Aggiornamento Novembre 2022: a inizio Ottobre il presidente Biden ha firmato l’ordine esecutivo che implementa l’accordo sul trasferimento dei dati sottoscritto a fine Marzo con la Commissione Europea. L’ordine esecutivo potrebbe essere la soluzione per garantire una maggiore protezione per l’invio di dati personali tra Stati Uniti e Unione Europea. Dal momento che gli Stati Uniti hanno emanato il loro ordine esecutivo, ora la Commissione Europea potrà lavorare alla decisione di adeguatezza, che legittimerà i trasferimenti di dati tra UE e USA.
Il 9 giugno 2022 il Garante per la protezione dei dati personali ha pubblicato un provvedimento con cui dichiara illecito il trasferimento di dati personali al di fuori dell’UE effettuato dagli utilizzatori di Google Analytics.
Nel Provvedimento l’Autorità contesta che il trasferimento di dati da parte di Google ai suoi server negli Stati Uniti – in particolare relativamente all’indirizzo IP – possa rendere teoricamente possibile ai servizi segreti americani e/o a Google stessa di incrociarli per risalire a un singolo cittadino europeo e alla sua navigazione.
Dall’analisi di questo provvedimento nascono diverse implicazioni che hanno un impatto, più o meno diretto, sulle impostazioni di tracking di siti web ed eCommerce.
Cerchiamo di fotografare la situazione ad oggi per capire quali sono le possibili strade da intraprendere.
Perchè il Garante dice che Google Analytics è illegale?
Il problema nasce da una sentenza (nota come Schrem II) risalente al 2020 della corte di giustizia europea che ha invalidato il cosiddetto “Privacy Shield“, ovvero l’accordo vigente in quel momento tra Europa e Stati Uniti per il trattamento dei dati personali.
Nella sentenza, si afferma che gli Stati Uniti non garantiscono un livello adeguato di protezione della privacy dei dati personali, rispetto a quanto descritto nel GDPR.
In questo, quali sono i problemi che porta con sè lo strumento Google Analytics? Per capirlo è necessario sapere, almeno in linea generale, come funziona lo strumento. Proviamo a spiegarlo in modo semplice attraverso un esempio.
Abbiamo un sito web con Google Analytics (GA) installato nella sua versione standard (magari attraverso Google Tag Manager), su questo sito navigano gli utenti e a quel punto nel browser di ogni utente vengono eseguiti i “comandi” (richiamati dalla libreria di GA) che inviano i dati ai server di Google ubicati negli USA.
Ricorda, ogni volta che un browser si collega ad un sito web (che abbia attivo il tracciamento con GA) e/o carica degli elementi (immagini, font…), il server a cui si connette vede l’indirizzo IP e altre info legate al browser dell’utente (ese. User Agent) che, secondo il Garante, consentono di risalire poi all’utente in maniera specifica.
In pratica quando noi inviamo il dato a GA, questo porta con sè:
- indirizzo IP
- versione del browser
- la risoluzione dello schermo
- il sistema operativo
Nello specifico dall’indirizzo IP, attraverso la sua geolocalizzazione, si può risalire ad esempio alla città da cui si connette l’utente e, anche se questo viene anonimizzato parzialmente (attraverso la configurazione “Anonymize IP”), secondo il Garante, Google è comunque in grado di risalire all’identità dell’utente o comunque ad identificare l’utente in maniera individuale.
Ed è proprio su questo passaggio di informazioni specifiche sulla singola persona che viene mossa la contestazione a GA.
Google Analytics: ora che succede?
Per rispondere nel modo più preciso possibile a questa domanda è necessario distinguere tra conseguenze, fatti certi e una serie di scenari possibili, ma di fatto ad oggi non definitivi.
La prima certezza è che non esiste una configurazione di GA Universal (la versione attuale di GA) compliant con il GDPR.
La seconda certezza è che la questione non è riguarda solo lo strumento GA (nella sua versione Universal), ma bensì riguarda più in generale la questione privacy e trattamento dei dati personali tra Europa e Stati Uniti.
In sostanza, ogni azione legata alla raccolta dei dati degli utenti europei deve passare al setaccio del GDPR. Vige infatti il principio di accountability (cfr. art. 5, par. 2 e art. 24, par. 1 del Regolamento) secondo il quale “Il titolare è tenuto a mettere in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al Regolamento”.
Le possibili soluzioni tecnologiche
Affermare oggi di avere una soluzione 100% compliant non è possibile e chi lo dice non ti sta raccontando tutta la verità.
Per questo abbiamo chiamato questa parte “Le possibili soluzioni tecnologiche” in quanto qualsiasi soluzione adottata è suscettibile di valutazione da parte del Garante Privacy. Ne è una testimonianza concreta ciò che è accaduto con il Provvedimento del 9 Giugno di cui abbiamo parlato ad inizio articolo.
Di fatto, quello che è successo, ha messo in discussione un setup di GA (nello specifico l’anonimizzazione dell’IP di Universal Analytics) sul quale tutti noi addetti ai lavori eravamo tranquilli, in quanto misura sufficiente alla conformità con il trattamento dei dati secondo GDPR.
Detto questo, entriamo comunque nel merito delle possibili soluzioni tecnologiche.
Migrare a Google Analytics 4
Google Analytics 4 è la nuova generazione di GA che, a prescindere da tutta questa faccenda della Privacy, andrà a sostituire l’attuale versione Universal a partire da Luglio 2023.
Se utilizzi GA, anche solo per leggere i dati, avrai sicuramente già notato il banner che esce da un pò di tempo a questa parte.
Migrare a GA4 sarebbe, quindi, un passaggio obbligato da fare entro Luglio dell’anno prossimo. Ad oggi non possiamo dire che sia al 100% compliant, ma possiamo affermare con certezza che rispetto alla versione precedente vi sono tre differenze molto importanti in ottica favorevole rispetto al tema privacy:
- Google afferma che con la versione 4 non salva l’indirizzo IP dell’utente (fonte Google). Lo riceve in server europei, lo utilizza per derivare le dimensioni geografiche (città, regione, paese, …) ma non lo salva e non lo trasmette negli USA.
- Google Analytics 4 offre la possibilità di non attivare “Signals”, ovvero l’incrocio dei dati tra Analytics e quelli già in possesso di Google sugli utenti loggati (ed esempio attraverso servizi come GMAIL) per derivare rapporti demografici, sugli interessi degli utenti etc.
- GA4 offre la possibilità di disattivare la raccolti di dati granulari su località e dispositivi in base all’area geografica.
Migrare a Google Analytics 4 (GA4) con tracciamento server-side
Attraverso la configurazione di GA4 con il tagging su server si aggiunge un livello di protezione dei dati ulteriore. Questo accade perchè, in pratica, si va a interporre un server intermediario in Europa su cui configurare le regole per rimuovere tutti i dati personali.
Ci sono, però, due problemi principali di questo setup:
- Senza entrare nel dettaglio tecnico, con questa configurazione, di fatto, si arriva ad inviare a Google un dato aggregato (per capirsi il dato che arriva non identifica un unico utente). E questo è un problema per tutta la parte marketing, perchè il tracciamento non serve più a nulla se non a sapere quali sono le pagine più visitate, rendendo in sostanza totalmente inefficace fare campagne pubblicitarie online.
- L’implementazione di questa soluzione ha costi molto elevati, sia per l’infrastruttura da creare che per il lavoro di configurazione del tracciamento.
Se ti stai chiedendo, ma questo setup è possibile applicarlo anche ad GA nella sua versione Universal?
Sì, la stessa soluzione si potrebbe applicare anche a GA Universal, ma l’operazione avrebbe ancora meno senso perchè si andrebbero a caricare costi elevati su una tecnologia che sarà dismessa a Luglio 2023.
Utilizzare strumenti alternativi a Google Analytics
La soluzione più drastica è quella di disinstallare completamente GA e di utilizzare esclusivamente software (tra cui Matomo, Piwik Pro, Eulerian) con server ubicati in Europa. Tuttavia se si sta utilizzando Google Ads per le campagne pubblicitarie, con questa soluzione non si avrà più la possibilità di importare dentro la piattaforma gli obiettivi di GA, le transazioni e-commerce, le conversioni cross-device, oltre che perdere la possibilità di effettuare il remarketing dinamico.
In pratica, e detto in parole più semplici, come visto per la soluzione precedente, si renderebbe totalmente inefficace l’attività di campagne pubblicitarie online.
La soluzione ideale per tutti
La soluzione attesa da tutti gli addetti ai lavori e auspicabile per chiunque abbia un sito o un eCommerce resta dunque quella di un accordo tra Stati Uniti ed Europa che permetta un trasferimento di dati sicuro, nel rispetto della tutela della privacy di tutti gli utenti ma che, allo stesso tempo, consenta a chi lavora nel digital marketing di poter sfruttare appieno tutte le potenzialità offerte dagli strumenti.
In questa direzione, il 25 Marzo di quest’anno (mesi prima del provvedimento del Garante Privacy), il Presidente Americano Joe Biden e il Presidente della Commissione Europea Ursula Von Der Leyen hanno annunciato che USA e UE hanno trovato un accordo politico di principio in materia di trasferimento e trattamento dei dati personali e sulla sicurezza della privacy (il Trans-Atlantic Data Privacy Framework).
L’ accordo deve essere ancora traslato in un testo definitivo, la speranza è che questo accada il prima possibile, ma ad oggi non si può prevedere quanti mesi saranno necessari.
Considerazioni finali e il nostro consiglio
Premesso tutto quello che si afferma, in questo scenario, sono consigli/punti di vista e opinioni sul tema, cerchiamo di ipotizzare uno scenario che sia interessante sotto più punti di vista: migliorativo nella gestione della privacy e non troppo limitante nell’attività di promozione della propria attività sul web.
In attesa di una soluzione definitiva al problema privacy, che sia di natura tecnica o politica, siamo di fronte ad un paradosso: più diventa potente e precisa la raccolta dati, più è difficile poterla applicare in modo sereno.
È sicuramente vero che va tutelato il rispetto della privacy di tutti i cittadini italiani ed europei, ma andrebbe altresì tutelato il diritto delle imprese italiane di fare marketing in maniera economica.
Il nostro consiglio, quindi, è quello di organizzarsi e sentire il proprio consulente di web marketing di riferimento per migrare verso Google Analytics 4 (visto che lo si dovrebbe comunque fare entro Luglio dell’anno prossimo) e rimanere in ascolto di eventuali novità sul fronte politico e tecnico, in attesa di una soluzione chiara sotto ogni punto di vista.
Di fatto su Google Analytics 4 non abbiamo, ad oggi, un punto di vista del Garante per cui potrebbe essere compliant come no. La nostra opinione, che tale rimane, è che si stia lavorando (anche perchè è nello stesso interesse di Google) per renderlo “a norma” con le regole del GDPR Europeo e con le linee guida che stanno sviluppando a livello politico USA e UE nel Trans-Atlantic Data Privacy Framework.