incertezza.
Il primo è la possibilità che queste aziende abbiano dei server extra EU e dunque risultino in ultima analisi anch’esse non conformi al GDPR. Il secondo riguarda il loro modello di tracciamento, del tutto diverso da quello fornito tramite Google Analytics, che significa dover imparare a usare uno strumento completamente nuovo.
Altre cose da sapere…
La versione di Google Analytics che state usando sarà disattivata da Google stesso a partire da luglio 2023, per motivi del tutto indipendenti dal pronunciamento del Garante Privacy. A partire da questa data gli utenti saranno comunque obbligati a passare alla nuova versione, ovvero Google Analytics 4.
Come evitare di perdere le statistiche storiche?
Chiariamo una prima cosa: nel momento in cui si spegne Google Analytics 3 si interrompe il tracciamento delle visite tramite questo strumento ma si può continuare ad accedere a tutto lo storico dei dati, consultabili tramite il consueto pannello.
Questo vale fino a ottobre 2023, quando anche il pannello di accesso non sarà più raggiungibile. Come fare per non perdere i propri dati storici e poterli confrontare con quelli nuovi? La soluzione più semplice, a costo 0, è quella scaricarli in formato excel, utilizzando la funzionalità già prevista da Google.
In conclusione speriamo di aver fatto un po’ di chiarezza rispetto a un argomento tecnico che coinvolge molte aziende, probabilmente senza che ne siano pienamente consapevoli.
L’invito che vi facciamo è di rivolgervi al più presto sia al vostro DPO (Data Protection Officer o Responsabile della Protezione dei Dati), sia al vostro webmaster, per capire come procedere.