WebAnalytics. Un “affaire”​ che riguarda tutto e tutti

Crescono gli investimenti per analytics, digital marketing, cookies, recensioni e privacy

Una serie di terremoti scuotono il mondo del web: dalla direttiva europea Omnibus, in materia di recensioni alla decisione dell’Authority italiana garante della Privacy di ritenere Google Analytics (GA3) non conforme al GDPR (o RGPD).

Lo scorso 23 giugno, il Garante ha completato l’istruttoria aperta nel 2020 nei confronti di un sito web italiano su cui era installato Google Universal Analytics ed ha scoperto (finalmente) il vaso di Pandora.

L’authority italiana si è allineata alle decisioni già intraprese dalle omologhe istituzioni di Francia (decisione 10/02/20222), Austria (decisione 22/04/2022) e Danimarca sancendo che qualsiasi trasferimento in paesi esterni allo Spazio Economico Europeo (SSE) che non preveda le medesime garanzie del regolamento sulla privacy italiana deve ritenersi illecito.

Il trattamento dei dati personali dei cittadini europei deve essere salvaguardato ad ogni costo ed in ogni caso.

Il Regno Unito del dopo Brexit e la Svizzera sono intervenuti uniformandosi alla direttiva UE 680/2016 pertanto sono “compliant”.

Gli Stati Uniti no, perché se è vero che il c.d. Privacy Shield, l’accordo tra USA e UE sulla conservazione delle informazioni personali degli europei adottato nel 2016 ne regolamentava i trattamenti, il 16 luglio 2020 la Corte di Giustizia europea lo ha invalidato (c.d. Sentenza Schrems II”) ritenendo le guarentigie degli USA inadeguate.

La portata del provvedimento è di dimensioni enorme, perché per analogia si applica non solo a Google Analytics, ma anche agli altri tools di Google, al pixel di Facebook e ai tanti altri plugins, gratuiti o a pagamento presenti nei siti web, che seppur effettuando una “semplice chiamata di un file” trasferiscono dati personali in paesi che non garantiscono i principi di accountability europei.

Ricordo che il tribunale di Monaco (Germania) ha sanzionato con 100 € di ammenda un sito che richiamava i Google Fonts da remoto, perché così facendo Google acquisiva l’IP dell’utente violando le norme del GDPR.

Tra le applicazioni a rischio vi è l’intero mondo delle piattaforme di email marketing, e-commerce, i social media, le app e i tools di USA, Cina e Russia.

Attualmente risultano compliant al GDPR gli stati di Andorra, Argentina, Australia, Canada, Fær Øer, Giappone, Guernsey, Isola di Man, Israele, Jersey, Nuova Zelanda, Regno Unito, Svizzera, Uruguay. In base ad alcuni accordi di reciprocità anche per India e Brasile non ci dovrebbero essere problemi visto che il loro Privacy Act è ispirato a quello europeo.

È sicuro è che se le risorse sono installate in locale non vi saranno problemi.

Anomizzazione vs pseudonimizzazione

Nei mesi passati, già molte aziende sono corse ai ripari chiedendo di abilitare l’anonimizzazione dei tracciamenti, tuttavia sarebbe corretto parlare di pseudonimizzazione perché i metadati forniti dal browser come lingua, risoluzione dello schermo, la data e l’ora della visita, sistema operativo se combinati insieme possono ugualmente identificare l’utente. 

Se con i cookies, l’attivazione di CMP di terze parti come Cookiebot poteva apparire sufficiente per essere in regola, per quanti usano Google Analytics oggi è più difficile dare una risposta definitiva.

La normativa USA prevede che, su richiesta delle agenzie governative, come CIA e NSA, si possa accedere a dati raccolti anche fuori dai confini nazionali da aziende consociate o controllate da un soggetto giuridico di diritto statunitense, tuttavia non tutti coloro che trasferiscono dati dall’UE agli USA sono fuori legge, vedi Apple, ma occorre valutare caso per caso.

Google afferma che GA4 è “GDPR compliant”, mentre l’Autority francese è di diverso avviso ed ha recentemente integrato le proprie FAQ consigliando per la conformità di considerare la proxyfication ovvero una soluzione che preveda il coinvolgimento di un server proxy per evitare il contatto diretto tra il terminale dell’utente Internet e i server dello strumento di misurazione.

Il Garante italiano afferma che chi sceglierà di proseguire nell’uso di Google Analytics dovrà necessariamente integrarlo ad altre misure di sicurezza (senza indicare quali 🙁 ) .

Migrazione a Google Analytics 4 Server Side e alternative

La migrazione a Google Analytics 4 con la configurazione Server Side non è stata esaminata dai garanti della privacy Europea, ma in linea di principio si ritiene conforme, va da sé che deve essere disattivata la raccolta di dati di Google Signals in base all’area geografica come pure delle altre informazioni granulari che utilizzano la posizione.

Alternative a Google Analytics, gratuite e conformi al GDPR sono disponibili, ecco i più noti: Matomo (https://matomo.org/, Plausible (https://plausible.io/), Open Web Analytics (https://www.openwebanalytics.com/), WebAnalytics Italia (https://webanalytics.italia.it/ ) specifico per enti e PA, altre soluzioni possono arrivare dai log analyzer come AwStats, anch’essi installati nello spazio hosting del cliente, spesso disponibili di default dal fornitore IT.

Remarketing e custom audiences addio

Il problema non è quindi la misurazione, ma l’integrazione di GA con lo strumento principale di promozione online di Google Ads; al momento i due strumenti sono gli unici a dialogare fra di loro e in grado di creare segmenti di pubblico utili per il remarketing e/o per l’attivazione di pubblici simili o personalizzati (c.d. Custom Audiences).

L’uso congiunto di Google Analytics con altri servizi di Google, in particolare con i servizi di marketing, può aumentare il rischio di tracciamento, nel caso di Google Tag Manager, per essere tranquilli il suggerimento aggiuntivo è quello di utilizzare come contenitore quello offerto da Stape (https://stape.io/) con localizzazione del server in Europa.

Anche Facebook suggerisce nella sua procedura Conversion API Gateway di installare il proprio Pixel di tracciamento degli eventi creando un dominio o sottodominio ad hoc su un server su AWS o di altro fornitore.

In quest’ultime settimane c’è stato un susseguirsi e sovrapporsi di teorie e soluzioni che hanno dato vita in poco tempo a nuovi servizi che inevitabilmente portano con sé un aumento di costi per attivazioni/ri-configurazioni e loro gestione. Canoni sempre più elevati, spesso crescenti, certamente poco sostenibili per le aziende piccolissime o con dimensioni ridotte. E la fine dell’Internet tutto gratis ?

La situazione attuale è molto confusa e priva di certezze assolute. E se ai 101 reclami presentati da Noyb nel 2020 da cui è nato tutto questo, aggiungiamo le migliaia richieste di rimozione di Federico Leva, per cui non entro nel merito ma vi invito a vedere l’intervista di @Matteoflora all’attivista italo – finlandese (https://youtu.be/1lUPak9qJkg?t=1560) direi che è meglio attendere che il fumo si diradi, gli animi si quietino e si raggiunga rapidamente un accordo politico tra Usa e UE.

“Il sole 24 ore” reputa l’accordo vicino, il dossier è già sul tavolo del negoziato da marzo scorso, insieme al Data Acts sono attesi altri provvedimenti importanti destinati a cambiare le regole delle piattaforme e dei mercati digitali: il Digital Market Act e il Digital Services Act.