Il tanto discusso provvedimento dell’Autorità Garante per la Protezione dei Dati Personali pubblicato lo scorso 23 giugno sull’uso di Google Analytics ha finalmente portato alla ribalta il problema dell’uso di servizi di terze parti con server collocati al di fuori dello spazio SEE.
Il vero problema, però, è che Analytics è parte integrante della suite di Mountain View per la gestione delle campagne pubblicitarie sul proprio motore di ricerca e, per questo, è diventato con il tempo lo standard di fatto del settore delle metriche web.
Fortunatamente, ci sono diverse alternative che possono percorrere aziende di qualsiasi dimensione senza dover sopportare costi eccessivi per la loro implementazione.
Google Analytics illecito in Italia: l’altolà del Garante privacy, ecco perché
Indice degli argomenti
Google Analytics illecito in Italia: il fatto
Si ricorda brevemente che il Garante per la Protezione dei Dati Personali, con il provvedimento del 9 giugno 2022, pubblicato il successivo giorno 23, decidendo su una segnalazione presentata dagli attivisti di NOYB, fondata da Max Schrems, ha invitato un’azienda, quale titolare del trattamento, ad adeguarsi alle disposizioni del GDPR in materia di trasferimento dei dati personali all’estero. Tanto perché l’Autorità ha appurato che l’uso di Google Analytics comporta un trasferimento di dati personali al di fuori dello Spazio Economico Europeo, cosa vietata dal GDPR a meno che non ricorrano determinate condizioni previste dal suo stesso Titolo V.
Come ben motivato dal Garante stesso, le misure informatico-giuridiche adottate da Google Ireland (che trasferisce i dati a Google LLC, sua responsabile del trattamento con sede negli USA) non sono sufficienti a garantire la tutela della riservatezza dei visitatori dei siti web: ad esempio, fra i vari rilievi spunta l’inutilità della anonimizzazione degli indirizzi IP dei visitatori, dato che da Mountain View possono comunque risalire all’identità di ogni singolo utente, essendo in possesso di così tante informazioni su ciascuno di loro che, anche con l’ultimo ottetto dell’IP oscurato, vi sarebbe una loro identificazione univoca.
Ancora, ciò che preoccupa di più, è il fatto che la legislazione degli USA consente alle agenzie di intelligence di accedere ai dati memorizzati nei data center delle aziende americane per attività di indagine, violando, così, la privacy di milioni di cittadini europei, così come rilevato anche dalla Corte di Giustizia Europea nella sentenza Schrems II.
Google Analytics e l’advertising online
Come è noto a chiunque operi nel settore del web, ed in special modo in quello del web marketing, Analytics è parte essenziale della suite di advertising online di Google: infatti, è un software essenziale per il monitoraggio dell’andamento delle campagne e degli obiettivi delle stesse.
Questo aspetto della sua natura lo ha portato a diventare lo standard di fatto del settore delle metriche web, dato che, anche chi non ha interesse a pubblicizzare il proprio sito sul motore di ricerca, lo ha adottato per abitudine, utilizzandolo anche su altri canali, o semplicemente per comodità, visto che il web è ormai pieno di guide e tutorial per sfruttarne gli aspetti più avanzati con efficacia.
È, quindi, veramente impossibile trovare delle alternative valide e più compliant con il GDPR e l’approccio dei Garanti europei e, in special modo, quello italiano?
Accountability, questa sconosciuta
Chi fa seriamente il DPO sa perfettamente che capita di entrare in aziende (anche in sostituzione di altri professionisti) e di dover sondare l’ambiente per capire a che grado di consapevolezza dei principi del trattamento dei dati personali sono giunti i dipendenti e i collaboratori, scoprendo che, sovente, il principio di accountability è quello di più difficile comprensione. Infatti, essendo abituati a un sistema normativo che indica precetti precisi da rispettare per non incorrere in sanzioni, la c.d. responsabilizzazione del titolare del trattamento è un principio a cui ci si approccia con una certa difficoltà interpretativa.
Eppure, basterebbe ricordare che è compito del titolare del trattamento motivare, documentando, ogni scelta nell’ambito del trattamento dei dati personali degli interessati.
Il Garante torna proprio su questo aspetto, chiarendo che ove si voglia continuare a utilizzare Google Analytics, bisogna essere in grado di motivare la scelta, anche individuando delle misure tecniche che tutelino i dati personali.
Ad ogni modo, con un piccolo sforzo in più, si possono adottare soluzioni differenti da Analytics che pure sono conformi al GDPR, senza rinunciare all’affidabilità delle metriche rilevate.
Soluzioni tecniche per Google Analytics: consenso e server proxy
Se proprio si vuole continuare ad utilizzare Analytics, è il caso di iniziare a valutare o di raccogliere il consenso specifico degli utenti al trasferimento dei loro dati all’estero, così come previsto dal Titolo V del GDPR, o, ancora, di utilizzare dei server proxy che, raccolti i dati degli utenti tramite il sito web, li trasmettano al data center di Google dopo averli opportunamente anonimizzati.
Se la prima soluzione è di difficile percorribilità tecnico-giuridica (basti immaginare di dover mostrare un pop-up per la raccolta del consenso – che per giunta dovrebbe essere anche documentabile –, banner che molto probabilmente nella stragrande maggioranza dei casi verrebbe chiuso direttamente dall’utente), la seconda rappresenterebbe per le piccole imprese italiane un ulteriore costo da sostenere per rimanere nel recinto di Google.
Infatti, come s’è detto, si tratterebbe di dover creare una infrastruttura proxy che provveda all’anonimizzazione dei dati raccolti dal sito web prima di trasmetterli a Google, di modo da non rendere identificabili i visitatori del proprio sito. Quindi, oltre all’alterazione del sito web, il proxy dovrebbe preoccuparsi di sostituire i dati riferibili alla macchina dell’utente (sistema operativo, modello di computer, risoluzione e dimensione dello schermo, browser in uso…) con altri di fantasia, rendendo così impossibile a Mountain View di risalire all’effettiva identità di ogni visitatore. Dunque, è un costo che per siti che generano molto traffico (e avere molto traffico non sempre corrisponde ad avere introiti sostanziosi) potrebbe non essere sostenibile. Ovviamente il server proxy deve essere compliant al GDPR ed essere collocato all’interno dello Spazio Economico Europeo.
Ancora, non risponde nemmeno al vero che l’uso del solo Google Analytics 4, obbligatorio per tutti dal prossimo anno, renda improvvisamente il sito conforme al disposto normativo del GDPR: se non altro, la sola chiamata al server di Google da parte del computer dell’utente comporterebbe comunque il trasferimento dei suoi dati personali all’estero.
Alternative a Google Analytics: Matomo e PiwikPro
Dunque, appurato che alcune delle soluzioni, seppur percorribili, sono difficilmente adottabili, è il caso di prendere in considerazione il passaggio a sistemi di analisi del traffico web diversi da Google Analytics.
Chi si vuol avventurare nella predisposizione manuale di un suo servizio interno, può farlo partendo dai numerosi script che si trovano su GitHub o su servizi similari: avere un proprio software, infatti, consente di mantenere il controllo diretto sui dati raccolti e di proteggerli al meglio.
Ovviamente, la soluzione prospettata può essere dispendiosa in termini di consumo di risorse (umane, di tempo e di denaro) e, quindi, soprattutto le piccole attività possono trovare conveniente adottare soluzioni come quella offerta da Matomo. Innanzitutto, è possibile scegliere fra le versioni cloud (a fronte del pagamento di un minimo canone di licenza) oppure on premise, installando quindi il software sui propri server ed eventualmente pagando solo la licenza d’uso dei moduli “avanzati” di proprio interesse. In questo caso, il software e le sue estensioni sarebbero comunque manutenuti da Matomo, evitando di dover intervenire tecnicamente per il miglioramento della piattaforma stessa o il bug fixing. Con la soluzione on premise, dunque, si manterrebbe il controllo effettivo sui dati raccolti, evitando ogni trasferimento all’estero e gestendo la loro sicurezza in prima linea.
Chi non si è dotato di un reparto IT o di consulenti esterni che possano gestire la soluzione on premise di Matomo, può acquistare una licenza di Matomo cloud, di modo da sfruttare i server europei della società e monitorare, così, il traffico e le campagne di Google Ads senza troppi sacrifici.
I gestori dei siti web con un traffico elevato, invece, possono usare PiwikPro, un fork di Matomo che, non utilizzando un database SQL, porta con sé performance migliori rispetto al suo gemello.
È solo una questione di abitudine
Le soluzioni prospettate sono solo alcune fra quelle che consentono di poter seguire comunque l’andamento delle campagne di Google Ads, pur senza l’uso di Google Analytics.
L’unico scoglio è quello di dover imparare a gestire nuovi sistemi (anche se alcuni di essi hanno una interfaccia e una organizzazione delle informazioni che ricorda molto quella del software di Big G), adattandosi marginalmente al loro utilizzo.
Di contro, però, si mantiene la sovranità sui dati personali dei propri utenti e si è compliant al GDPR evitando, in futuro, di essere oggetto dell’attività ispettiva del Garante della Protezione dei Dati Personali.
