Negli ultimi mesi i cookie di Google Analytics hanno attirato l’attenzione degli addetti ai lavori, diventando nuovamente trending topic, non solo riscaldando l’ormai tiepido GDPR, ma anche l’animo delle autorità di controllo dei vari Stati membri UE per la protezione dei dati personali, a tutela degli stessi cittadini.
Che tra le norme privacy europee e statunitensi ci fosse una sostanziale incompatibilità, era noto sin dalla prima sentenza Schrems del 2015 e dopo le più recenti posizioni prese da Austria e Francia, a pronunciarsi sulla questione, il Garante della Privacy italiano:
“Il sito web che utilizza il servizio Google Analytics (GA), senza le garanzie previste dal Regolamento Ue, viola la normativa sulla protezione dei dati perché trasferisce negli Stati Uniti, Paese privo di un adeguato livello di protezione, i dati degli utenti.”
Dopo numerosi reclami che hanno dato origine ad una complessa e compartecipata istruttoria, è emerso l’inequivocabile: i gestori di siti web che utilizzano GA, persistono tramite cookie, molteplici informazioni che riguardano gli utenti. Tra i dati raccolti si evidenziano anche:
- indirizzo IP del dispositivo dell’utente (dato personale che anche troncato potrebbe comunque essere arricchito grazie alle capacità di Google)
- informazioni relative al browser, al sistema operativo e alla risoluzione dello schermo
- lingua selezionata per la navigazione
- data e ora della visita al sito web
L’esito degli accertamenti ha portato all’ammonizione di Caffeina Media S.r.l. a cui viene richiesto l’obbligo entro 90 giorni di verificare la conformità delle modalità di utilizzo di cookie e degli strumenti di tracciamento, ma l’invito si estende, con le stesse congrue tempistiche, a tutti i gestori italiani di siti web.
Ad oggi, la sentenza e il successivo comunicato stampa, lasciano intendere che Google Analytics 3 non garantisca la piena conformità al GDPR. A far permanere il dubbio: gli IP che, nonostante l’anonimizzazione, potrebbero comunque intrecciarsi ad altri dati raccolti durante la navigazione rendendo così possibile l’identificazione dell’utente anche in presenza di trasferimento di dati verso gli USA.
Il cuore del problema risiede nel trasferimento dei dati che, una volta raccolti, vengono inoltrati ai server di Google LCC (USA) dove sono dichiaratamente accessibili ad autorità governative come CIA e NSA.
Lo scenario futuro è ancora alla ricerca di risposte sicure e anche optando per GA4 saranno necessarie misure di sicurezza aggiuntive dal momento che non fornisce garanzie idonee.
Quali sono quindi le strade che le aziende possono scegliere di intraprendere?
1- Rimanere su Google Analytics, passando alla versione GA4, gestendo l’opportuno upgrade del tracking della versione precedente (che verrà definitivamente dismessa a metà 2023), confidando, come sembra, che nelle prossime settimane/mesi si adegui totalmente alle vigenti normative Europee.
2- Disabilitare GA e sostituirlo con un altro che garantisca la gestione e archiviazione dei dati degli utenti in ottemperanza alle normative Europee, gestendo naturalmente l’attività di retracking e possibile migrazione dello storico dei dati. Un esempio è Matomo, scelto da “Web Analytics Italia” – piattaforma messa a punto per la pubblica amministrazione da parte di AGID – Agenzia per l’Italia Digitale. Un’altra possibile soluzione sarebbe l’introduzione di una suite più completa come MAPP Intelligence, che non è semplicemente un’alternativa, ma una soluzione enterprise che offre diversi servizi di analisi ed estrapolazione KPI’s.
3- Creare soluzioni alternative per impedire a Google Analytics di effettuare il tracciamento di dati personali e di inviare i dati negli USA, una strada ancora poco praticabile per il rapporto tempi/costi/benefici.
Se anche tu stai valutando quale sia la scelta migliore per la tua azienda non esitare a contattarci per un confronto.
