17 luglio 2022
Google Analytics, la posizione del Garante: come essere in regola
Google Analytics è uno degli argomenti più dibattuti nell’ultimo mese, complice una presa di posizione netta del Garante per la Privacy dello scorso 23 giugno.
A seguito di una serie di reclami, il Garante ha fatto partire le indagini, dalle quali è emerso che i webmaster che utilizzano Google Analytics raccolgono, attraverso i cookie, informazioni su come gli utenti interagiscono nel sito complessivamente, ma anche nelle singole pagine. Mediante questo strumento, secondo il Garante è possibile raccogliere dati come la data e l’ora dell’accesso al sito, l’indirizzo IP del device, ma anche informazioni relative al browser e il sistema operativo utilizzato, fino alla lingua dell’utente. Tutti questi dati verrebbero poi trasferiti verso gli Stati Uniti, un Paese che notoriamente non tutela i dati degli utenti.
Google Analytics illegale? Cosa ha stabilito il Garante
Il Garante ha espressamente dichiarato che il semplice indirizzo IP costituisce già un dato personale, che combinato con altri dati tracciati da Google, permetterebbe di risalire all’identità del visitatore. Con lo stesso intervento, i titolari del trattamento dei dati sono stati invitati a verificare la conformità della modalità con cui vengono utilizzati i cookie e altri strumenti di tracciamento, su tutti proprio Google Analytics. Al contempo è stata stabilita l’assoluta illegalità della “spedizione” dei dati verso gli Stati Uniti. Già nel 2020, infatti, la Corte di giustizia dell’Unione Europea si era espressa sul tema, dichiarando che gli Stati Uniti non sono di certo sicuri da questo punto di vista, segnalando che le aziende dovrebbero adottare dei sistemi diversi, quando importano ed esportare dati importanti.
Le società che non adeguano la propria politica di trattamento dati mediante Analytics rischiano sanzioni amministrative salatissime, che possono arrivare fino a 20 milioni di euro, oppure il 4% del fatturato annuo.
Nessuna responsabilità di Google, quindi, ma del titolare del trattamento dei dati, quindi di chi gestisce il sito. Lo strumento, infatti, di per sé non è illegale, ma lo è la possibilità di esportare dati personali verso gli Stati Uniti. Tutto dipende, quindi, dall’uso che se ne fa dello strumento, non è Analytics in sé a non essere lecito.
Il provvedimento italiano riguarda, al momento, uno specifico sito: sebbene, in sostanza, le determinazione del Garante interessa anche gli altri utilizzatori di Analytics, non si tratta di un provvedimento a carattere generale.
Al gestore del sito è stata comminata solo un’ammonizione: entro 90 giorni di tempo dovrà verificare la possibilità di utilizzare lo strumento senza esportare i dati verso gli Stati Uniti, altrimenti dovrà obbligatoriamente sospendere il tracciamento.
È fondamentale ricordare che in virtù del principio di accountability, è proprio il titolare del trattamento ad assumere l’obbligo di effettuare delle valutazioni per quanto riguarda il rischio relativo al trattamento in essere: dovrà quindi aggiornare il registro dei trattamenti e l’informativa. La normativa privacy, infatti, prevede che il titolare debba determinare in autonomia le modalità, le garanzie e i limiti del trattamento.
Ciò che è più importante è che Google Analytics Universal (quello adottato oggi dalla maggioranza delle proprietà) è sostanzialmente molto molto complicato renderlo compliant alla normativa. Per questo, sono state individuate diverse soluzioni.
Google Analytics: la strada verso la compliance
Per continuare a utilizzare GA, si possono percorrere due strade, di difficile praticabilità: la prima è quella che prevede la richiesta del consenso agli utenti circa il trasferimento dei loro dati all’estero; la seconda, invece, consiste nell’utilizzo di un server proxy (posto all’interno dello Spazio Economico Europeo) il quale anonimizzerebbe i dati prima di trasmetterli a Google.
Nel primo caso, tuttavia, si tratterebbe di mostrare un pop up per la richiesta di un consenso esplicito, ma che nella maggiorparte dei casi verrebbe ignorato o chiuso dall’utente; nel secondo caso, invece, porterebbe nuovi costi da sostenere per le aziende: non proprio una buona notizia per i siti che generano molto traffico.
Una soluzione che, ad ogni modo, risulterebbe la più percorribile, ma richiede il passaggio da Google Analytics versione 3 (Universal) alla release 4. Vediamo cosa cambia in termini di privacy.
Passare a Google Analytics 4: è giunto il momento
Una soluzione per risultare a norma nel trattamento dei dati tramite il sito web è quello di passare da Google Analytics Universal a Google Analytics 4. Il soggetto ha ricevuto un’ammonizione dal Garante, infatti, utilizzava la versione Universal e non la nuova versione di Google per il tracciamento dei dati. Pertanto, non sappiamo ancora esattamente la posizione del Garante su GA4.
Big G sta già spingendo affinché le aziende e chi traccia i dati in genere passi alla nuova versione. Questo il messaggio che appare in cima alla pagina Analytics di ogni proprietà:
A partire dal 1° luglio 2023, Universal Analytics non elaborerà più i nuovi dati nelle proprietà standard. Preparati oggi stesso configurando e iniziando a utilizzare una proprietà Google Analytics 4.
Il nuovo sistema di tracciamento sfrutta gli eventi invece delle sessioni, superando l’utilizzo dei cookie.
Google ha già fatto sapere che sta continuando a lavorare per rendere lo strumento più possibile in linea con il rispetto delle normative per la privacy. GA consentirà dei controlli a livello nazionale e delle opzioni di customizzazione volte a minimizzare la raccolta dati di un determinato visitatore. Nello specifico:
Ciò che non fa dormire sonni tranquilli alle società (e anche agli utenti) è che gli Stati Uniti, potenzialmente, possono accedere ai dati di tutte le società statunitensi, anche se sono archiviati in Unione Europea. Pertanto, il primo punto non risolverebbe granché in termini di privacy.
A tal proposito, si è espresso anche il Garante in Francia, che ha confermato che l’utilizzo di un proxy configurato correttamente può rendere legale l’utilizzo di Google Analytics 4.
L’utilizzo di un server proxy proprietario a monte del server proxy di Google Analytics 4 può costituire una soluzione efficace per rispettare le disposizioni Privacy europee: in questo modo si eviterebbe che i dati personali degli utenti giungano prima in EU e successivamente negli Stati Uniti.
È proprio Google a proporre una guida su come configurare un tracciamento Server-Side su Google Analytics 4. Una soluzione che si avvale di Google Tag Manager Server Side.
Con questa modalità, Google Analytics 4 invierà i dati a GTM Server-Side: qui potrai anonimizzarli oppure rimuovere quelli personali.
Vuoi configurare Google Analytics 4 sul tuo sito? Contattaci!
Le alternative a Google Analytics
Non solo Google Analytics. Esistono altri strumenti che consentono di tracciare le metriche del proprio sito e che possono farti alzare il livello in termini di protezione di dati personali.
Abbiamo visto che molti di questi non prevedono l’utilizzo di cookie: è lo stesso BigG a prendere posizione da questo punto di vista, annunciando di voler eliminare entro il 2023 tutti i cookie di terze parti all’interno di Chrome. Una decisione che sarebbe utile solo per quanto riguarda il piazzamento dei cookie, ma non per il trattamento dei dati che prevede l’invio di dati negli Stati Uniti.
Questi strumenti magari perdono in termini di funzionalità in confronto a Google Analytics, ma sono sicuramente più privacy oriented. Se è vero che GA è gratuito, bisogna tenere conto che investire una decina di euro per avere meno preoccupazioni dal punto vista privacy, può essere una scelta tutt’altro che azzardata.
Anche perché, a meno che sia il passaggio a GA4 o un’altra soluzione, qualche riflessione e intervento deve essere fatto, non solo sugli strumenti di tracciamento, ma su qualsiasi piattaforma che trasmette dati negli Stati Uniti. A meno che non venga trovato un accordo per la naturale esportazione dei dati oltreoceano. Ma la direzione non sembra affatto questa.
Vuoi rendere il tuo sito a norma in termini di trattamento dei dati? Contattaci subito!
A seguito di una serie di reclami, il Garante ha fatto partire le indagini, dalle quali è emerso che i webmaster che utilizzano Google Analytics raccolgono, attraverso i cookie, informazioni su come gli utenti interagiscono nel sito complessivamente, ma anche nelle singole pagine. Mediante questo strumento, secondo il Garante è possibile raccogliere dati come la data e l’ora dell’accesso al sito, l’indirizzo IP del device, ma anche informazioni relative al browser e il sistema operativo utilizzato, fino alla lingua dell’utente. Tutti questi dati verrebbero poi trasferiti verso gli Stati Uniti, un Paese che notoriamente non tutela i dati degli utenti.
Google Analytics illegale? Cosa ha stabilito il Garante
Il Garante ha espressamente dichiarato che il semplice indirizzo IP costituisce già un dato personale, che combinato con altri dati tracciati da Google, permetterebbe di risalire all’identità del visitatore. Con lo stesso intervento, i titolari del trattamento dei dati sono stati invitati a verificare la conformità della modalità con cui vengono utilizzati i cookie e altri strumenti di tracciamento, su tutti proprio Google Analytics. Al contempo è stata stabilita l’assoluta illegalità della “spedizione” dei dati verso gli Stati Uniti. Già nel 2020, infatti, la Corte di giustizia dell’Unione Europea si era espressa sul tema, dichiarando che gli Stati Uniti non sono di certo sicuri da questo punto di vista, segnalando che le aziende dovrebbero adottare dei sistemi diversi, quando importano ed esportare dati importanti.
Le società che non adeguano la propria politica di trattamento dati mediante Analytics rischiano sanzioni amministrative salatissime, che possono arrivare fino a 20 milioni di euro, oppure il 4% del fatturato annuo.
Nessuna responsabilità di Google, quindi, ma del titolare del trattamento dei dati, quindi di chi gestisce il sito. Lo strumento, infatti, di per sé non è illegale, ma lo è la possibilità di esportare dati personali verso gli Stati Uniti. Tutto dipende, quindi, dall’uso che se ne fa dello strumento, non è Analytics in sé a non essere lecito.
Il provvedimento italiano riguarda, al momento, uno specifico sito: sebbene, in sostanza, le determinazione del Garante interessa anche gli altri utilizzatori di Analytics, non si tratta di un provvedimento a carattere generale.
Al gestore del sito è stata comminata solo un’ammonizione: entro 90 giorni di tempo dovrà verificare la possibilità di utilizzare lo strumento senza esportare i dati verso gli Stati Uniti, altrimenti dovrà obbligatoriamente sospendere il tracciamento.
È fondamentale ricordare che in virtù del principio di accountability, è proprio il titolare del trattamento ad assumere l’obbligo di effettuare delle valutazioni per quanto riguarda il rischio relativo al trattamento in essere: dovrà quindi aggiornare il registro dei trattamenti e l’informativa. La normativa privacy, infatti, prevede che il titolare debba determinare in autonomia le modalità, le garanzie e i limiti del trattamento.
Ciò che è più importante è che Google Analytics Universal (quello adottato oggi dalla maggioranza delle proprietà) è sostanzialmente molto molto complicato renderlo compliant alla normativa. Per questo, sono state individuate diverse soluzioni.
Google Analytics: la strada verso la compliance
Per continuare a utilizzare GA, si possono percorrere due strade, di difficile praticabilità: la prima è quella che prevede la richiesta del consenso agli utenti circa il trasferimento dei loro dati all’estero; la seconda, invece, consiste nell’utilizzo di un server proxy (posto all’interno dello Spazio Economico Europeo) il quale anonimizzerebbe i dati prima di trasmetterli a Google.
Nel primo caso, tuttavia, si tratterebbe di mostrare un pop up per la richiesta di un consenso esplicito, ma che nella maggiorparte dei casi verrebbe ignorato o chiuso dall’utente; nel secondo caso, invece, porterebbe nuovi costi da sostenere per le aziende: non proprio una buona notizia per i siti che generano molto traffico.
Una soluzione che, ad ogni modo, risulterebbe la più percorribile, ma richiede il passaggio da Google Analytics versione 3 (Universal) alla release 4. Vediamo cosa cambia in termini di privacy.
Passare a Google Analytics 4: è giunto il momento
Una soluzione per risultare a norma nel trattamento dei dati tramite il sito web è quello di passare da Google Analytics Universal a Google Analytics 4. Il soggetto ha ricevuto un’ammonizione dal Garante, infatti, utilizzava la versione Universal e non la nuova versione di Google per il tracciamento dei dati. Pertanto, non sappiamo ancora esattamente la posizione del Garante su GA4.
Big G sta già spingendo affinché le aziende e chi traccia i dati in genere passi alla nuova versione. Questo il messaggio che appare in cima alla pagina Analytics di ogni proprietà:
A partire dal 1° luglio 2023, Universal Analytics non elaborerà più i nuovi dati nelle proprietà standard. Preparati oggi stesso configurando e iniziando a utilizzare una proprietà Google Analytics 4.
Il nuovo sistema di tracciamento sfrutta gli eventi invece delle sessioni, superando l’utilizzo dei cookie.
Google ha già fatto sapere che sta continuando a lavorare per rendere lo strumento più possibile in linea con il rispetto delle normative per la privacy. GA consentirà dei controlli a livello nazionale e delle opzioni di customizzazione volte a minimizzare la raccolta dati di un determinato visitatore. Nello specifico:
- Tutti i dati dei device che accedono entro i confini UE verranno elaborati all’interno dell’UE.
- GA4 non memorizzerà gli indirizzi IP, ma li utilizzerà in maniera temporanea solo per la geolocalizzazione.
- GA4 consentirà all’utente di disattivare anche la memorizzazione di dati come la versione del browser, la risoluzione dello schermo ecc.
- GA4 permetterà all’utente di disattivare Google Signals, impedendo così l’accesso con l’account Google.
Ciò che non fa dormire sonni tranquilli alle società (e anche agli utenti) è che gli Stati Uniti, potenzialmente, possono accedere ai dati di tutte le società statunitensi, anche se sono archiviati in Unione Europea. Pertanto, il primo punto non risolverebbe granché in termini di privacy.
A tal proposito, si è espresso anche il Garante in Francia, che ha confermato che l’utilizzo di un proxy configurato correttamente può rendere legale l’utilizzo di Google Analytics 4.
L’utilizzo di un server proxy proprietario a monte del server proxy di Google Analytics 4 può costituire una soluzione efficace per rispettare le disposizioni Privacy europee: in questo modo si eviterebbe che i dati personali degli utenti giungano prima in EU e successivamente negli Stati Uniti.
È proprio Google a proporre una guida su come configurare un tracciamento Server-Side su Google Analytics 4. Una soluzione che si avvale di Google Tag Manager Server Side.
Con questa modalità, Google Analytics 4 invierà i dati a GTM Server-Side: qui potrai anonimizzarli oppure rimuovere quelli personali.
Vuoi configurare Google Analytics 4 sul tuo sito? Contattaci!
Le alternative a Google Analytics
Non solo Google Analytics. Esistono altri strumenti che consentono di tracciare le metriche del proprio sito e che possono farti alzare il livello in termini di protezione di dati personali.
- Plausible Analytics: uno strumento di tracciamento che non utilizza cookie, memorizza l’indirizzo IP per 24 ore e non invia i dati negli Stati Uniti. È una piattaforma di tipo open source (codice su GitHub) e ha un’interfaccia molto minimal. Costa circa 5 euro al mese.
- Simple Analytics: strumento ancora più privacy friendly del precedente, visto che non salva l’indirizzo IP e non spedisce i dati negli USA. Interfaccia semplice e intuitiva. Costo intorno ai 10 euro al mese.
- Fathom Analytics: raccoglie solo i dati più rilevanti e indispensabile per avere una panoramica sul pubblico. Non utilizza cookie, come i precedenti strumenti, ma salva l’indirizzo IP, anche se solo per 24 ore. È possibile creare dei report customizzati e non invia dati oltreoceano. Costa intorno ai 12 euro al mese. Costa circa 12 euro al mese.
- Matomo: a differenza delle altre piattaforme, questa impiega i cookie di tracciamento, mentre salva l’indirizzo IP, ma lo rende immediatamente anonimo. Non spedisce i dati negli Stati Uniti. È possibile provarlo gratuitamente, mentre il piano ha un prezzo che si aggira intorno ai 17 euro.
Abbiamo visto che molti di questi non prevedono l’utilizzo di cookie: è lo stesso BigG a prendere posizione da questo punto di vista, annunciando di voler eliminare entro il 2023 tutti i cookie di terze parti all’interno di Chrome. Una decisione che sarebbe utile solo per quanto riguarda il piazzamento dei cookie, ma non per il trattamento dei dati che prevede l’invio di dati negli Stati Uniti.
Questi strumenti magari perdono in termini di funzionalità in confronto a Google Analytics, ma sono sicuramente più privacy oriented. Se è vero che GA è gratuito, bisogna tenere conto che investire una decina di euro per avere meno preoccupazioni dal punto vista privacy, può essere una scelta tutt’altro che azzardata.
Anche perché, a meno che sia il passaggio a GA4 o un’altra soluzione, qualche riflessione e intervento deve essere fatto, non solo sugli strumenti di tracciamento, ma su qualsiasi piattaforma che trasmette dati negli Stati Uniti. A meno che non venga trovato un accordo per la naturale esportazione dei dati oltreoceano. Ma la direzione non sembra affatto questa.
Vuoi rendere il tuo sito a norma in termini di trattamento dei dati? Contattaci subito!