“Prima di rispondere a una domanda
dovreste sempre accendere la vostra pipa.”

Frase attribuita ad Albert Einstein

Chiunque lavori nel mondo digitale avrà sicuramente sentito parlare del recente provvedimento del Garante della Privacy che, pronunciandosi su un caso risalente al 2020, ha valutato non conforme al GDPR un’implementazione di Google Analytics Universal su un sito italiano. Numerosi quotidiani e quasi tutti i membri di Linkedin si sono affrettati a riportare la notizia, spesso con toni allarmistici o catastrofici (es. “Vietato l’uso di Google Analytics” del Sole 24 ore, 23 giugno 2022). Tantissime aziende ci hanno contattato per sapere come agire, comprensibilmente preoccupate e confuse.

Digital Pills ha scelto di astenersi dalla pubblicazione di contenuti mordi-e-fuggi, preferendo prendersi il tempo per caricare la proverbiale pipa e produrre un contenuto di qualità che potesse fare chiarezza sul tema senza cavalcare gli umori del momento. 

Prima di cominciare, una doverosa esclusione di responsabilità: questo articolo intende fornire una visione più accurata possibile dell’attuale situazione; non è da considerarsi parere legale, è fornito solo a scopo informativo e deve essere usato a proprio rischio e pericolo. Per redigere questo contenuto abbiamo consultato consulenti legali, letto approfonditamente il provvedimento del Garante e numerosi altri documenti (riportati nella sezione “fonti” al termine dell’articolo).

TLDR - Ovvero il riassunto brevissimo per persone molto impegnate

Il provvedimento che ha scatenato questo polverone fa riferimento ad un caso del 2020, ed è relativo ad un sito di gossip che aveva implementato la vecchia versione di Google Analytics senza adeguati accorgimenti tecnici atti a prevenire il trasferimento di dati personali negli USA. Per stessa ammissione del Garante, si tratta di una “violazione minore”.

Se propriamente configurata, la nuova versione di Google Analytics (4) può prevenire il trasferimento di dati personali negli USA. Inoltre, tutte le aziende che per vari motivi decidessero di non utilizzare più Google Analytics hanno a disposizione numerose alternative per sostituirlo. 

Qualunque sia la vostra scelta, siamo a disposizione per supportarvi nell’adeguamento del sistema di tracciamento. A nostro avviso questa potrebbe essere un’ottima opportunità per potenziare i sistemi di raccolta dati in azienda e renderli 100% GDPR compliant.

Per capire meglio come possiamo aiutarti, puoi chiederci un audit gratuito compilando questo form:

Il contesto normativo per i non addetti ai lavori

La base legislativa su cui poggia la questione nasce dalla sentenza Schrems II, in cui la Corte di Giustizia Europea ha decretato invalida la precedente decisione della commissione 2016/1250 (EU-US Privacy Shield) e ha riconosciuto la possibilità di interrompere o proibire il trasferimento di dati personali verso stati terzi se non garantite le condizioni per rispettare gli stessi standard di protezione europei. Gli USA hanno rappresentato il più naturale casus belli in quanto: 1) le attuali leggi americane consentono ad enti governativi (e.s. NSA / CIA) l’accesso ai dati in possesso di società americane 2) negli USA hanno sede la maggior parte dei colossi tecnologici, che hanno quindi accesso ai dati personali di milioni di cittadini europei. 

Il concetto più importante è il seguente: non è il trasferimento di dati in senso lato a rappresentare un problema, quanto il trasferimento di dati personali. L'Art. 4 del GDPR (UE/2016/679) chiarisce che:

“Per «dati personali» si intende qualsiasi informazione concernente una persona fisica identificata o identificabile.”

Attorno a questa (apparentemente) semplice definizione il gruppo di lavoro per la protezione dei dati personali ha creato il Parere 4/2007 che chiarisce cosa è da considerarsi dato personale e cosa no. L’esempio 15 specifica che l’indirizzo IP è da considerarsi un dato personale, poiché consente l’identificazione di una persona con mezzi ragionevoli.

Al contrario, il cookie che Google Analytics utilizza per funzionare non è da considerarsi dato personale in quanto:

  1. È un cookie di prima parte, che può essere letto soltanto dal dominio che lo ha impostato e che cambia per ogni sito visitato. Non è pertanto possibile raccogliere informazioni sul comportamento di navigazione tra siti web diversi - neanche per Google. 
  2. Ricade nella casistica dei dati pseudonimizzati perché è un numero casuale e imprevedibile e il numero dei pseudonimi possibili così ampio che uno stesso pseudonimo non possa essere mai selezionato casualmente due volte (cfr. Pagina 18 del Parere 4/2007).
  3. L’eventuale identificabilità indiretta dell’utente unendo altri dati (es. User ID, transaction ID, etc) non è realizzabile da Google e quindi nemmeno dagli enti governativi americani.

Il provvedimento del Garante che ha fatto scalpore fa leva sul fatto che il sito web in esame trasferisse l’indirizzo IP a Google (e quindi negli USA). In una nota è anche specificato che il sistema di anonimizzazione dell’IP attivato in seguito (e offerta come opzione all’interno di Google Analytics Universal) non è sufficiente a garantire una protezione adeguata in quanto l’anonimizzazione avviene all’interno dei server di Google. 

Google Analytics può essere implementato in diversi modi, il che ha un impatto sulla sua valutazione ai sensi del GDPR. Di conseguenza, il fatto che l'autorità abbia ritenuto l'implementazione non conforme non significa che anche altre implementazioni di Google Analytics non siano conformi.

Al proprietario del sito web è quindi intimato di adeguare il sistema entro 90 giorni, senza sanzioni amministrative o penali. Come già detto in precedenza, lo stesso provvedimento chiarisce infatti che si tratta di una “violazione minore”. 

La risposta di Google e Google Analytics 4

Per prima cosa è doveroso ricordare che il provvedimento del garante italiano è solo l’ultimo di una lunga serie, e ha di fatto replicato senza particolari novità quello austriaco del dicembre 2021 e quello francese del febbraio 2022. Già a gennaio 2022 Google scriveva che “Google offre Analytics alle aziende di tutto il mondo da oltre 15 anni, e in tutto questo tempo non ha mai ricevuto richieste di accesso ai dati da parte di agenzie governative”. Sembra in effetti strano che una delle intelligence più potenti del mondo per identificare il Mario Rossi di turno abbia bisogno di conoscere i suoi articoli preferiti su TV Sorrisi & Canzoni.

Il caso preso in esame considera un sito che nel 2020 utilizzava la vecchia versione di Google Analytics, senza sfruttare molte delle opzioni di anonimizzazione dei dati oggi disponibili. Nel frattempo, è stata rilasciata l’ultima versione di Google Analytics (la 4, che peraltro sarà anche l’unica disponibile a partire da luglio 2023), che include già di default molte opzioni per mitigare l’impatto dei dati raccolti in ambito GDPR. In particolare:

  • GA4 elimina tutti gli indirizzi IP raccolti dagli utenti dell'UE prima di registrare i dati attraverso i domini e i server dell'UE.
  • È possibile disabilitare Google Signals, l’opzione avanzata per l’arricchimento dei dati raccolti offerta da Google.
  • GA4 è integrato al 100% con il Consent Mode, il sistema per raccogliere e rispettare il consenso dell’utente rispetto ai cookie.
  • È possibile disabilitare la raccolta di alcuni dati di dettaglio come città, versione del browser, etc.

Oltre a tutto questo, da un paio d’anni è anche disponibile GTM server-side, lo strumento di tag management lato server di Google. Questo è un ulteriore (e potentissimo) mezzo per garantire la totale anonimizzazione dei dati raccolti, perché consente di inserire uno “schermo” tra l’utente e Google, filtrando selettivamente ogni informazione inviata ad Analytics e garantendone quindi la totale sicurezza. 

Come agire? Le soluzioni possibili

Evitando inutili e dannosi allarmismi, le aziende possono adeguarsi per non rischiare di incappare in provvedimenti analoghi a quello analizzato in questo articolo. La bella notizia è che, a nostro avviso, possono farlo senza sacrificare la qualità e la profondità di un dato così importante come quello della web e app analytics. 

Lavorando in questo settore da molti anni, conosciamo e abbiamo lavorato su uno spettro molto ampio di strumenti e casistiche. Abbiamo quindi identificato 5 scenari principali tra cui è teoricamente possibile scegliere. L’importante è che a guidare sia una strategia di lungo periodo, accompagnata da una profonda conoscenza tecnica delle soluzioni e degli strumenti: in Digital Pills lavoriamo al fianco dei nostri clienti proprio per accompagnarli in questo percorso, se vuoi saperne di più puoi scriverci qui.

 
Andiamo quindi ad illustrare brevemente questi scenari. 

  1. GTM server con Universal Analytics
    Questa è l’opzione che meno ci sentiamo di consigliare, ma che a livello teorico è percorribile. Ricordiamo che la vecchia versione di Google Analytics verrà dismessa a luglio 2023; non vediamo quindi di buon occhio investimenti in questo strumento per un arco temporale così breve. Utilizzando GTM server side (o un altro sistema di tag management lato server) è possibile anonimizzare l’indirizzo IP prima che questo giunga sui server di Google - andando a scongiurare lo scenario oggetto del provvedimento del Garante. 
  2. GA4 client side
    Grazie alle numerose opzioni messe a disposizione da GA4, è possibile impostare lo strumento con una serie di impostazioni che limitano notevolmente l’impatto GDPR del tracciamento. (data sharing options off, disattivazione di Google Signals, implementazione di Consent Mode, etc).
  3. GA4 con GTM server
    Per tutti coloro che desiderano portare “cintura e bretelle”, è possibile unire la flessibilità di GA4 alla potenza di GTM server side ed implementare quindi un tracciamento più avanzato in cui tutte le anonimizzazioni vengono effettuate lato server. Negli ultimi 12 mesi abbiamo lavorato su moltissime implementazioni di GTM server-side in tutta Europa, e possiamo quindi testimoniarne la grande efficacia e affidabilità. 
  4. Piwik o altro strumento con conservazione dati in EU
    Il recente polverone ha fatto nascere o tornare in auge strumenti di web analytics che in passato non godevano di quote di mercato significative. Stiamo parlando ad esempio di Piwik PRO, di cui siamo il primo e unico partner in Italia (se vuoi saperne di più scrivici qui), che garantisce il salvataggio di tutti i dati degli utenti all’interno dell’Unione Europea. Avendo implementato anche molte di queste soluzioni, ci sentiamo di mettere in guardia rispetto ad uno svantaggio significativo: rispetto a Google Analytics si tratta di software più rudimentali che hanno meno potenzialità a livello di analisi e raccolta dei dati. 
  5. Self hosting di strumenti evoluti
    Le aziende più avanzate a livello di analisi e raccolta dei dati stanno utilizzando già da diversi anni soluzioni molto più complesse e integrate all’interno della propria data stack. Stiamo parlando di strumenti come Snowplow, che offrono funzionalità decisamente più evolute anche rispetto a Google Analytics, ma che per contro richiedono una competenza tecnica non indifferente per sfruttarle e mantenerle. Anche in questo caso valutare la soluzione migliore richiede un’attenta analisi, che deve sempre partire dalle necessità aziendali: abbiamo implementato numerosi progetti di questo tipo, quindi se in questo momento hai necessità di capire come muoverti, contattaci compilando questo form e inserendo le tue richieste.


Qualunque sia la soluzione che sceglierete, non ci stancheremo mai di ripetere che deve partire da un’attenta analisi delle necessità e del livello di maturità aziendale.
Diffidate sempre di chi propone una soluzione “copia e incolla” che dovrebbe andare bene per tutti.

In questo mondo non esiste il one size fits all!

Conclusione

Questo contenuto ha richiesto diversi giorni di lavoro per essere completato. È il nostro tentativo di tranquillizzare chi ci segue e ci stima sul fatto che non è il momento per farsi sopraffare e prendere decisioni affrettate - di cui ci si pentirebbe sicuramente nel lungo termine. 

Ancora una volta ricordiamo che non è Google Analytics in quanto tale ad essere illegale, ma la sua implementazione non GDPR compliant. Consigliamo quindi di sfruttare questa occasione non solo per rivedere il proprio sistema di raccolta dati in ottica GDPR compliant, ma per potenziarlo e - perché no - ottenere dati migliori e più affidabili.

Per concludere invitiamo anche a valutare analisi approfondite dei software attualmente in uso in azienda; se è vero che il nodo centrale della questione è il trasferimento dei dati personali (indirizzi email, numeri di telefono, nomi e cognomi, etc.) all’estero, è importante chiedersi non solo se Google Analytics è implementato a norma di legge, ma se lo sono anche i vari CRM, sistemi di email marketing, supporto clienti e così via.

Se in questo momento hai bisogno di un confronto e vuoi affidarti a degli esperti, puoi iniziare richiedendo un audit gratuito del tuo sistema di tracciamento: in questo modo potremo fornirti delle indicazioni pratiche da seguire e potrai sperimentare e testare il nostro approccio. 

Fonti