L’allarme è scattato nei giorni scorsi e a farlo suonare è stato il Garante della privacy italiano.
“Google Analytics non si può più utilizzare” ha sentenziato il tutore dei dati personali del bel paese. E sono bastate poche parole per mandare nel panico decine di migliaia di aziende, agenzie, esperti di marketing.
Da ora in poi il sistema di tracciamento dei dati di chi visita un sito web, targato Google, non potrà essere più essere utilizzato. Almeno come lo conosciamo ora.
Ma è davvero così? Cosa sta succedendo? Come dobbiamo comportarci?
Proviamo a fare un po’ di chiarezza.
Lo stop del Garante
Con provvedimento datato 9 giugno 2022 il Garante della Privacy si è espresso dicendo che:
“è illecito il trasferimento di dati personali, verso gli Stai Uniti, che viene realizzato attraverso Google Analytics” perché, sempre secondo il garante gli Usa non garantiscono un adeguato livello di protezione dei dati personali degli utenti che vengono raccolti.
Come sappiamo benissimo, tramite Analytics, i gestori dei siti raccolgono dati sulle interazioni degli utenti, tra cui l’indirizzo Ip del dispositivo, informazioni su sistema operativo e browser, risoluzione dello schermo, lingua selezionata, data e ora della visita.
Questi dati vengono immagazzinati nei sistemi di Google che ha sede negli Usa, geolocalizzazione che, secondo il garante, per via delle leggi in materia in vigore proprio negli Stati Uniti, non protegge gli utenti e la loro privacy.
Proprio il garante, per questo motivo, ha invitato tutti i gestori di siti pubblici e privati a verificare che l’utilizzo di cookie e altri strumenti di tracciamento sia conforme alla normalità in materia di dati personali, con particolare attenzione ad Analytics e a servizi analoghi.
La controversia
In questo momento, dunque, secondo il garante i gestori dei siti dovrebbero abbandonare Google Analytycs e utilizzare, per il trattamento dei dati personali, altri sistemi che non abbiano sede negli Usa ma bensì in Europa.
La causa di questo pronunciamento è da ritrovare nel vuoto normativo venutosi a creare dal 2015 con l’annullamento del Safe Harbor da parte della Corte di Giustizia Ue, per via di una serie di criticità sul rispetto della privacy ad aver creato caos e impossibilità di mettere in atto misure a norma visto che la norma è, appunto, annullata. La questione più che tecnologica è dunque giuridica. Anche la Francia e l’Austria hanno deciso di mettere dei veti a Google Analytics per gli stessi motivi.
Google in risposta ha rilasciato una versione 4 di Google Analytics che tecnicamente consente alle aziende che utilizzano la piattaforma di essere conformi al Gdpr.
Questo upgrade di Analytics infatti cancella gli indirizzi Ip che raccoglie dagli utenti dell’Ue prima di fare la registrazione di tali dati e tale registrazione avviene comunque esclusivamente tramite domini e server in Ue.
Google sottolinea che Analytics fornisce ai siti web controlli per disabilitare la raccolta di Google-signals data su base regionale e per disabilitare la raccolta di dati granulari sul posizionamento e il dispositivo su base regionale. E se si modificano le impostazioni e si disabilita la raccolta per una regione, Analytics conserva tutti i dati storici raccolti in precedenza, ma non vengono raccolti dati aggiuntivi dal momento della modifica. Ma, soprattutto, sono stati introdotti domini aggiuntivi per la raccolta del traffico per garantire che i dati sul traffico con sede nell’Ue vengano raccolti solo tramite server con sede nell’Ue.
Secondo Monitor PA, invece, non è proprio così. Analytics 4, infatti, rimuove gli indirizzi Ip in modo insufficiente a costituire un’efficace misura tecnica supplementare a protezione dei dati personali dell’utente. In primis perché scarica i dati dopo averli ricevuti. Quindi in sostanza, secondo Monitor Pa, promette di scartare dati ampiamente ridondanti di cui non ha comunque bisogno per identificare, tracciare e profilare l’utente.
Cosa fare se si ha analytics installato sul proprio sito.
Una volta individuato l’utilizzo di Analytcs su di un sito il garante concede 90 giorni di tempo per mettersi in regola dopodiché, anche in base di specifiche attività ispettive verificherà la conformità al regolamento Ue dei trasferimenti di dati effettuati dai titolari. Questo significa una rivoluzione totale per il mondo del marketing anche in tempi brevi. Bisognerà adeguarsi.
Sempre che a breve, Google, non decida di rilasciare un ulteriore versione di Analytics che rispetti le prescrizioni del garante e ovviamente anche i dettami europei.
Altrimenti aziende e agenzie di marketing dovranno virare su strumenti di analisi dei dati made in Europa, ma che hanno dei costi a differenza di quella targata Google. Riuscirà il colosso di Mountain View a salvare il suo quasi monopolio? Le prossime settimane saranno decisive.
Discussion about this post