Google Analytics è illegale?

Un recente provvedimento del Garante della Privacy Italiano ha scatenato una serie di reazioni a catena riguardo Google Analytics. Molte testate giornalistiche hanno acclamato “Google Analytics è illegale“. Scopriamo perché questi titoli click bait sono scorretti, e cosa è veramente illecito, e non illegale.

Attenzione

Confrontarvi sempre con un legale prima di prendere qualsiasi decisione, in quanto ogni realtà ed ogni utilizzo di piattaforme come Google Analytics dipende dal singolo titolare dell’attività. Il contenuto di questo articolo ha carattere informativo, e non rappresenta consulenza legale.

Google Analytics è illegale in Italia? No, va semplicemente configurato bene.

 

Cosa è successo esattamente?

Anche in Italia il Garante della Privacy si è pronunciato sull’uso di Universal Analytics, la versione “3” della piattaforma di analisi dei segnali web standard di settore a livello internazionale; già in questa prima frase, l’utente dovrebbe poter tirare un sospiro di sollievo. Il provvedimento ha a che vedere con Universal Analytics, ovvero Google Analytics 3 (GA3).

Eventualmente, ciò che viola il GDPR, è questa versione della piattaforma.

Inoltre, questo provvedimento del GdP fa riferimento ad una segnalazione avvenuta nel 2020, per la mancata anonimizzazione degli indirizzi IP da parte di un sito web. All’epoca GA4 non esisteva neppure, come lo conosciamo oggi.

Sempre nel 2020, esisteva solo Google America come responsabile del trattamento dei dati di Google Analytics, e quindi Google Irlanda non era ancora entrata in gioco.

A completare il quadro, il Garante della Privacy non ha mai detto che Google Analytics sia “illegale” in Italia. Questi sono termini pressapochisti di certa stampa.

Il proprietari del sito web in questione si sono impegnati ad anonimizzare gli IP tramite il protocollo standard offerto da UA, e tuttavia a questo punto il GdP ha fatto notare che la troncatura dell’IP avviene solo dopo che il dato è stato salvato sui server di Google, rendendo di fatto più sicura la gestione del dato, ma contravvenendo comunque alla responsabilità di chi offre il sito web, ovvero di garantire la tutela dei diritti di Privacy Europei ai propri utenti.

Quindi. il problema non risiede nell’anonimizzazione dell’IP, ma nel trasferimento di determinati dati su server extra europei, non quindi soggetti a trattamento regolato dalle nostre leggi. Tutto questo è risolvibile implementando il Server Side Tracking con anonimizzazione dei PII.

Le conclusioni del Garante della Privacy non sono di vietare l’utilizzo di Google Analytics, ma piuttosto di adottare altre misure, ulteriori rispetto a quelle messe già in campo, per rendere questo trasferimento di dati lecito.

La differenza tra Universal Analytics e GA4

Qual’è la differenza principale tra GA3 e GA4? Non esiste una differenza principale, perché non stiamo parlando di versioni diverse della stessa piattaforma. Non stiamo neanche parlando di piattaforme diverse che fanno la stessa cosa. Stiamo parlando di due strumenti, software e funzionamenti diametralmente diversi.

Da una parte abbiamo Google Analytics basato sul Protocollo di Misurazione Universale (Universal Analytics), tanto caro a noi tutti. E’ la piattaforma sulla quale ci siamo fatti le ossa, con la quale siamo cresciuti, e che out of the box offre decine di utilissime rapporti per analizzare la performance del sito web, e migliorare la User Experience. GA3 si basa su hit che scattano con ogni pageview; il javascript invia un hit direttamente dalla sessione del browser, Questo hit trasporta con se l’indirizzo IP dell’utente, e molti altre segnali, attraverso i quali attribuisce le azioni ad una specifica visita, ed utenti univoci (sempre, e completamente, anonimizzati).

GA4 invece non si basa sugli stessi hit, ma invece su degli eventi. Eventi che scattano nell’utilizzo di ogni sito web a livello di browser, e che poi vengono uniti a determinati metadati estratti dall’IP in modo volatile, senza salvarlo sui server. Poi, il Machine Learning e la IA utilizzano altri segnali, a completa discrezione di chi lo configura, per attribuire in modo più o meno preciso questi eventi a utenti e sessioni, tutto in modo derivato ed indiretto. Di contro, per via della completa libertà di configurazione che si ha con GA4, out of the box la macchina fa gran poco, con enorme sgomento di tutti quei “Data Analyst” che usavano GA3 usando solo i report standard.

GA4 è una macchina molto potente, e molto più rispettosa della privacy rispetto a GA3 (dove già GA3 era estremamente trasparente a tal proposito), ma richiede configurazione personalizzata al 100%.

Perché anonimizzare gli IP non basta?

Come detto, il workaround dell’anonimizzazione deli IP non è più sufficiente a tutelare le informazioni personali dell’utente, in quanto l’indirizzo IP viene comunque salvato agli occhi di Google. Questo fa si che, essendo i server situati al di fuori dell’Europa (e anche se i dati di GA3 e GA4 passano per i server Europei di Google, pare che Google America sia ancora sub-responsabile del trattamento dei dati, e dunque potenzialmente può ancora fornirli a terze parti nel caso che stiamo per andare ad enunciare), in determinati casi le agenzie di intelligence (in questo caso americane, come l’FBI) possano accedere a tali informazioni senza notificare nulla all’utente stesso.

E’ anche grazie al fatto che le agenzie di intelligence possono accedere a questi dati, che il tasso di attacchi terroristici si è ridotto drasticamente negli anni. Ma questo poco importa, a chi ha creato questa legge sulla privacy degli utenti (anche se poi non fanno niente per i call center che ottengono misteriosamente i nostri dati personali da agenzie energetiche e telco ogni volta che stipuliamo un contratto).

Cosa è effettivamente illecito

A questo punto dovrebbe essere più chiara l’immagine generale riguardo a questo provvedimento: Universal Analytics, GA3, va effettivamente dismesso quanto prima (ben prima della “scadenza” del software a luglio del 2023), e va affrontato immediatamente il passaggio a GA4. Su questo, non ci piove.

Inoltre, tuttavia, GA4 “out of the box” non è GDPR compliant. Ciò che è illecito, e bisogna adoperarsi per rendere lecito, è il trasferimento di determinati dati al di fuori di server Europei. A patto che stiate rispettando tutti gli altri punti del GDPR (che, tra parentesi, non parla mai di Google Analytics. Sapete cosa sto cercando di dirvi vero? Anche ammesso che mettiate a norma gli analytics, starete ancora violando il GDPR per il semplice fatto di usare gmail nella vostra professione, di usare mailchimp, zoho, Amazon, AWS, Facebook, qualsiasi cosa. Qualsiasi serviceso che invii i dati fuori dalla UE, è in violazione del GDPR), potete comunque migliorare la posizione del vostro tracking di fronte alla legge, con 3 approcci diversi. Dal più soft al più hard, dove il più soft è meno “sicuro”, ma anche meno costoso e mantiene intatte le funzionalità più remunerative della piattaforma (collegamento a google ads, e molto altro). Quello di mezzo è complicato e costoso, ma offre sicurezza maggiore. La terza opzione è molto costosa, ma rende gli analytics compliant al 100%, rendendoli anche di fatto abbastanza inutili, ahimè.

Quali sono le tre soluzioni?

Soluzione soft: Passaggio a GA4 + appello all’art. 49

Come consigliato dall’Avvocato lo Giudice nel video che vi linko nella sezione dedicata, oltre al passaggio correttamente configurato a GA4 (a patto che stiate eseguendo il blocco asincrono degli script e dei cookies, e rispettiate tutte le altre disposizioni del GDPR), c’è il consiglio di avere un approccio non solo di privacy by design, ma di trasparenza by design.

Questo significa informare l’utente in modo attivo ed esaustivo di quali dati vengono raccolti, in quali server vengono inviati, per quale ragione, e quale sia il problema, la “minaccia”, e chiedere all’utente il suo consenso nell’inviare comunque questi dati. Se l’utente esprime il suo consenso, sostiene l’avvocato, questo bypassa la problematica dell’esportazione del dato. Ho parlato con moltissimi avvocati sul tema. Alcuni di loro asseriscono che l’articolo 49 sia applicabile solo ad esportazioni di dati non programmatiche, altri sostengono che possa essere applicato.

Onde evitare fraintendimenti, noi in Fuel LAB utilizziamo la soluzione di cui sopra, e vi abbiamo informati a riguardo durante la vostra prima visita 🙂

Soluzione hard: Come sopra, più Server Side Tracking e pulizia dei dati

Comunque, anche implementando questa prima soluzione, i dati personali vengono effettivamente esportati (parliamo per esempio di geolocalizzazione, di tipologia di dispositivo e browser e così via). E’ quindi necessario far transitare i dati non tramite pixel direttamente verso i server di Google, ma di implementare il Server Side Tracking, far passare i dati su una nostra proprietà (dove siamo anche responsabili di questi dati e della loro sicurezza..) per poi passarli a Google, ripuliti manualmente dei dati non idonei all’esportazione.

E’ una scelta costosa, e non di facile gestione, ma sicuramente dimostra una forte attenzione alla privacy della vostra utenza che il Garante della Privacy difficilmente ignorerà.

Soluzione estrema: Come sopra, più invio dei dati in BigQuery

Se proprio volete sentirvi al sicuro al 100%, invece che inviare i dati ai server di Google Analytics, potete creare un’istanza in BigQuery dove importare i dati. A questo punto non starete usando Google Analytics, di fatto, e potrete visualizzare i dati esportati da BigQuery con un tool di data visualization come Google Data Studio. E poi, puoi contare su Google Data Studio LAB per ricostruire le dashboard analytics, anche senza usare Google Analytics!

Conclusioni e Link utili

“Google Analytics è illegale” è una frase di marketing, scritta male e con lo scopo di fare clamore. “L’utilizzo di Universal Analytics è da dismettere, e l’utilizzo di GA4 va normato a seconda dell’uso che ne fate“, è la frase che dice la verità, ma è molto meno “giornalistica” e di minor largo consumo. L’importante è sempre essere trasparenti ed agire nell’interesse degli utenti che visitano il nostro sito web, informandoli in modo onesto ed aperto di tutto quello che facciamo… in attesa di un nuovo Privacy Shield, che vada a normalizzare il transito dei dati personali e del loro utilizzo, almeno tra Europa e Stati Uniti, in questo periodo di grande tensione internazionale.

Link al webinar di Matteo Zambon con gli interventi dell’Avvocato lo Giudice

Link al serviceso di Server Side Tracking di Fuel LAB

Link alle slide riassuntive di questo articolo

Ti è piaciuto questo articolo? Hai domande o vuoi proporre qualche cambiamento? Lascia un commento, siamo sempre felici di discuterne con la nostra community!