Il Garante della privacy ha dichiarato Google Analytics 3 non conforme al regolamento europeo che vigila sulla privacy, analizziamo insieme i dettagli.
Il sito web che utilizza il servizio Google Analytics 3 (Universal Analytics), senza le garanzie previste dal Regolamento UE, viola la normativa sulla protezione dei dati perché trasferisce negli Stati Uniti, Paese privo di un adeguato livello di protezione, i dati degli utenti.
Lo ha affermato il Garante per la privacy a conclusione di una complessa istruttoria avviata sulla base di una serie di reclami e in coordinamento con altre autorità privacy europee.
Dall’indagine del Garante è emerso che i gestori dei siti web che utilizzano GA raccolgono, mediante cookie, informazioni sulle interazioni degli utenti con i predetti siti, le singole pagine visitate e i servizi proposti.
Tra i molteplici dati raccolti:
- indirizzo IP del dispositivo dell’utente
- informazioni relative al browser, al sistema operativo, alla risoluzione dello schermo, alla lingua selezionata,
- data e ora della visita al sito web.
Tali informazioni sono risultate oggetto di trasferimento verso gli Stati Uniti. Nel dichiarare l’illiceità del trattamento è stato ribadito che l’indirizzo IP costituisce un dato personale e anche nel caso fosse troncato non diverrebbe un dato anonimo, considerata la capacità di Google di arricchirlo con altri dati di cui è in possesso.
All’esito di tali accertamenti il Garante ha adottato il primo di una serie di provvedimenti con cui ha ammonito il gestore del sito web sotto indagine, ingiungendo di conformarsi al Regolamento europeo entro novanta giorni. Il tempo indicato è stato ritenuto congruo per consentire di adottare misure adeguate per il trasferimento, pena la sospensione dei flussi di dati effettuati, per il tramite di GA, verso gli Stati Uniti.
Tra le criticità il Garante ha evidenziato, in particolare, la possibilità, per le Autorità governative e le agenzie di intelligence statunitensi, di accedere ai dati personali dei cittadini europei, trasferiti senza le dovute garanzie, rilevando che le misure che integrano gli strumenti di trasferimento adottate da Google non garantiscono un livello adeguato di protezione dei dati personali degli utenti.
L’Autorità ha anche richiamato all’attenzione di tutti i gestori italiani di siti web, pubblici e privati, l’illiceità dei trasferimenti effettuati verso gli Stati Uniti attraverso GA, invitando tutti i titolari del trattamento a verificare la conformità delle modalità di utilizzo di cookie e altri strumenti di tracciamento utilizzati sui propri siti web, con particolare attenzione a quelli Analytics (GA e non solo) con la normativa in materia di protezione dei dati personali.
Allo scadere del termine di 90 giorni assegnato alla società destinataria del provvedimento, il Garante procederà, anche sulla base di specifiche attività ispettive, a verificare la conformità al Regolamento Ue dei trasferimenti di dati effettuati dai vari titolari dei siti web, sia d’ufficio, sia su reclamo degli interessati.
Facciamo un riassunto:
- I cookie GA trattano dati personali attraverso la raccolta di diverse informazioni (quali browser o dispositivo dell’utente, gestore stesso del sito, indirizzo, nome del sito web e dati di navigazione; indirizzo IP) che identificano l’utente e le relative azioni sul sito web;
- I dati personali sono trasferiti negli Stati Uniti senza adeguate garanzie (trasferimento illecito), in ragione del fatto che i servizi di Intelligence statunitensi effettuano – per ragioni di sicurezza nazionale – istanze di accesso ai vari provider, tra cui Google, senza offrire adeguate tutele agli utenti i cui dati vengono acquisiti;
- L’utilizzo della funzione “IP anonymization” messa a disposizione da Google non elimina l’illiceità in quanto Google sarebbe ugualmente in grado di re-identificare l’utente;
- Tutti i gestori italiani di siti web sono invitati a:
- verificare le modalità di utilizzo di cookie GA e servizi analoghi;
- identificare, attraverso l’analisi delle funzionalità tecniche a disposizione di GA e di servizi analoghi, una soluzione conforme al GDPR che escluda il trasferimento di dati al di fuori dell’Unione Europea o che precluda l’identificabilità dei soggetti interessati.
- Il Garante procederà tramite attività ispettiva a contrastare eventuali trasferimenti illeciti.
A partire da questo provvedimento, alcuni attivisti (in primis tal Federico Leva) dai primi giorni di luglio hanno iniziato una campagna volta a sensibilizzare molte altre aziende a prendere provvedimenti per risolvere la criticità evidenziatasi con l’uso di GA3. Infatti, molti gestori di siti hanno ricevuto una specifica richiesta, ai sensi dell’art.17 GDPR, di esercizio del diritto di cancellazione dei dati personali trasferiti a Google.
Alcuni commentatori hanno ritenuto tale iniziativa mero spam o una frode o, banalmente, una “baggianata” da ignorare e cestinare.
Attenzione! Non è così e la richiesta non va sottovalutata per il solo fatto che, se ignorata, apre la strada ad un reclamo al Garante, che -ha già fatto sapere- presterà molta attenzione alle segnalazioni degli interessati per arginare l’illecito trasferimento di dati, aprendo indagini ed istruttorie.
Quindi, quali sono le soluzioni possibili per regolarizzare l’uso di Analytics?
I nostri consigli operativi
Prima di tutto occorre rimuovere Universal Google Analytics (GA3) dal sito, anche perché in ogni caso smetterà di funzionare dal 1° luglio 2023 in base ai piani operativi di Google che ha rilasciato da qualche tempo una nuova versione (GA4). Poi si può decidere con cosa sostituirlo, tenendo conto anche dell’efficacia della nuova soluzione sul fronte del marketing. Di seguito le opzioni che suggeriamo
Opzione 1 – Non installare nessun servizio di analytics
Affidarsi, eventualmente, solo a Google Search, senza installare il servizio di analitycs; Google search non installa cookie di alcun tipo in quanto non nasce per fare analytics e non offre nessun dato sul comportamento, la navigazione e la fruizione del sito da parte dell’utente (non si possono impostare eventi e/o conversioni, non si può vedere il tempo di visita etc) ma si occupa solo di registrare il passaggio che va dal momento in cui un utente cerca le informazioni sul motore di ricerca fino al clic sul relativo risultato di ricerca; serve per capire quanto il nostro sito compaia tra i risultati di ricerca organica e quanti clic (e quindi con buona approssimazione accessi) ha ricevuto. GA3, invece, si occupa di raccogliere i dati dopo l’atterraggio del navigatore sul sito.
Opzione 2 – Installare un servizio di analytics non Google
Scegliere tra i servizi di analytics localizzati in UE/SEE (ad es. Matomo, nato specificamente per rispettare i dettami del GDPR): questo potrebbe comportare un costo di licenza mensile, una maggiore difficoltà nell’integrazione con servizi terzi (ad es. nell’importazione degli obiettivi su campagne PPC) ed un supporto esperienziale e community più giovane.
Opzione 3 – Installare la nuova versione di Google Analytics (GA4), ma “depotenziata”
La nuova versione di Google Analytics (GA4) nasce con una concezione ed una struttura completamente differente da GA3 (tant’è che non si possono importare i dati da GA3 a GA4, proprio per la profonda differenza strutturale tra i due strumenti) e con una particolare attenzione sul fronte della privacy e delle misure richieste dal GDPR. Occorre però “depotenziarla” nell’attesa/speranza che Google si muova per ovviare la criticità dei trasferimenti extra-UE o si raggiunga un nuovo accordo UE-USA (e, conseguentemente, una decisione di adeguatezza). I passi da compiere per il “depotenziamento”:
- già di default, GA4 non registra né archivia gli indirizzi IP eliminando eventuali indirizzi IP raccolti sugli utenti dell’UE prima di registrare questi dati, tramite domini e server che si trovano nell’UE;
- va disattivata la raccolta di dati di Google Signals (annullando la funzionalità pubblicitaria indispensabile per fare remarketing e personalizzazione degli annunci);
- va disattivata la raccolta di dati granulari su località e dispositivo (annullando quindi la raccolta di dati personali come: città, latitudine, longitudine, brand/modello/nome del dispositivo e risoluzione dello schermo);
- vanno disabilitate, a livello di account, tutte le caselle di condivisione dei dati raccolti nelle proprietà Analytics con Google (ad esempio: l’analisi comparativa, l’assistenza tecnica, il benchmark con prodotti e servizi Google).
Inoltre, GA4 dà la possibilità di richiedere un’eliminazione di dati (indicando data e parametri da eliminare), a fronte della richiesta di cancellazione dei propri dati personali da parte di un utente ai sensi dell’art. 17 GPDR.
Se i dati degli utenti sono minimizzati e non possono essere combinati con altre elaborazioni né trasmessi a terzi, possono valere, per i cookie analytics, le stesse regole previste per quelli tecnici che non richiedono il consenso del navigatore, essendo considerati funzionali e necessari al funzionamento del sito stesso (quindi si possono attivare di default al momento dell’apertura del sito) mentre quelli di profilazione, che raccolgono dati personali (come gli Analytics che sono considerati “statistici” di dettaglio o quelli del pixel Facebook che sono di “marketing”), ricadono nel meccanismo che prevede l’acquisizione del consenso esplicito ed è il motivo per cui il Garante ha stabilito che la semplice anonimizzazione di GA3 non è più sufficiente. Pertanto, parrebbe venir meno lo stesso presupposto della raccolta di dati personali, in quanto non si raccolgono più quel set di identificatori – come indirizzo IP, dati di navigazione e dati geografici – che consentivano comunque l’identificazione e la profilazione dell’utente e quindi, trovandosi ora a gestire gli accessi come un mero numero, si potrebbe considerare questa configurazione come cookie tecnico (dati minimizzati e non ricombinati con altre elaborazioni).
Opzione 4 – Installare la nuova versione di Google Analytics (GA4) completa, ma con tracciamento Server-Slide
Chi volesse avere un grado di sicurezza e certezza in più, oppure intendesse usare GA4 in modo pieno (senza disattivare le funzionalità di cui sopra), installare comunque la nuova versione di Google Analytics (GA4), senza “depotenziarla”, ma con tracciamento Server-Side, in modo che i dati raccolti non finiscano più sui server di Google ma direttamente all’interno del proprio server, che sarà localizzato in UE: questa soluzione richiede maggiore competenza tecnica maggiori oneri per l’acquisto del servizio del server di archiviazione (che avrà un costo di licenza mensile, basato sul consumo di risorse effettivamente sostenuto).
Occorre comunque sottolineare che ci troviamo in una fase transitoria e di incertezza, senza la presenza di una dottrina tecnica autorevole, ulteriori FAQ e approfondimenti da parte del Garante, soluzioni da Google e/o un nuovo accordo sul trasferimento dei dati (un nuovo “Privacy Shield”) tra USA e UE. Pertanto ogni proposta qui presentata va presa con cautela, analizzando l’effettivo scenario di applicazione e cosa effettivamente serve sul sito web e, in particolare, a fine di marketing.
Hai ancora dubbi sulla migrazione da GA3? Hai ricevuto la richiesta di cancellazione dei dati da Google Analytics e non sai come gestirla? Contattaci per ricevere assistenza e non commettere passi falsi.